الفرق الزرقاء — الدفاعمتقدم55mL21

نمذجة التهديدات والامتثال للمعايير

منهجيات STRIDE والامتثال لمعايير NIST و ISO 27001

#STRIDE#NIST#ISO27001#GDPR

من التهديد إلى الامتثال

تشبيه — شرح مبسط

قبل بناء بيت، المهندس يفكّر: «ما الذي قد يدمّر هذا البيت؟ زلزال؟ فيضان؟ سرقة؟» ثم يصمّم وفقاً لذلك. هذا هو Threat Modeling: فكّر كالمهاجم قبل الكتابة الأولى من الكود.

STRIDE — أبسط نموذج تهديد

طورته Microsoft. كل حرف = فئة تهديد:

S — Spoofing

انتحال هوية. الدفاع: مصادقة قوية (MFA, mTLS).

T — Tampering

العبث بالبيانات. الدفاع: integrity checks (HMAC, signing).

R — Repudiation

إنكار الفعل. الدفاع: logging موثوق + توقيع.

I — Information Disclosure

تسريب بيانات. الدفاع: تشفير + ACLs.

D — Denial of Service

إيقاف الخدمة. الدفاع: rate limiting + redundancy.

E — Elevation of Privilege

رفع صلاحيات. الدفاع: least privilege + separation of duties.

منهجية الـ Threat Modeling

ارسم النظام — Data Flow Diagram (DFD) مع الـ trust boundaries.
طبّق STRIDE على كل عنصر و كل تدفق.
قيّم الخطر — DREAD أو CVSS.
صمّم mitigations لكل تهديد ذي خطر متوسط فأعلى.
وثّق و راجع دورياً (مع كل تغيير معماري).

أدوات: Microsoft Threat Modeling Tool, OWASP Threat Dragon, IriusRisk, pytm.

نماذج بديلة

PASTA (7 خطوات) — أعمق من STRIDE، يربط التهديد بالأعمال.
OCTAVE — يركّز على الأصول المؤسسية.
VAST — Visual, Agile, Simple Threat — يدمج DevOps.
LINDDUN — متخصص في الخصوصية (GDPR).
Attack Trees — تفصيل سيناريوهات هجوم محددة.

NIST Cybersecurity Framework (CSF 2.0)

إطار رسمي مرن. ست وظائف:

Govern — استراتيجية و سياسات و إدارة مخاطر (جديد في 2.0).
Identify — جرد الأصول و المخاطر.
Protect — إجراءات وقائية.
Detect — كشف الحوادث.
Respond — احتواء.
Recover — استعادة الخدمة و الدروس.

نصيحة عملية

ابدأ بـ NIST 800-53 (Controls Catalog) كقائمة تنفيذية، و استخدم CSF كـ overlay استراتيجي. للمؤسسات الصغيرة: CIS Controls v8 أبسط و عملي جداً (18 control area).

ISO/IEC 27001:2022 — معيار عالمي

ISMS — نظام إدارة أمن المعلومات.
يتطلّب Statement of Applicability ضد Annex A (93 control).
دورة Plan-Do-Check-Act (PDCA).
تدقيق خارجي كل 3 سنوات + مراقبة سنوية.
ISO 27002:2022 يقدم guidance لتطبيق controls الـ Annex A.

GDPR و حماية البيانات

المفاهيم الأساسية

Data Subject — الشخص الذي تخصّه البيانات.
Controller — من يقرر الـ processing (شركتك).
Processor — من ينفّذ نيابة (مثل AWS).
Data Protection Officer (DPO) — مطلوب في حالات معينة.

الحقوق

الوصول (Article 15)، التصحيح (16)، النسيان (17)، النقل (20).
الإبلاغ عن الخروقات خلال 72 ساعة (Article 33).

الغرامات

حتى 4% من الإيرادات السنوية العالمية أو 20 مليون يورو، أيهما أعلى.

تجنّب الأخطاء

Data minimization: لا تجمع ما لا تحتاج.
Purpose limitation: لا تعد استخدام البيانات لغرض جديد بدون موافقة.
Cross-border transfers: تحتاج SCCs أو Adequacy Decision.

معايير قطاعية

PCI DSS v4.0

المدفوعات. 12 متطلب رئيسي. تدقيق سنوي (QSA) للشركات الكبرى.

HIPAA

الرعاية الصحية في الولايات المتحدة. PHI = Protected Health Information.

SOC 2

للـ SaaS — Trust Services Criteria (Security, Availability, Confidentiality...).

FedRAMP

للـ cloud services التي تخدم الحكومة الأمريكية.

NIS2 / DORA

الاتحاد الأوروبي — البنية الحيوية و القطاع المالي.

السايبر السعودي (NCA)

ECC (Essential Cybersecurity Controls) و CCC للسحابة.

من «الورق» إلى التطبيق الفعلي

GRC platforms: Vanta, Drata, Tugboat Logic, Hyperproof — أتمتة الأدلة.
Continuous compliance: ربط الـ controls بـ telemetry حية (logs, configs).
Policy as Code: Open Policy Agent (OPA), Conftest, Cloud Custodian.
Compliance is a floor, not a ceiling — الامتثال لا يساوي الأمن.

مقاييس الأمن — KPIs/KRIs

MTTD (Mean Time To Detect).
MTTR (Mean Time To Respond).
نسبة patch SLA compliance.
نسبة phishing click rate vs report rate.
عدد الـ critical findings المفتوحة و عمرها.
تغطية الـ MFA على الحسابات الـ privileged.
نتائج تمارين IR (red/purple team) كل ربع.

القاعدة الذهبية للقياس

قِس ما يُحرّك القرار. الأرقام التي لا تغيّر سلوكاً = ضوضاء.

أمن الشبكات اللاسلكية

الويب المتقدم — تهريب الطلبات وعدم التزامن