پرهام، سامانهای برای نظارت و تحلیل تهدیدات امنیتی در ایران
در اواسط دهه ۱۹۹۰، چالشهای امنیتی ناشی از پیچیدگی و حجم بالای دادههای شبکهها و سیستمهای کامپیوتری، سازمانها را بر آن داشت تا سامانهای تحت عنوان SIEM (مدیریت اطلاعات و وقایع امنیتی) توسعه دهند. این سامانه با هدف شناسایی، نظارت و تحلیل تهدیدات امنیتی در شبکههای رایانهای شکل گرفت.
در اواسط دهه ۱۹۹۰، چالشهای امنیتی ناشی از پیچیدگی و حجم بالای دادههای شبکهها و سیستمهای کامپیوتری، سازمانها را بر آن داشت تا سامانهای تحت عنوان SIEM (مدیریت اطلاعات و وقایع امنیتی) توسعه دهند. این سامانه با هدف شناسایی، نظارت و تحلیل تهدیدات امنیتی در شبکههای رایانهای شکل گرفت. SIEM با جمعآوری و تحلیل لاگها و اطلاعات از منابع مختلف، به شناسایی الگوهای مشکوک و تهدیدات کمک میکند. در ابتدا، این فناوری بهصورت محدود در سازمانها مورد استفاده قرار میگرفت، اما از دهه ۲۰۰۰ به بعد، با افزایش حملات سایبری و پیچیدگیهای امنیتی، به ابزاری حیاتی برای شرکتها و نهادهای مختلف تبدیل شد. امروزه SIEM یکی از ارکان اصلی امنیت سایبری سازمانها به شمار میآید.
در اوایل دهه ۱۳۹۰، شرکت همراه اول گامهای نخستین برای طراحی و توسعه سامانه SIEM بومی با نام تجاری «پرهام» را برداشت. با توجه به اینکه این فناوری در سطح جهانی نیز نسبتاً نوپا بود، تولید آن در ایران با چالشهایی همراه شد و فرآیند تحقیقاتی برای درک دقیق آن حدود دو سال به طول انجامید. درنهایت، در سال ۱۳۹۲، این محصول عملیاتی شد.
ورودیهای این سامانه در ابتدا بهصورت لاگهای خام (Log) دریافت میشوند که پس از پردازش، به رویدادهای امنیتی (Event) تبدیل میشوند. برای مثال، ممکن است از نسخهای از نرمافزار استفاده شود که آسیبپذیری بالایی دارد یا یک فیلترشکن نصب شده باشد که میتواند خطرات امنیتی به دنبال داشته باشد. تمامی این دادهها ابتدا بهصورت لاگ خام به سامانه SIEM ارسال میشوند. بهعبارتدیگر، هر تجهیز یا سیستمی که در شبکه فعالیت میکند، لاگهای متعددی تولید کرده و این دادهها پس از پردازش در SIEM به رویدادهای امنیتی تبدیل میشوند.
در سال ۱۳۹۶، این سامانه بازنویسی شد و فرآیند توسعه آن در سال ۱۴۰۰ ادامه یافت. این بازنویسیها بر اساس نیازهای فنی سازمانها صورت گرفت تا سامانه بیشترین کارایی را در شناسایی و مقابله با تهدیدات داشته باشد.
مزایای سامانه پرهام
SIEM یک محصول جدید است که نیازمندیهای خاص خود را دارد. شرکتهای داخلی که این سامانه را بهصورت بومی توسعه میدهند، بهخوبی با ویژگیها و قابلیتهای آن آشنا هستند و میتوانند تغییرات لازم را بهسرعت و با انعطافپذیری بالا اعمال کنند. از سوی دیگر، توسعه و نگهداری این سامانهها در داخل کشور هزینه کمتری نسبت به نمونههای خارجی دارد. علاوه بر این، گسترش قابلیتها در سامانههای بومی بهمراتب سادهتر و مقرونبهصرفه تر است.
در خصوص مقایسه این سامانه با نمونههای مشابه خارجی، تاکنون هیچ نهاد تحقیقاتی، بررسی فنی جامعی میان سامانههای داخلی و خارجی انجام نداده است. اگرچه برخی مقایسههای محدود صورت گرفته، اما نتایج آنها منتشر نشده است که این موضوع موجب تردید برخی افراد در مورد کارایی سامانههای بومی شده است.
بااینحال، هزینه یکی از مهمترین فاکتورها در این مقایسهها است. سامانههای داخلی، بهویژه پرهام، از نظر هزینه بسیار مقرونبهصرفه تر از نمونههای خارجی هستند. تفاوت هزینهها به حدی است که نمیتوان آن را نادیده گرفت؛ اما چالشی که شرکتهای داخلی با آن روبهرو هستند، رقابت با سامانه Splunk، یکی از برترین محصولات SIEM در جهان، است. برخی سازمانهای ایرانی از نسخههای کرکشده این نرمافزار استفاده میکنند که رقابت را برای شرکتهای داخلی دشوارتر میکند، چراکه Splunk با امکانات گسترده و توانمندیهای پیشرفتهای که دارد، استانداردهای بالایی را ارائه میدهد.
نرمافزارهای کرکشده، هرچند از نظر هزینه در نگاه اول جذاب به نظر میرسند، اما آسیبهای امنیتی متعددی را به سازمانها وارد میکنند و ممکن است هزینههای پنهانی در سطح شبکه ایجاد کنند.
از سوی دیگر، یکی از مزایای کلیدی سامانههای بومی، مدیریت کامل آنها توسط تیمهای داخلی است. این امر باعث میشود هماهنگی میان ماژولها در زمان بهروزرسانی حفظ شده و از ایجاد ناهماهنگی یا رخنههای امنیتی جلوگیری شود. همچنین، محصولات بومی معمولاً از پشتیبانی قویتری برخوردار هستند، چراکه تیمهای فنی داخلی بهراحتی میتوانند مشکلات مشتریان را برطرف کنند. در مقابل، در مورد محصولات خارجی، به دلیل تعداد بالای کاربران، دریافت پشتیبانی دشوارتر است.
بنابراین، علاوه بر مقرونبهصرفه بودن و کاهش چالشهای بهروزرسانی، پشتیبانی قوی محصولات بومی یکی دیگر از دلایلی است که سازمانها را به استفاده از چنین سامانههایی ترغیب میکند. خوشبختانه، سامانه پرهام تاکنون در سطح عملیاتی پاسخگو بوده و در وزارتخانهها، نهادهای کشوری و شرکتهای بیمهای عملکرد موفقی داشته است.