مرکز عملیات امنیت پاسا Pasa SOC

مرکز عملیات امنیت واحدی شامل سه لایه تکنولوژی، نیروی متخصص و فرآیند‌های متناسب است. این مرکز با دریافت لاگ و اطلاعاتِ جریان ترافیک از تجهیزات تشخیص نفوذ و بدافزار، وب‌سرور‌ها، سیستم‌های عامل، برنامه‌های کاربردی، پایگاه‌داده‌ها، کلاینت‌ها، تجهیزات شبکه و به‌طور‌کلی هر سامانه تولید کننده لاگِ با ارزش امنیتی؛ امور پایش امنیت و ارتقاء مستمر آن را به واسطه دو جنبه اقدامات پیشگیرانه‌ امن‌سازی و اقدامات واکنشیِ رسیدگی به رخداد به صورت 7×24 انجام می‌دهد.

 

شرکت امن افزار گستر شریف با پشتوانه تجربیات موفق طی سال های متمادی در حوزه امنیت و با تکیه بر توانمندی بومی از چندین سال پیش سرمایه گذاری قابل توجهی روی راهکارهای SOC نموده و با هدف تولید بومی همه لایه‌های آن اعم از تکنولوژی، فرآیند،نیروی انسانی و دانش بهترین منابع خود را بکار گرفته است. این شرکت کار خود در حوزه SOC را با تشکیل یک تیم قوی امنیت آغاز نمود و محصول تولید شده بر اساس آن را در محیط های عملیاتی راه اندازی و بهینه سازی نموده است. در نتیجه این نگاه و تجربیات، راهکار SOC ارائه شده توسط شرکت امن افزار گستر شریف در بسیاری از ویژگی‌ها با راهکارهای مشابه خارجی کاملا رقابتی بوده و در بخش قابل توجهی بهتر از راهکارهای خارجی قابل تامین در کشور است.

 

راهکار SOC امن افزار گستر شریف (پاسا) طی 6 سال کار مستمر و بیش از 50 نیروی متخصص به صورت کاملاً بومی و در عین حال با استفاده از آخرین فناوری­‌های جهانی طراحی، تولید و عملیاتی شده و در سه حوزه IT، Telecom و ICS قابل راه‌­اندازی و کشف حملات است. راهکارهای اجرا شده­ پاسا طی سال 95 موفق به کشف و رسیدگی به 650 حمله و رخداد امنیتی شده‌­اند که از این بین 3 مورد به پیگیری حقوقی یا ارجاع به پلیس فتا منجر شده است. همچنین پاسا توانسته است در این مدت باج افزارهایی نظیر wannacry را از روی ناهنجاری رفتاری آن­ها شناسایی کند. مرکز عملیات امنیت امن افزار گستر شریف طی چند بازدید خارجی به تائید مراکز SOC از کشور­های کره جنوبی و مالزی و نماینده FIRST آمریکا رسیده است.­

راهکار جامع ارائه شده توسط امن افزار گستر شریف در بخش تکنولوژی علاوه بر هسته SIEM پرهام تمام عناصر مؤثر در مرکز عملیات امنیت از جمله تجهیزات امنیتی و تشخیص نفوذ، تجهیزات مدیریت امنیتی شبکه، زیرساخت شبکه­‌ای، پردازشی و ذخیره‌­سازی و همین‌طور تجهیزات سالن مانیتورینگ را شامل می‌­شود.

پرهام شامل سه بخش عمده پادسا، پاثاد و پگاه است. در کنار این موارد عامل (Agent) بومی پرهام نیز با نصب روی میزبان­‌های شبکه، امکانات مدیریتی و نظارتی را روی آن­ها فراهم می‌کند.

  مرکز عملیات امنیت پاسا Pasa SOC

سامانه پرهام هسته اصلی و مرکزی راهکار پاسا است که وظیفه پردازش بر‌ روی اطلاعات را بر‌عهده دارد و خود از چند زیرسامانه‌ دیگر مانند همبستگی‌سنجی، تشخیص ناهنجاری، ارائه واکنش مناسب، شناسایی و مدیریت دارایی‌ها و … تشکیل شده است. سامانه پرهام در مقیاس‌های متفاوت و به‌صورت محصول سخت‌افزاری/ نرم‌افزاری ارائه می‌شود و مورد تایید مرجع صاافتا و دارای گواهی از سازمان پدافند غیرعامل می‌باشد.

ویژگی‌ها :

  • پشتیبانی از همبسته‌سازی با استفاده از الگوریتم‌های مبتنی بر سناریو، پیش‌شرط و نتیجه، روابط آماری، شباهت، Cross Correlation و Mining Correlation
  • ارائه توپولوژی فعال شبکه و گراف حمله
  • تشخیص ناهنجاری‌ها و رفتارهای مشکوک بر اساس لاگ یا جریان ترافیک مانند NetFlow ،JFlow و …
  • واکنش به رخداد‌ها به صورت دستی و خودکار
  • مقایسه روند چند نمودار رفتاری در بازه‌های زمانی مختلف
  • مدیریت رفتار فعال و مدل ترافیکی هر کاربر، سامانه، ناحیه و سازمان
  • قابلیت شناسایی خودکار همه دارایی‌های سخت‌افزاری و نرم‌افزاری شبکه
  • سامانه مدیریت بلیت یکپارچه جهت پیگیری فرآیند‌های واکنشی و پیشگیرانه
  • تحلیل و مدیریت مخاطرات دارایی‌ها، ناحیه‌ها و کل سازمان به‌صورت جداگانه
  • قابلیت شناسایی حملات چند مرحله‌ای، ترکیبی، چند‌ریختی، آهسته، چند لایه‌ای و …
  • قابلیت انطباق‌ استانداردهای ISO 27002/17799, NIST, PCI DSS, SOX و …
  • امکان Forensics On-The-Fly به منظور دنبال‌کردن هشدارهای ایجادشده تا رسیدن به لاگ‌های خام
  • پشتیبانی از فرمت‌های CEF ،IDMEF و IODEF برای ارسال و گزارش لاگ‌ها و رخداد‌های امنیتی
  • قابلیت امضای دیجیتال لاگ‌ها با استفاده از سرور TSA و بررسی صحت آن‌ها به‌صورت خام
  • قابلیت جستجو، فشرده‌سازی و رمزنگاری لاگ

  پادسا (پایگاه‌دانش سامانه‌های امنیتی)

در این پایگاه ‌دانش انواع رخدادهای تولید شده توسط حسگرهای مختلف در شبکه که می‌توانند در بررسی‌های امنیتی در راستای ادغام هشدارها مورد استفاده قرار بگیرند، جمع‌آوری و دسته‌بندی شده است. این حسگرها شامل انواع HIDS, DBMS, Antivirus, Switch, Firewall, Router, Web Servers, OS, NIDPS و … است.

ویژگی‌ها :

  • حاوی پایگاه‌دانش وصله‌ها و بروزرسانی محصولات Microsoft و Third Party
  • حاوی پایگاه‌دانش معادل هر یک از حسگرهای موجود در سامانه به صورت چند به چند
  • حاوی پایگاه‌دانش اسامیِ استاندارد و قابل خواندن توسط ماشین محصولات حوزه‌IT (CPE)s
  • ویژگی Cross Correlation مابین آسیب‌پذیری‌ها، اکسپلویت‌ها، امضای حملات و امضای حسگرها
  • ارائه راهکارهای امنیتی مرتبط با آسیب‌پذیری‌ها از منابع مختلف و امکان اضافه ‌کردن منابع مورد نظر سازمان
  • پشتیبانی از بیش از 320 حسگر، پانصد هزار آسیب‌پذیری و وصله‌های امنیتی متناظر و هشتاد هزار اکسپلویت
  • حاوی پایگاه‌دانش مراجع معتبر معرفی اکسپلویت‌ها و آسیب‌پذیری‌ها مانند CVE, Exploit-DB, Bugtraq و …

  پگاه (پایگاه گردآوری و همگون سازی)

استقرار پرهام در شبکه‌های بزرگ به‌صورت لایه‌ای است. مدل رایج این نوع استقرار، یک سامانه پرهام به عنوان سرور مرکزی و تعدادی جمع‌کننده پگاه به عنوان واسط در هر شبکه را شامل می‌شود. هر جمع‌کننده اطلاعات شبکه تحت پوشش خود را جمع‌آوری و پس از پردازش اولیه به سرور ارسال می‌کند که موجب توزیع پردازش، کاهش پهنای باند مورد نیاز و افزایش امنیت می‌شود.

ویژگی‌ها :

  • تعریف حسگر جدید و اعمال پلاگین‌های نرمال‌سازی
  • دریافت لیست نرم‌افزارها و وصله‌های دارایی‌ها به صورت بلادرنگ
  • ذخیره لاگ خام و فیلترکردن لاگ در سطح گره، حسگر و نیز لاگ
  • امکان پایش وضعیت حسگرها و مدیریت عاملِ جمع‌کننده‌ رویدادها
  • دریافت لاگ با قالب‌های مختلف مانند Syslog ،SNMP ،CEF و …
  • عملیات اعتبار‌سنجی، نرمال‌سازی، ادغام و فشرده‌سازیِ لاگ از بیش از 320 منبع مختلف
  • امکان نصب عامل پگاه برروی سیستم‌های‌عامل مختلف جهت جمع‌آوری لاگ

نیروی انسانی متخصص به‌عنوان رکن اصلی هر سیستم، در مرکز SOC نیز با انجام وظایف پایش امنیت، تحلیل، گزارش‌دهی، بازبینی و ارتقاء مستمر عملیات امنیت مهم‌ترین نقش را ایفاء می‌کند.

  • تأمین نیروی انسانی متخصص و مجرب جهت راهبری SOC
  • تعریف ساختار سازمانی، نقش‌ها و شرح وظایف و مدل کاری 7×24
  • برگزاری دوره‌های آموزشی و بازدید از مراکز SOC
 

فرآیندها حلقه اتصال تکنولوژی و نیروی انسانی بوده و جریان‌های کاری در مرکز و نیز ارتباط مرکز با بیرون را مشخص می‌سازند. کیفیت عملکرد SOC کاملا وابسته به فرآیند‌های تعریف و اجرا شده است و بدون این فرآیند‌ها SOC اجرا شده عملاً بلا استفاده خواهد بود که نمونه‌های متعددی در کشور دارد.

سفارشی‌سازی بر اساس نیاز سازمان و فرآیند‌های موجود آن
KPI مناسب برای اندازه‌گیریِ کیفیت اجرای فرآیند‌ها و بهبود مستمر آن‌ها
فرآیند‌های طراحی و تست شده طبق استاندارد ITIL، در چهار حوزه فناورانه، تحلیلی، عملیاتی و کسب‌و‌کار

 
  • پیشنهاد و اجرای صفر تا صد راهکار SOC
  • خدمات مشاوره در زمینه تعریف نیازمندی‌ها در قالب RFP و نحوه تعریف پروژه
  • خدمات نظارت بر پروژه SOC
  • خدمات ارزیابی بلوغ مراکز عملیاتی امنیت و ارائه راهکار جهت افزایش سطح بلوغ
  • خدمت طراحی و پیاده‌سازی Use-Case
  • خدمات تحلیلی و آزمایشگاهی
  • اجرای فاز شناخت شبکه و نیازمندی‌های SOC به‌صورت جداگانه
  • اجرای پروژه پیش‌نیاز SOC شامل نصب حسگر، جمع‌آوری لاگ و امن‌سازی
  • ارائه طرح یکپارچه دیتاسنتر امن
  • ارائه خدمات SOC به عنوان سرویس
  • امکان برگزاری همایش‌ها و Workshop
  • پیشنهاد و اجرای صفر تا صد راهکار SOC
  • خدمات مشاوره در زمینه تعریف نیازمندی‌ها در قالب RFP و نحوه تعریف پروژه
  • خدمات نظارت بر پروژه SOC
  • خدمات ارزیابی بلوغ مراکز عملیاتی امنیت و ارائه راهکار جهت افزایش سطح بلوغ
  • خدمت طراحی و پیاده‌سازی Use-Case
  • خدمات تحلیلی و آزمایشگاهی
  • اجرای فاز شناخت شبکه و نیازمندی‌های SOC به‌صورت جداگانه
  • اجرای پروژه پیش‌نیاز SOC شامل نصب حسگر، جمع‌آوری لاگ و امن‌سازی
  • ارائه طرح یکپارچه دیتاسنتر امن
  • ارائه خدمات SOC به عنوان سرویس
  • امکان برگزاری همایش‌ها و Workshop
  • این فیلد برای اعتبار سنجی است و باید بدون تغییر باقی بماند .