Cyber Operations Academy logo
أكاديمية العمليات السيبرانية
Red / Blue / Ops
الرئيسية/الدروس/L19
الفرق الزرقاء — الدفاعمتقدم55mL19

Threat Modeling & Compliance — الورق مش بيحمي

STRIDE و NIST و ISO 27001 و GDPR — تستخدمها إزاي بجد

#STRIDE#NIST#ISO27001#GDPR

من التهديد إلى الامتثال

تشبيه — شرح مبسط
بُص. قبل ما المهندس يبني بيت بيسأل نفسه: إيه اللي ممكن يهدّ البيت ده؟ زلزال؟ فيضان؟ حرامي؟ وبعدين يصمّم على الأساس ده. فلسفة Threat Modeling نفس الكلام: فكّر زي المهاجم قبل ما تكتب أول سطر كود. لو ما عملتش كده، أنت بتبني على رمل.
اوعى تخلط بين Compliance والأمن
- بس يا حضرتك إحنا compliant! عندنا SOC 2! يا نجم الجيل.. Equifax كانت SOC 2 + PCI DSS compliant يوم ما اتخرقت. Target كانت PCI compliant أسبوعين قبل breach الـ 40 مليون كارت. الورق ما بيوقّفش الـ ransomware. الـ controls فعلياً اللي بتوقّف. الفرق زي الفرق بين رخصة سواقة وقدرتك تسوق فعلاً.

STRIDE — أبسط نموذج تهديد

طورته Microsoft. كل حرف = فئة تهديد:

S — Spoofing
انتحال هوية. الحماية: مصادقة قوية (MFA, mTLS).
T — Tampering
العبث بالبيانات. الحماية: integrity checks (HMAC, signing).
R — Repudiation
إنكار الفعل. الحماية: logging موثوق + توقيع.
I — Information Disclosure
تسريب بيانات. الحماية: تشفير + ACLs.
D — Denial of Service
إيقاف الخدمة. الحماية: rate limiting + redundancy.
E — Elevation of Privilege
رفع صلاحيات. الحماية: least privilege + separation of duties.

منهجية الـ Threat Modeling

  1. ارسم النظام — Data Flow Diagram (DFD) مع الـ trust boundaries.
  2. طبّق STRIDE على كل عنصر و كل تدفق.
  3. قيّم الخطر — DREAD أو CVSS.
  4. صمّم mitigations لكل تهديد ذي خطر متوسط فأعلى.
  5. وثّق و راجع دورياً (مع كل تغيير معماري).

أدوات: Microsoft Threat Modeling Tool, OWASP Threat Dragon, IriusRisk, pytm.

نماذج بديلة

  • PASTA (7 خطوات) — أعمق من STRIDE، يربط التهديد بالأعمال.
  • OCTAVE — يركّز على الأصول المؤسسية.
  • VAST — Visual, Agile, Simple Threat — يدمج DevOps.
  • LINDDUN — متخصص في الخصوصية (GDPR).
  • Attack Trees — تفصيل سيناريوهات هجوم محددة.

NIST Cybersecurity Framework (CSF 2.0)

إطار رسمي مرن. ست وظائف:

  1. Govern — استراتيجية و سياسات و إدارة مخاطر (جديد في 2.0).
  2. Identify — جرد الأصول و المخاطر.
  3. Protect — إجراءات وقائية.
  4. Detect — كشف الحوادث.
  5. Respond — احتواء.
  6. Recover — استعادة الخدمة و الدروس.
نصيحة عملية
ابدأ بـ NIST 800-53 (Controls Catalog) كقائمة شغّالة على الأرض، واستخدم CSF فوقه كطبقة استراتيجية. لو المؤسسة صغيرة: CIS Controls v8 أبسط وعملي جداً (18 control area) — هتلاقيه يكفّيك.

ISO/IEC 27001:2022 — معيار عالمي

  • ISMS — نظام إدارة أمن المعلومات.
  • يتطلّب Statement of Applicability ضد Annex A (93 control).
  • دورة Plan-Do-Check-Act (PDCA).
  • تدقيق خارجي كل 3 سنوات + مراقبة سنوية.
  • ISO 27002:2022 يقدم guidance لتطبيق controls الـ Annex A.

GDPR و حماية البيانات

المفاهيم الأساسية

  • Data Subject — الشخص الذي تخصّه البيانات.
  • Controller — من يقرر الـ processing (شركتك).
  • Processor — من ينفّذ نيابة (مثل AWS).
  • Data Protection Officer (DPO) — مطلوب في حالات معينة.

الحقوق

  • الوصول (Article 15)، التصحيح (16)، النسيان (17)، النقل (20).
  • الإبلاغ عن الخروقات خلال 72 ساعة (Article 33).

الغرامات

حتى 4% من الإيرادات السنوية العالمية أو 20 مليون يورو، أيهما أعلى.

تجنّب الأخطاء
  • Data minimization: لا تجمع ما لا تحتاج.
  • Purpose limitation: لا تعد استخدام البيانات لغرض جديد بدون موافقة.
  • Cross-border transfers: تحتاج SCCs أو Adequacy Decision.

معايير قطاعية

PCI DSS v4.0
المدفوعات. 12 متطلب رئيسي. تدقيق سنوي (QSA) للشركات الكبرى.
HIPAA
الرعاية الصحية في الولايات المتحدة. PHI = Protected Health Information.
SOC 2
للـ SaaS — Trust Services Criteria (Security, Availability, Confidentiality...).
FedRAMP
للـ cloud services التي تخدم الحكومة الأمريكية.
NIS2 / DORA
الاتحاد الأوروبي — البنية الحيوية و القطاع المالي.
السايبر السعودي (NCA)
ECC (Essential Cybersecurity Controls) و CCC للسحابة.

من «الورق» إلى التطبيق الفعلي

  1. GRC platforms: Vanta, Drata, Tugboat Logic, Hyperproof — أتمتة الأدلة.
  2. Continuous compliance: ربط الـ controls بـ telemetry حية (logs, configs).
  3. Policy as Code: Open Policy Agent (OPA), Conftest, Cloud Custodian.
  4. Compliance is a floor, not a ceiling — الامتثال أرضية، مش سقف. كونك Compliant ما يعنيش إنك Secure.

مقاييس الأمن — KPIs/KRIs

  • MTTD (Mean Time To Detect).
  • MTTR (Mean Time To Respond).
  • نسبة patch SLA compliance.
  • نسبة phishing click rate vs report rate.
  • عدد الـ critical findings المفتوحة و عمرها.
  • تغطية الـ MFA على الحسابات الـ privileged.
  • نتائج تمارين IR (red/purple team) كل ربع.
القاعدة الذهبية للقياس
قيس اللي بيحرّك القرار. أي رقم ما بيغيّرش سلوك = ضوضاء، ارميه. الـ Dashboard المليان أرقام ما حدش بيتصرف بناءً عليها = عك.

اوعى تعمل الغلطات دي

اللي بيحصل فعلياً في الجهات
  • بيقفل الـ findings بكلمة "accepted risk" من غير صاحب قرار يوقّع. وقت الـ breach، الـ legal بيدوّر على ورقة. مفيش ورقة = ميل تاج على رقبتك.
  • بيـ run nessus قبل الأوديت بأسبوع، ويصلّح اللي طلع بس. اللي ما طلعش = موجود لسه.
  • الـ policy بتقول "MFA on all admin accounts" — بس مفيش enforcement. الـ check الفصلي يدوي وبيلاقي 30% ما عاملينش.
  • بيخلط بين compliance evidence (screenshots) و detection (alerts). الأودِيتور بيشوف ورق جميل، الـ MTTD 14 يوم.
  • بياخد قرار يـ "outsource compliance" لـ Vanta/Drata — وبعدها فاكر إن الـ tool هيأمّن الشركة. لا. الـ tool بيوثّق بس.

الخلاصة: الـ compliance أرضية مش سقف. لو فريقك بيشتغل علشان الأودِيتور، أنت آمن من الأودِيتور. مش آمن من الـ APT.

الخلاصة الناشفة

الورق من غير تطبيق = مسرح.

التطبيق من غير توثيق = شغل ضايع وقت الأزمة.

الاتنين مع بعض = الفرق بين فريق ناضج وفريق هاوي.

اكتبها على المكتب: لو فريقك بيشتغل علشان الأودِيتور، أنت متحصّن من الأودِيتور. مش متحصّن من الـ APT.

السابق
Hardening — قبل المهاجم بيوم
الوحدة التالية
Email Header Analysis — Phishing من جوّه