مرکز عملیات امنیت پاسا Pasa SOC
مرکز عملیات امنیت واحدی شامل سه لایه تکنولوژی، نیروی متخصص و فرآیندهای متناسب است. این مرکز با دریافت لاگ و اطلاعاتِ جریان ترافیک از تجهیزات تشخیص نفوذ و بدافزار، وبسرورها، سیستمهای عامل، برنامههای کاربردی، پایگاهدادهها، کلاینتها، تجهیزات شبکه و بهطورکلی هر سامانه تولید کننده لاگِ با ارزش امنیتی؛ امور پایش امنیت و ارتقاء مستمر آن را به واسطه دو جنبه اقدامات پیشگیرانه امنسازی و اقدامات واکنشیِ رسیدگی به رخداد به صورت 7×24 انجام میدهد.
شرکت امن افزار گستر شریف با پشتوانه تجربیات موفق طی سال های متمادی در حوزه امنیت و با تکیه بر توانمندی بومی از چندین سال پیش سرمایه گذاری قابل توجهی روی راهکارهای SOC نموده و با هدف تولید بومی همه لایههای آن اعم از تکنولوژی، فرآیند،نیروی انسانی و دانش بهترین منابع خود را بکار گرفته است. این شرکت کار خود در حوزه SOC را با تشکیل یک تیم قوی امنیت آغاز نمود و محصول تولید شده بر اساس آن را در محیط های عملیاتی راه اندازی و بهینه سازی نموده است. در نتیجه این نگاه و تجربیات، راهکار SOC ارائه شده توسط شرکت امن افزار گستر شریف در بسیاری از ویژگیها با راهکارهای مشابه خارجی کاملا رقابتی بوده و در بخش قابل توجهی بهتر از راهکارهای خارجی قابل تامین در کشور است.
راهکار SOC امن افزار گستر شریف (پاسا) طی 6 سال کار مستمر و بیش از 50 نیروی متخصص به صورت کاملاً بومی و در عین حال با استفاده از آخرین فناوریهای جهانی طراحی، تولید و عملیاتی شده و در سه حوزه IT، Telecom و ICS قابل راهاندازی و کشف حملات است. راهکارهای اجرا شده پاسا طی سال 95 موفق به کشف و رسیدگی به 650 حمله و رخداد امنیتی شدهاند که از این بین 3 مورد به پیگیری حقوقی یا ارجاع به پلیس فتا منجر شده است. همچنین پاسا توانسته است در این مدت باج افزارهایی نظیر wannacry را از روی ناهنجاری رفتاری آنها شناسایی کند. مرکز عملیات امنیت امن افزار گستر شریف طی چند بازدید خارجی به تائید مراکز SOC از کشورهای کره جنوبی و مالزی و نماینده FIRST آمریکا رسیده است.
راهکار جامع ارائه شده توسط امن افزار گستر شریف در بخش تکنولوژی علاوه بر هسته SIEM پرهام تمام عناصر مؤثر در مرکز عملیات امنیت از جمله تجهیزات امنیتی و تشخیص نفوذ، تجهیزات مدیریت امنیتی شبکه، زیرساخت شبکهای، پردازشی و ذخیرهسازی و همینطور تجهیزات سالن مانیتورینگ را شامل میشود.
پرهام شامل سه بخش عمده پادسا، پاثاد و پگاه است. در کنار این موارد عامل (Agent) بومی پرهام نیز با نصب روی میزبانهای شبکه، امکانات مدیریتی و نظارتی را روی آنها فراهم میکند.
مرکز عملیات امنیت پاسا Pasa SOC
سامانه پرهام هسته اصلی و مرکزی راهکار پاسا است که وظیفه پردازش بر روی اطلاعات را برعهده دارد و خود از چند زیرسامانه دیگر مانند همبستگیسنجی، تشخیص ناهنجاری، ارائه واکنش مناسب، شناسایی و مدیریت داراییها و … تشکیل شده است. سامانه پرهام در مقیاسهای متفاوت و بهصورت محصول سختافزاری/ نرمافزاری ارائه میشود و مورد تایید مرجع صاافتا و دارای گواهی از سازمان پدافند غیرعامل میباشد.
ویژگیها :
- پشتیبانی از همبستهسازی با استفاده از الگوریتمهای مبتنی بر سناریو، پیششرط و نتیجه، روابط آماری، شباهت، Cross Correlation و Mining Correlation
- ارائه توپولوژی فعال شبکه و گراف حمله
- تشخیص ناهنجاریها و رفتارهای مشکوک بر اساس لاگ یا جریان ترافیک مانند NetFlow ،JFlow و …
- واکنش به رخدادها به صورت دستی و خودکار
- مقایسه روند چند نمودار رفتاری در بازههای زمانی مختلف
- مدیریت رفتار فعال و مدل ترافیکی هر کاربر، سامانه، ناحیه و سازمان
- قابلیت شناسایی خودکار همه داراییهای سختافزاری و نرمافزاری شبکه
- سامانه مدیریت بلیت یکپارچه جهت پیگیری فرآیندهای واکنشی و پیشگیرانه
- تحلیل و مدیریت مخاطرات داراییها، ناحیهها و کل سازمان بهصورت جداگانه
- قابلیت شناسایی حملات چند مرحلهای، ترکیبی، چندریختی، آهسته، چند لایهای و …
- قابلیت انطباق استانداردهای ISO 27002/17799, NIST, PCI DSS, SOX و …
- امکان Forensics On-The-Fly به منظور دنبالکردن هشدارهای ایجادشده تا رسیدن به لاگهای خام
- پشتیبانی از فرمتهای CEF ،IDMEF و IODEF برای ارسال و گزارش لاگها و رخدادهای امنیتی
- قابلیت امضای دیجیتال لاگها با استفاده از سرور TSA و بررسی صحت آنها بهصورت خام
- قابلیت جستجو، فشردهسازی و رمزنگاری لاگ
پادسا (پایگاهدانش سامانههای امنیتی)
در این پایگاه دانش انواع رخدادهای تولید شده توسط حسگرهای مختلف در شبکه که میتوانند در بررسیهای امنیتی در راستای ادغام هشدارها مورد استفاده قرار بگیرند، جمعآوری و دستهبندی شده است. این حسگرها شامل انواع HIDS, DBMS, Antivirus, Switch, Firewall, Router, Web Servers, OS, NIDPS و … است.
ویژگیها :
- حاوی پایگاهدانش وصلهها و بروزرسانی محصولات Microsoft و Third Party
- حاوی پایگاهدانش معادل هر یک از حسگرهای موجود در سامانه به صورت چند به چند
- حاوی پایگاهدانش اسامیِ استاندارد و قابل خواندن توسط ماشین محصولات حوزهIT (CPE)s
- ویژگی Cross Correlation مابین آسیبپذیریها، اکسپلویتها، امضای حملات و امضای حسگرها
- ارائه راهکارهای امنیتی مرتبط با آسیبپذیریها از منابع مختلف و امکان اضافه کردن منابع مورد نظر سازمان
- پشتیبانی از بیش از 320 حسگر، پانصد هزار آسیبپذیری و وصلههای امنیتی متناظر و هشتاد هزار اکسپلویت
- حاوی پایگاهدانش مراجع معتبر معرفی اکسپلویتها و آسیبپذیریها مانند CVE, Exploit-DB, Bugtraq و …
پگاه (پایگاه گردآوری و همگون سازی)
استقرار پرهام در شبکههای بزرگ بهصورت لایهای است. مدل رایج این نوع استقرار، یک سامانه پرهام به عنوان سرور مرکزی و تعدادی جمعکننده پگاه به عنوان واسط در هر شبکه را شامل میشود. هر جمعکننده اطلاعات شبکه تحت پوشش خود را جمعآوری و پس از پردازش اولیه به سرور ارسال میکند که موجب توزیع پردازش، کاهش پهنای باند مورد نیاز و افزایش امنیت میشود.
ویژگیها :
- تعریف حسگر جدید و اعمال پلاگینهای نرمالسازی
- دریافت لیست نرمافزارها و وصلههای داراییها به صورت بلادرنگ
- ذخیره لاگ خام و فیلترکردن لاگ در سطح گره، حسگر و نیز لاگ
- امکان پایش وضعیت حسگرها و مدیریت عاملِ جمعکننده رویدادها
- دریافت لاگ با قالبهای مختلف مانند Syslog ،SNMP ،CEF و …
- عملیات اعتبارسنجی، نرمالسازی، ادغام و فشردهسازیِ لاگ از بیش از 320 منبع مختلف
- امکان نصب عامل پگاه برروی سیستمهایعامل مختلف جهت جمعآوری لاگ
نیروی انسانی متخصص بهعنوان رکن اصلی هر سیستم، در مرکز SOC نیز با انجام وظایف پایش امنیت، تحلیل، گزارشدهی، بازبینی و ارتقاء مستمر عملیات امنیت مهمترین نقش را ایفاء میکند.
- تأمین نیروی انسانی متخصص و مجرب جهت راهبری SOC
- تعریف ساختار سازمانی، نقشها و شرح وظایف و مدل کاری 7×24
- برگزاری دورههای آموزشی و بازدید از مراکز SOC
فرآیندها حلقه اتصال تکنولوژی و نیروی انسانی بوده و جریانهای کاری در مرکز و نیز ارتباط مرکز با بیرون را مشخص میسازند. کیفیت عملکرد SOC کاملا وابسته به فرآیندهای تعریف و اجرا شده است و بدون این فرآیندها SOC اجرا شده عملاً بلا استفاده خواهد بود که نمونههای متعددی در کشور دارد.
سفارشیسازی بر اساس نیاز سازمان و فرآیندهای موجود آن
KPI مناسب برای اندازهگیریِ کیفیت اجرای فرآیندها و بهبود مستمر آنها
فرآیندهای طراحی و تست شده طبق استاندارد ITIL، در چهار حوزه فناورانه، تحلیلی، عملیاتی و کسبوکار
- پیشنهاد و اجرای صفر تا صد راهکار SOC
- خدمات مشاوره در زمینه تعریف نیازمندیها در قالب RFP و نحوه تعریف پروژه
- خدمات نظارت بر پروژه SOC
- خدمات ارزیابی بلوغ مراکز عملیاتی امنیت و ارائه راهکار جهت افزایش سطح بلوغ
- خدمت طراحی و پیادهسازی Use-Case
- خدمات تحلیلی و آزمایشگاهی
- اجرای فاز شناخت شبکه و نیازمندیهای SOC بهصورت جداگانه
- اجرای پروژه پیشنیاز SOC شامل نصب حسگر، جمعآوری لاگ و امنسازی
- ارائه طرح یکپارچه دیتاسنتر امن
- ارائه خدمات SOC به عنوان سرویس
- امکان برگزاری همایشها و Workshop
- پیشنهاد و اجرای صفر تا صد راهکار SOC
- خدمات مشاوره در زمینه تعریف نیازمندیها در قالب RFP و نحوه تعریف پروژه
- خدمات نظارت بر پروژه SOC
- خدمات ارزیابی بلوغ مراکز عملیاتی امنیت و ارائه راهکار جهت افزایش سطح بلوغ
- خدمت طراحی و پیادهسازی Use-Case
- خدمات تحلیلی و آزمایشگاهی
- اجرای فاز شناخت شبکه و نیازمندیهای SOC بهصورت جداگانه
- اجرای پروژه پیشنیاز SOC شامل نصب حسگر، جمعآوری لاگ و امنسازی
- ارائه طرح یکپارچه دیتاسنتر امن
- ارائه خدمات SOC به عنوان سرویس
- امکان برگزاری همایشها و Workshop