٣٦ وحدة و١٩١ لبنة و٣٢٢ مختبرًا، منظَّمة حسب المجال. اللبنة وحدة تعلّم مستقلة: يمكن للمتعلّم طلبها ومتابعتها بمفردها مع مختبراتها العملية. يُطلب كل مكوّن على حدة — من اللبنة إلى الوحدة وصولًا إلى المسار. ويُفصَّل كل وحدة بمنهجها (Syllabus).
اختر مستوى الدقّة — انقر على اللبنة أو الوحدة.
هل يبدو لك الأمن السيبراني حكراً على المختصّين؟ هذه الدورة الأولى تثبت العكس. في أيام قليلة، ودون متطلبات تقنية متقدّمة، ستفهم كيف يعمل العالم الرقمي للمؤسسة، وكيف تحدث الهجمات السيبرانية، وما الذي يمكن فعله للحماية منها.
يشفّر برنامج فدية خوادم شركة صغيرة مساء يوم جمعة: ماذا حدث، وما الذي كان فعلاً على المحك؟ تتطلّب الإجابة الدقيقة مفردات محدّدة، وهي التي ترسيها هذه اللبنة. تربط بين الأصل والتهديد والثغرة، ثم الخطر — سيناريو محتمل يُوزن باحتماليته وأثره. والأهمّ أن تتعلّم عدم الخلط بين الخطر الذي يُستبق وبين الحادث الذي هو تجسّده، وأن تصف الحادث بخصائص الأمن التي يمسّها (السرية، السلامة، التوافر). هكذا تبدأ بالتحدّث بلغة إدارة المخاطر المشتركة، تلك التي تجعل قرار الأمن قابلاً للدفاع عنه.
الهدف : توصيف حادث وفق ثالوث CIA ومفاهيم الأصل/التهديد/الثغرة/الخطر.
المفاهيم : السرّية والسلامة والتوافر، والأصالة وعدم الإنكار · الأصل، التهديد، الثغرة، الخطر · مشهد التهديدات 2026
التحدّي : صنّف حادثًا معطى (رسالة فدية + سجلات) حسب خصائص CIA المنتهَكة.
المتوقّع : يُعتمد إذا كان تصنيف CIA صحيحًا، ومصفوفة الأصل×التهديد متّسقة، والتقدير مبرّرًا؛ ويثبت العَلَم القراءة الصحيحة لحادث التحدّي.
فتح التقاطٍ شبكي لأوّل مرّة يعني مواجهة آلاف الأسطر التي تبدو مستعصية على الفهم. مع Wireshark تتعلّم ترتيبها: تتبّع اتصال طبقةً طبقةً، من نموذج OSI إلى مصافحة TCP، وتمييز الحركة العادية من الشاذّة — مع الانتباه إلى أنّ جزءاً من الحركة مشفّر ولا يكشف سوى بياناته الوصفية (العناوين، المنافذ، الحجم). تتدرّب على التقاطٍ يُخفي مسحاً للمنافذ يجب عليك عزله. قراءة الحركة مهارة أساسية ستعيد استخدامها في الدفاع كما في التحليل الهجومي — نقطة انطلاق أيّ تحقيق.
الهدف : قراءة اتصال طبقةً طبقة ورصد تبادل شاذ.
المفاهيم : طبقات OSI السبع / TCP-IP الأربع · التغليف، المنافذ، مصافحة TCP · DNS/DHCP
التحدّي : اعثر على عنوان IP الذي يمسح والمنفذ المستهدف في الالتقاط.
المتوقّع : يُعتمد إذا عُلِّقت المصافحة بشكل صحيح وعُثر على IP المصدر للمسح والمنفذ المستهدف في الالتقاط (بدليل العَلَم).
اختبار تقنية أمنية على جهاز عملك يُعرّضه لأضرار لا رجعة فيها؛ لذلك يعمل المحترفون في بيئة قابلة للإتلاف يمكن اختراقها ثمّ إعادتها إلى حالتها. مع Proxmox تنشر آلة افتراضية على شبكة معزولة وتطبّق عليها مستوى أوّليّاً من التحصين، متعاملاً مع ثلاثة مفاهيم تتكرّر في كلّ مكان: المُحاكي الافتراضي (hypervisor)، واللقطة (snapshot، حالة محفوظة يمكن العودة إليها)، وتجزئة الشبكة. التحدّي يتلخّص في إثبات واحد: أن لا تخرج أيّ حركة من الآلة إلّا نحو خادم المختبر. تكتسب الشرط المسبق لأيّ منصّة اختبار آمنة فعلاً.
الهدف : إنشاء جهاز افتراضي على شبكة معزولة وتطبيق تقوية دنيا.
المفاهيم : مُراقِب أجهزة من النوع 1/2، اللقطات · شبكات NAT/host-only/معزولة · تقوية أساسية
التحدّي : أثبت تعذّر أي خروج شبكي إلا نحو خادم المختبر.
المتوقّع : يُعتمد إذا لم يبلغ الجهاز أي وجهة خارج خادم المختبر ووُجدت اللقطة المرجعية؛ ودليل العزل مطلوب.
كم من الخدمات تتركها مؤسسة ظاهرةً على الإنترنت دون أن تدري؟ غالباً أكثر بكثير ممّا تظنّ. مع Shodan وCensys تتعلّم رسم سطح الهجوم الخارجي هذا انطلاقاً من بيانات مجموعة مسبقاً، دون إرسال أيّ طلب إلى الهدف: إنّه الاستطلاع السلبي. تقرأ لافتات الخدمات (banners)، وتصقل مرشّحاتك، وتكشف ما لا ينبغي أن يكون متاحاً، حتّى أخطر واجهة إدارة مكشوفة. هذه المهارة تخدم أوّلاً مدافعاً يدقّق محيطه الخاصّ — وتُظهر، بالحركة نفسها، ما يراه المهاجم أوّلاً.
الهدف : اكتشاف التعرّض الخارجي لمؤسسة من المصادر المفتوحة.
المفاهيم : البصمة الخارجية، اللافتات · مرشّحات Shodan/Censys · خطر لوحات الإدارة المكشوفة
التحدّي : اعثر على خدمة الإدارة المكشوفة الأكثر حرجًا.
المتوقّع : يُعتمد إذا اكتمل جرد الخدمات المكشوفة وعُيّنت خدمة الإدارة الأكثر حرجًا بشكل صحيح.
قد تملك مؤسسة جدار حماية ومضادّ فيروسات ونسخاً احتياطية، وتُشلّ رغم ذلك: الحمايات المتجاورة لا تشكّل دفاعاً إن تداخلت في مواضع وتركت ثغرات في أخرى. تربط تدابير ملموسة بالوظائف الستّ لإطار NIST CSF 2.0 — الحوكمة، التعرّف، الحماية، الكشف، الاستجابة، التعافي — وهو إطار شائع من بين أطر أخرى (ISO 27001، أطر وطنية). تصنّف الضوابط بحسب دورها (وقائي، كشفي، تصحيحي) وتحدّد الوظيفة الأضعف تغطيةً. تخرج بشبكة قراءة قابلة لإعادة الاستخدام لهيكلة وضعية أمنية.
الهدف : ربط ضوابط ملموسة بالوظائف الست لـ NIST CSF 2.0.
المفاهيم : طبقات الدفاع · الوظائف الست لـ CSF 2.0 (الحوكمة…الاستعادة) · وقائي/كشفي/تصحيحي
التحدّي : صنّف 12 ضابطًا وسمِّ الوظيفة الأضعف.
المتوقّع : يُعتمد إذا رُبطت الضوابط الاثنا عشر بالوظائف الست بشكل صحيح وحُدّدت الوظيفة الأضعف بشكل صحيح.
تشفير ملف، والتحقّق من أنّه لم يُعدَّل، واشتراط عامل ثانٍ عند الدخول: ثلاثة أفعال يومية تقوم كلّها على التعمية التطبيقية. مع OpenSSL تشفّر ملفاً وتتحقّق من سلامته عبر التجزئة (hashing)، ثمّ تُرسي مصادقة قوية — موضّحاً تمييزين كثيراً ما يختلطان: التشفير المتماثل مقابل غير المتماثل، والتجزئة مقابل التشفير. النقطة الحاسمة: ليست كلّ العوامل الثانية سواء؛ تنشر عاملاً مقاوماً فعلاً للتصيّد (FIDO2/passkeys)، حيث يمكن اعتراض رمز لمرّة واحدة. تتعلّم حماية معطىً ووصولٍ معاً — وإثبات ذلك.
الهدف : حماية ملف والتحقّق من سلامته.
المفاهيم : متماثل مقابل غير متماثل · التجزئة والسلامة · ممارسات كلمات المرور الجيدة
التحدّي : أعطِ SHA-256 للملف النموذجي وأثبت التعديل.
المتوقّع : يُعتمد إذا عُمِّي الملف وفُكّت تعميته دون فقد، وإذا أثبتت البصمة المقدَّمة تعديل بايت واحد.
الهدف : إرساء المصادقة متعددة العوامل وسياسة كلمات مرور متينة.
المفاهيم : MFA، FIDO2/passkeys · مدير كلمات المرور · تصيّد المعرّفات
التحدّي : أثبت أن الدخول يشترط عاملًا ثانيًا مقاومًا للتصيّد.
المتوقّع : يُعتمد إذا اشترطت إعادة الدخول عاملًا ثانيًا مقاومًا للتصيّد، بدليل.
يوقف مشغّل أنبوب وقود أمريكي توزيعه بعد اختراق ببرمجية فدية دخل عبر حساب VPN يخلو من المصادقة الثنائية.
المهمة : Situer les grandes familles de menaces et expliquer comment un simple accès mal protégé devient la matérialisation d'un risque majeur pour une organisation et ses usagers.
تُجنَّد مئات الآلاف من الأجهزة المتصلة المتروكة بكلمات مرور المصنع ضمن شبكة من الأجهزة المخترقة تشلّ خدمات كبرى على الإنترنت.
المهمة : Découvrir la surface d'attaque grand public et mesurer l'effet d'échelle d'une hygiène faible sur la disponibilité de services tiers.
لينكس هو ساحة عمل الأمن السيبراني بأكمله. تجعلك هذه الدورة متمكّناً منه: سطر الأوامر، الأتمتة، الشبكة، وحاويات دوكر. تتعلّم بالممارسة حتى يصبح الطرفية أمراً تلقائياً.
على معظم الخوادم والحاويات لا توجد واجهة رسومية: كلّ شيء يمرّ عبر سطر الأوامر. تجعلك هذه اللبنة مستقلّاً فيه — نظام الملفات وأذوناته (قراءة، كتابة، تنفيذ، وبِتّ SUID الذي يشغّل برنامجاً بصلاحيات مالكه)، والحسابات والمجموعات — ثمّ معالجة النصوص بـ grep وawk وsed. تفحص جهازاً، وتكتشف ثنائياً SUID شاذّاً (مسار كلاسيكي لتصعيد الصلاحيات)، وتستخرج المعلومة المفيدة من سجلّ ضخم. عندئذٍ يكفّ سطر الأوامر عن كونه عائقاً ليصبح أداة توجّهها.
الهدف : فحص نظام Linux وأذوناته عبر سطر الأوامر.
المفاهيم : FHS، rwx/SUID · المستخدمون/المجموعات
التحدّي : اعثر على ثنائي SUID غير المعتاد.
المتوقّع : يُعتمد إذا اكتمل تدقيق ثنائيات SUID وعُزل الثنائي الشاذ بشكل صحيح.
الهدف : معالجة البيانات بـ grep/awk/sed.
المفاهيم : إعادة التوجيه، الأنابيب · grep/awk/sed
التحدّي : أعطِ IP الأكثر تكرارًا في السجلّ المتوفّر.
المتوقّع : يُعتمد إذا أنتجت سلسلة المرشّحات العدّ الصحيح وكان IP الأكثر تكرارًا دقيقًا.
الأتمتة توفّر الوقت — إلى أن يأتي يوم يمحو فيه سكربت هشّ ما كان يفترض به حفظه. تتعلّم كتابة Bash يفشل بنظافة ويُعاد تشغيله دون ضرر (idempotence)، مع تدوين السجلّات، ثمّ جدولة مهامّ متكرّرة عبر cron ومؤقّتات systemd والإشراف عليها. تُنتج سكربت نسخ احتياطي يمكن التحقّق من نتيجته، وتُثبت أنّ مهمّة مجدولة قد انطلقت ودُوّنت. تكسب ما يلزم لجعل العمليات المتكرّرة موثوقة، من النسخ الاحتياطي إلى جمع الأدلّة.
الهدف : كتابة سكربت نسخ احتياطي موثوق وخامل التكرار.
المفاهيم : set -euo pipefail · التسجيل، خمول التكرار
التحدّي : قدّم سكربتًا ينتج أرشيفًا قابلًا للتحقّق.
المتوقّع : يُعتمد إذا أنتج السكربت أرشيفًا موسومًا بالوقت قابلًا للتحقّق ببصمته، وعمل دون خطأ عند إعادة تشغيله.
الهدف : جدولة المهام المتكرّرة والإشراف عليها.
المفاهيم : Cron مقابل المؤقّتات · سجلّات التنفيذ
التحدّي : أثبت انطلاق المؤقّت وتسجيله.
المتوقّع : يُعتمد إذا انطلق المؤقّت في المواعيد المقرّرة وسُجّل تنفيذه (وفشله).
سؤالان إداريّان يكشفان الكثير عن أمن آلة: ما الذي يعمل عليها، ومن أين جاء ما رُكّب فيها؟ مع systemd وjournalctl تشخّص العمليات والخدمات، ثمّ تدير الحزم والمستودعات (APT/dpkg) مع التحقّق من تواقيعها. تكشف خدمة فُعّلت من دون علمك — صورة من صور استمرارية المهاجم — وحزمة غير موقّعة، مدخلاً محتملاً لاختراق سلسلة التوريد. تستطيع عندئذٍ تحديد الحالة الفعلية لنظام وتتبّع مصدر برمجياته.
الهدف : تشخيص العمليات والخدمات.
المفاهيم : العمليات، الإشارات · systemd/journalctl
التحدّي : أعطِ الخدمة الخبيثة المُفعّلة على الجهاز.
المتوقّع : يُعتمد إذا ميّز التشخيص الخدمة الخبيثة عن البقية وسمّاها بشكل صحيح.
الهدف : تحزيم وإدارة الاعتماديات بنظافة.
المفاهيم : APT/dpkg · المستودعات والتواقيع
التحدّي : أعطِ الحزمة غير الموقّعة المكتشَفة.
المتوقّع : يُعتمد إذا أُجري التحقّق من التوقيع وحُدّدت الحزمة غير الموقّعة بشكل صحيح.
غالباً ما تستمع آلة حديثة التثبيت على منافذ أكثر ممّا تحتاج، وكلّ منفذ مفتوح بابٌ إضافي. تضبط العنونة والتوجيه تحت لينكس (Netplan)، ثمّ تقيّد الاتصالات الواردة بـ UFW فوق nftables. الهدف لا لبس فيه: ألّا يبقى متاحاً سوى SSH من الشبكة الفرعية للمختبر، وإثبات ذلك. تستطيع عندئذٍ تقليص التعرّض الشبكي لآلة إلى الحدّ الأدنى الضروري.
الهدف : ضبط العنونة والتوجيه وUFW.
المفاهيم : Netplan/ip، المسارات · nftables/UFW رفض
التحدّي : اكشف SSH فقط للشبكة الفرعية للمختبر وأثبت ذلك.
المتوقّع : يُعتمد إذا كان SSH وحده قابلًا للبلوغ من الشبكة الفرعية للمختبر، بإثبات عبر ss/tcpdump.
يُظنّ غالباً أنّ الحاوية محكمة بطبيعتها؛ والحقيقة أنّ أمنها يتحدّد بكيفية بناء صورتها وكيفية تشغيلها. تبني صورة Docker محصّنة — لا تعمل بصلاحيات المدير (non-root)، ونظام ملفاتها للقراءة فقط — مع فهم طبقاتها المتتالية وآليات العزل في النواة (namespaces، cgroups). تحلّلها بـ Trivy وتسلّمها خاليةً من ثغرة حرجة معروفة. تستطيع الآن إنتاج حاوية تضيّق سطح الهجوم بدل أن توسّعه.
الهدف : بناء صورة غير جذرية، للقراءة فقط.
المفاهيم : الصور/الطبقات، Dockerfile · فضاءات الأسماء/cgroups، الحدود
التحدّي : سلّم صورة دون ثغرة CVE عالية (تقرير Trivy).
المتوقّع : يُعتمد إذا عملت الصورة غير جذرية وللقراءة فقط، ولم يُظهر تقرير Trivy أي ثغرة عالية الحرجية.
يزرع أحد المساهمين بابًا خلفيًا في مكتبة ضغط موجودة في معظم توزيعات Linux، تستهدف خدمة SSH.
المهمة : Comprendre l'écosystème des paquets et des dépendances open source, et lire un arbre de processus pour repérer un comportement anormal au démarrage d'un service.
يبقى فاعل تابع لدولة داخل شبكات البنية التحتية مستخدمًا أدوات النظام الشرعية فقط، دون نشر برمجية خبيثة قابلة للكشف.
المهمة : Identifier des commandes système courantes détournées de leur usage et acquérir les premiers réflexes de lecture de journaux sous Linux.
يشهد مصرف تسريب أكثر من مئة مليون سجلّ بعد إساءة استخدام دور تقني مفرط الصلاحيات على نسخة مستضافة.
المهمة : Se familiariser avec l'isolation, les comptes de service et la séparation des privilèges entre instances et conteneurs.
تعلّمك هذه الدورة أن تنظر إلى الشبكة كما يفعل المحترفون: رصد ما يجري، وما هو خاطئ، وأين تختبئ الثغرات. إنها الجسر نحو التحقيق والدفاع المتقدّم واختبار الاختراق.
لا تهاجم ولا تدافع عمّا لم ترسمه خريطةً. تكتشف المضيفين والمنافذ والخدمات بـ Nmap — متحكّماً بأنواع المسح وإيقاعه وكشف الإصدارات — ثمّ تعدّد خدمات Windows (مشاركات SMB، دليل LDAP) انطلاقاً من لينكس. تربط إصدار خدمة بثغرة معروفة (CVE) وتكشف مشاركة متاحة بوصول مجهول (دون مصادقة). إنّها الجردة التي يضعها مختبِر اختراق، كما يضعها مدافع حريص على معرفة محيطه.
الهدف : رسم خريطة المضيفين والمنافذ والخدمات.
المفاهيم : مسوحات SYN/connect/UDP، التوقيت · كشف نظام التشغيل/الإصدارات
التحدّي : حدّد الخدمة القابلة للاستغلال بإصدارها وCVE الخاص بها.
المتوقّع : يُعتمد إذا اكتملت الخريطة ورُبطت الخدمة القابلة للاستغلال بالإصدار الصحيح وCVE الصحيح.
الهدف : تعداد خدمات Windows من Linux.
المفاهيم : مشاركات SMB، الجلسات الفارغة · LDAP/الدليل
التحدّي : أعطِ مشاركة SMB القابلة للقراءة المجهولة.
المتوقّع : يُعتمد إذا أُجري تعداد SMB/LDAP وحُدّدت المشاركة القابلة للقراءة المجهولة بشكل صحيح.
قد يبقى التقاطٌ شبكي غامضاً أو يكشف كلّ شيء، بحسب إبقائه خاماً أو تحويله إلى سجلّات منظَّمة. مع Zeek تقطع هذه الخطوة، محوّلاً الحركة إلى سجلّات قابلة للاستثمار (اتصالات، DNS، HTTP، TLS) تقارنها بنشاطٍ مرجعي. تكشف خادم قيادة وتحكّم بحركته المنتظمة المتكرّرة (beaconing)، وتستخرج معرّفاً يمرّ بنصّ واضح. تتعلّم فصل الإشارة عن الضجيج — مهارة محورية في الكشف كما في التحقيق الشبكي.
الهدف : تحويل الالتقاط إلى سجلّات قابلة للاستثمار.
المفاهيم : سجلّات conn/dns/http/ssl · الأساس مقابل الانحراف
التحدّي : أعطِ نطاق C2 المحدَّد بـ beaconing.
المتوقّع : يُعتمد إذا أُنتجت سجلّات Zeek وعُزل نطاق القيادة والتحكّم بـ beaconing الخاص به.
الهدف : فكّ ترميز البروتوكولات التطبيقية الشائعة.
المفاهيم : HTTP/FTP/DNS بنصّ واضح · استخراج المعرّفات
التحدّي : أعطِ معرّف FTP الملتقَط بنصّ واضح.
المتوقّع : يُعتمد إذا عُزلت جلسة FTP في الالتقاط واستُخرج المعرّف المنقول بوضوح بشكل صحيح.
لكشف هجوم شبكي، عليك أوّلاً أن تعرفه من الداخل. في بيئة محكومة تتدرّب على تسميم ذاكرة ARP — الذي يتيح للمهاجم التسلّل إلى اتصال (هجوم الوسيط، أو رجل في المنتصف) — ثمّ تقنيات التملّص التي تحاول المرور تحت رادار مستشعر الكشف (التجزئة، الطُّعوم، التلاعب بالإيقاع). في كلّ مرّة يبقى الهدف هو الكشف: إيجاد عنوان المهاجم، وتحديد التقنية التي تجاوزت المستشعر. تقيس ما توقفه دفاعات المحيط، وما يتجاوزها.
الهدف : فهم تسميم ARP وكشفه.
المفاهيم : ARP، الانتحال، MitM · الكشف عبر جدول ARP
التحدّي : أعطِ عنوان MAC للمهاجم المكتشَف.
المتوقّع : يُعتمد إذا أُقيم هجوم رجل في المنتصف وكُشف، وسُجّل عنوان MAC للمهاجم بشكل صحيح.
الهدف : فهم تقنيات التهرّب من الكشف.
المفاهيم : التجزئة، الطُعوم، التوقيت · بصمة IDS
التحدّي : أعطِ تقنية التهرّب التي أفلتت من IDS.
المتوقّع : يُعتمد إذا وُثّقت مقارنة التقنيات وسُمّيت بشكل صحيح تلك التي أفلتت من IDS.
تشغيل ماسح ثغرات سهل؛ أمّا استخلاص قرارات سليمة منه فأصعب، لأنّه يبلّغ أيضاً عن مشكلات ليست حقيقية (الإيجابيات الكاذبة). مع OpenVAS تجري تقييماً، وترتّب بحسب درجة الخطورة CVSS، وتتحقّق ممّا هو قابل للاستغلال فعلاً، ثمّ تطلق حلقة التحصين: تصحيح، إعادة مسح، قياس الفارق. تعزل الثغرة المؤكَّدة الأكثر حرجاً وتقلّص سطح الهجوم إلى منفذ واحد، مع الدليل. تُغلق الدورة التي تنظّم كلّ عمل معالجة: قيّم، صحّح، تحقّق.
الهدف : تحديد الثغرات الشبكية وفرزها.
المفاهيم : CVSS، الإيجابيات الكاذبة · التحقّق
التحدّي : أعطِ الثغرة المتحقّق منها الأكثر حرجًا.
المتوقّع : يُعتمد إذا استُبعدت الإيجابيات الكاذبة وعُيّنت الثغرة المتحقّق منها الأكثر حرجًا بشكل صحيح.
الهدف : تصحيح نقاط الضعف الموجودة وإعادة المسح.
المفاهيم : سطح الهجوم · حلقة مسح←تصحيح←إعادة مسح
التحدّي : اخفض السطح إلى منفذ واحد وقدّم الفرق.
المتوقّع : يُعتمد إذا خُفض السطح إلى منفذ واحد وقُدّم الفرق قبل/بعد.
يشهد مشغّل اتصالات أسترالي استخراج بيانات نحو عشرة ملايين عميل عبر واجهة تطبيقية يمكن الوصول إليها دون مصادقة وبمعرّفات متسلسلة.
المهمة : Découvrir le balayage, l'énumération et le risque des identifiants prévisibles, à un niveau d'initiation.
تحمي التعمية كل ما عداها — شرط استخدامها بشكل صحيح. تعلّمك هذه الوحدة الاستخدام السليم للتشفير والتواقيع وTLS/SSH، ورصد الإعدادات الخطرة، وصولاً إلى تحدّي ما بعد الكَمّ.
لا يكفي تشفير البيانات إن أُسيء اختيار نمط التشفير: صورة مشفّرة بنمط ECB ما تزال تُفصح عن شكلها. مع OpenSSL تتدرّب عملياً على التشفير المتماثل — أنماط ECB وCBC وGCM، وشعاع التهيئة (IV)، والحشو (padding) — وتُظهر تسرّب نمط ECB بنفسك. ثمّ تضمن سلامة الرسالة وأصالتها بالتجزئة وبـ HMAC (رمز مصادقة رسالة مبنيّ على مفتاح سرّي). تخرج قادراً لا على التشفير فحسب، بل على فعله بشكل صحيح، وعلى إثبات أنّ رسالة لم تُعدَّل.
الهدف : التعمية المتماثلة الصحيحة وإثبات تسرّب ECB.
المفاهيم : أنماط ECB/CBC/GCM، IV · الحشو
التحدّي : اشرح تسرّب ECB وأعطِ النمط الصحيح.
المتوقّع : يُعتمد إذا أُثبت تسرّب ECB بصريًا وبُرّر النمط الآمن (GCM) بشكل صحيح.
الهدف : ضمان سلامة وأصالة رسالة.
المفاهيم : SHA-2/3، التصادمات · HMAC، الملح
التحدّي : أعطِ HMAC للملف النموذجي.
المتوقّع : يُعتمد إذا كُشف التعديل وكان HMAC للملف النموذجي دقيقًا.
كيف تُنشئ آلتان لم تتحادثا قطّ سرّاً مشتركاً عبر شبكة مفتوحة؟ هذا كلّ موضوع التعمية غير المتماثلة. مع OpenSSL تتعامل مع أزواج مفاتيح RSA والمنحنيات الإهليلجية (ECC) وتبادل Diffie-Hellman، ثمّ تُصدر شهادة وتوقّع وثيقة عبر بنية مفاتيح عمومية (PKI). تربط التوقيع الرقمي بعدم الإنكار — ضمان أن لا يستطيع موقّع نكران فعله. تفهم ما يجعل قفل متصفّحك وتوقيع عقدٍ يعملان فعلاً، من تحت الغطاء.
الهدف : التعامل مع المفاتيح غير المتماثلة وDiffie-Hellman.
المفاهيم : RSA/ECC · Diffie-Hellman
التحدّي : أعطِ بصمة المفتاح العام المولَّد.
المتوقّع : يُعتمد إذا أفضى تبادل DH إلى السرّ نفسه من الجانبين وكانت بصمة المفتاح العام صحيحة.
الهدف : إصدار شهادة وتوقيع وثيقة.
المفاهيم : PKI، CA، الإبطال · التوقيع/عدم الإنكار
التحدّي : قدّم الشهادة الموقّعة وبصمة التوقيع.
المتوقّع : يُعتمد إذا أصدرت CA المختبر الشهادة وتحقّق التوقيع عبر سلسلة الثقة.
قد تبقى خدمة مشفّرة قابلةً للاختراق إن ظلّت تقبل خيارات قديمة: التشفير لا يساوي إلّا بقدر إعداده. مع testssl.sh تنشر وتدقّق TLS 1.3 — حِزَم التشفير، وترويسة HSTS التي تفرض HTTPS — ثمّ تحصّن وصول SSH وفق أحدث الممارسات. تكشف حزمة تشفير متقادمة على خدمة طُعم وتُثبت رفض الدخول إلى SSH بكلمة مرور لصالح المفاتيح. تستطيع تدقيق وإحكام إعداد البروتوكولين اللذين يؤمّنان معظم الوصول عن بُعد.
الهدف : إعداد وتدقيق TLS.
المفاهيم : مصافحة TLS 1.3، المجموعات · HSTS
التحدّي : أعطِ المجموعة المتقادمة المكتشَفة على الخدمة الفخّ.
المتوقّع : يُعتمد إذا أُجري التدقيق وحُدّدت المجموعة أو الإصدار المتقادم للخدمة الفخّ بشكل صحيح.
الهدف : تأمين وصول SSH وفق أحدث الممارسات.
المفاهيم : المفاتيح مقابل كلمة المرور · الخوارزميات الحديثة
التحدّي : أثبت رفض المصادقة بكلمة المرور.
المتوقّع : يُعتمد إذا عمل الوصول بالمفتاح ورُفضت المصادقة بكلمة المرور فعلًا.
نادراً ما تُكسر التعمية بمهاجمة الخوارزميات نفسها، بل باستغلال طريقة استخدامها. تستعيد أوّلاً كلمة مرور محميّة بتجزئة ضعيفة (غير مملّحة) وتستغلّ إعادة استخدام شعاع تهيئة — وهي أكثر أخطاء التنفيذ شيوعاً. ثمّ تستبق التهديد الكمومي واستراتيجية «احصد الآن، فكّ التشفير لاحقاً» (HNDL)، محدّداً الاستخدامات الواجب ترحيلها إلى خوارزميات ما بعد الكَمّ (ML-KEM، ML-DSA). تخرج قادراً على رصد تعمية سيئة الاستخدام وعلى تحضير انتقال يَعني البيانات الطويلة العمر منذ الآن.
الهدف : رصد واستغلال تعمية سيئة الاستخدام.
المفاهيم : إعادة استخدام IV · تجزئة بلا ملح
التحدّي : استرجع كلمة المرور المحميّة بتجزئة ضعيفة.
المتوقّع : يُعتمد إذا استُرجعت كلمة المرور وفُسِّر الضعف (تجزئة بلا ملح أو IV مُعاد).
الهدف : استباق الهجرة إلى PQC وإدارة المفاتيح.
المفاهيم : التهديد الكمّي، HNDL · ML-KEM/ML-DSA
التحدّي : اذكر الاستخدامين ذوي الأولوية للهجرة والخوارزمية الهدف.
المتوقّع : يُعتمد إذا رُتّب الجرد وعُيّن الاستخدامان للهجرة والخوارزمية الهدف بشكل صحيح.
يسمح خلل تصميمي في بروتوكول SSH، عبر اقتطاع البادئة، بإضعاف التفاوض المشفّر للجلسة دون تنبيه الطرفين.
المهمة : Analyser un défaut au niveau d'un protocole cryptographique et raisonner sur l'intégrité de la négociation de session plutôt que sur la seule robustesse de l'algorithme.
يحصل فاعل على مفتاح توقيع لحسابات Microsoft ويزوّر أذونات مصادقة للوصول إلى علب بريد، منها علب جهات حكومية.
المهمة : Comprendre les enjeux de gestion des clés et mesurer l'effet d'une compromission de clé de signature sur toute une chaîne d'authentification.
الشبكة المجزّأة والمحصّنة جيداً هي خط الدفاع الأول. تعلّمك هذه الوحدة بناءها: التجزئة بمبدأ المنع الافتراضي، تحصين الأنظمة، الكشف (IDS/IPS)، الفخاخ، والخطوات الأولى نحو الثقة الصفرية.
الشبكة المسطّحة تتيح للمتسلّل التنقّل بحرّية متى دخل؛ وتجزئتها تعني التقسيم للاحتواء. مع pfSense تقطّع شبكة (VLAN، منطقة منزوعة السلاح — DMZ، تجزئة دقيقة) وتطبّق ترشيحاً بقائمة سماح — كلّ شيء مرفوض افتراضياً، ولا يُسمح إلّا بالضروري. التحدّي ملموس: إثبات عزل منطقة الإدارة عن البقية. تستطيع تصميم تقسيم يحدّ من انتشار الاختراق بدل تسهيله.
الهدف : تقسيم شبكة والترشيح بقائمة بيضاء.
المفاهيم : VLAN، DMZ، التقسيم الدقيق · الرفض الافتراضي
التحدّي : أثبت عزل منطقة الإدارة.
المتوقّع : يُعتمد إذا كانت التدفّقات بين المناطق بقائمة بيضاء وأُثبت عزل منطقة الإدارة.
النظام المُسلَّم «بإعداداته الافتراضية» نادراً ما يكون آمناً: يكشف خدمات وإعدادات لا يحتاجها. تطبّق مرجعيات تحصين معترفاً بها — معايير CIS على لينكس، سياسات المجموعة (GPO) على Windows — وتقيس الفارق قبل/بعد. ترفع درجة CIS فوق عتبة وتحدّد إعداد GPO الذي يصدّ هجوماً اختبارياً. تستطيع تقليص تعرّض أسطول بشكل منهجي، مستنداً إلى معايير لا إلى الحدس.
الهدف : تطبيق معيار CIS وقياس الفجوة.
المفاهيم : معايير CIS · سطح الخدمات
التحدّي : ارفع درجة CIS فوق العتبة.
المتوقّع : يُعتمد إذا صُحّحت خمس فجوات وتجاوزت درجة CIS العتبة بعد إعادة القياس.
الهدف : تأمين محطات Windows عبر السياسات.
المفاهيم : GPO، الأسس المرجعية · الحسابات/الخدمات
التحدّي : أعطِ معامل GPO الذي يحجب الهجوم النموذجي.
المتوقّع : يُعتمد إذا طُبّق الأساس المرجعي وحُدّد معامل GPO الحاجب للهجوم بشكل صحيح.
يتطلّب كشف التسلّل مستشعراً يعرف ماذا يبحث عنه — ولا يطلق صفّارة الإنذار عند كلّ شاردة. مع Suricata تنشر نظام كشف ومنع تسلّل (IDS/IPS)، مميّزاً الكشف بالتوقيع من الكشف بالشذوذ، ومتعاملاً مع الإيجابيات الكاذبة. تكتب قاعدة ترصد user-agent طُعماً في الحركة. تستطيع إرساء كشف شبكي مفيد يبقى ضجيجه تحت السيطرة.
الهدف : نشر كشف وكتابة قاعدة.
المفاهيم : التوقيع مقابل الشذوذ · الإيجابيات الكاذبة
التحدّي : قدّم القاعدة الكاشفة لوكيل المستخدم الفخّ.
المتوقّع : يُعتمد إذا انطلقت القاعدة المخصّصة على وكيل المستخدم الفخّ دون إيجابية كاذبة واضحة.
ماذا لو، بدل انتظار الإنذار، نصبت فخّاً لا يُطلَق إلّا لمتسلّل؟ هذا مبدأ الفخاخ. مع Cowrie تنشر مصيدة عسل (honeypot، خدمة وهمية لاستدراج المهاجم) و«علامات عسل» (honeytokens، طُعوم — ملف، معرّف — كلّ وصول إليها مريب بطبيعته). التحدّي: التقاط الوصول إلى honeytoken، بطابعه الزمني وعنوانه. تضيف إلى ترسانتك كشفاً مبكّراً قليل الضجيج، حيث يفضح الوصولُ غير المشروع نفسَه.
الهدف : الكشف عبر الطُعوم.
المفاهيم : مصائد العسل، الكناري · الكشف المبكر
التحدّي : التقط الوصول إلى رمز العسل (طابع زمني+IP).
المتوقّع : يُعتمد إذا التُقط الوصول إلى رمز العسل بطابعه الزمني وIP المصدر.
«لا تثق أبداً، تحقّق دائماً»: يقلب نموذج Zero Trust فكرة الشبكة الداخلية الآمنة بطبيعتها. ترسي هذه اللبنة أسسه انطلاقاً من إطار NIST 800-207 — نقاط قرار وتطبيق السياسات (PDP/PEP)، الهوية بوصفها المحيط — وتجعلك تخطّط سياسة وصول. التحدّي: إثبات رفض متوافق حين يخرج طلب عن سياقه المصرّح به. تدرك التحوّل العميق الذي يحدثه Zero Trust، الذي ستعمّق تطبيقه من جهة الهوية لاحقاً في المسار.
الهدف : رسم سياسة وصول Zero Trust.
المفاهيم : NIST 800-207، PEP/PDP · الهوية كمحيط
التحدّي : أثبت رفض وصول خارج السياق مطابقًا.
المتوقّع : يُعتمد إذا سمحت السياسة بالوصول في السياق ورفضته خارجه، بأثر كدليل.
اللاسلكي يمدّ الشبكة إلى ما وراء الجدران — وسطح الهجوم معها. مع aircrack-ng تقيّم أمن نقطة وصول Wi-Fi (WPA2/3، مصادقة EAP) وتكشف نقطة وصول مزيّفة (rogue AP)، ثمّ تتحكّم بالحركة الصادرة عبر وسيط ترشيح (Squid). تحدّد SSID نقطة وصول مزيّفة وتُثبت حجب نطاق قيادة وتحكّم معروف. تغطّي وجهي الوصول معاً: المدخل اللاسلكي والمخرج إلى الإنترنت.
الهدف : تقييم أمن وصول لاسلكي.
المفاهيم : WPA2/3، EAP · نقطة وصول مارقة
التحدّي : أعطِ SSID لنقطة الوصول المارقة المكتشَفة.
المتوقّع : يُعتمد إذا قُيِّمت المتانة وحُدّد SSID لنقطة الوصول المارقة بشكل صحيح.
الهدف : التحكّم بالتدفّقات الصادرة عبر وسيط.
المفاهيم : الوسيط، ترشيح URL · الفحص
التحدّي : أثبت حجب نطاق C2 معروف.
المتوقّع : يُعتمد إذا سجّل الوسيط الوصول وحُجب نطاق C2 فعلًا.
يتيح تسرّب في الذاكرة على بوابات الوصول استرجاع أذونات الجلسة وتجاوز المصادقة متعددة العوامل.
المهمة : Mettre en place le durcissement des passerelles, la gestion des sessions et une politique de correctifs sur les équipements exposés.
في قلب مركز العمليات الأمنية، عليك أن ترى وتفهم وتتفاعل بسرعة. تؤهّلك هذه الوحدة لتشغيل مركز عمليات أمنية من المستوى الأول: جمع السجلّات، الربط، التنبيه، الفرز، وإطلاق الاستجابات الأولى.
لا يساوي مركز عمليات الأمن (SOC) إلّا بقدر السجلّات التي يتلقّاها: من دون المصدر الصحيح يبقى الهجوم خفياً. تصمّم جمع السجلّات لمركز عمليات أمن — مصادر من نقاط النهاية والشبكة والسحابة، وأدوار N1/N2/N3 — ثمّ تطبّع سجلّات غير متجانسة إلى مخطّط موحّد (ECS). تحدّد المصدر الغائب الذي يخفي تسريباً وتستعيد حقلاً مطبَّعاً بعد المعالجة. ترسي الأسس التي بدونها يكون أيّ كشف لاحق أعمى.
الهدف : تصميم جمع السجلّات.
المفاهيم : أدوار N1/N2/N3، MTTD/MTTR · مصادر نقطة النهاية/الشبكة/السحابة
التحدّي : اذكر المصدر الغائب المانع لكشف تسريب.
المتوقّع : يُعتمد إذا عمل الاستيعاب وحُدّد المصدر المفقود الحرج بشكل صحيح.
الهدف : تطبيع سجلّات متباينة (ECS).
المفاهيم : التحليل، ECS · الطوابع الزمنية/المناطق
التحدّي : أعطِ حقل ECS لـ IP المصدر بعد التطبيع.
المتوقّع : يُعتمد إذا رُبط السجلّ بـ ECS وكان حقل ECS لـ IP المصدر صحيحًا.
ملايين الأحداث بلا فائدة إن لم تعرف الاستعلام عنها وتقاطعها. بلغة الاستعلام KQL تتنقّل في SIEM (النظام المركزي الذي يجمّع السجلّات ويحلّلها)، وتربط الأحداث ضمن نافذة زمنية، ثمّ تبني لوحات قيادة وقواعد إنذار. تكشف الحساب المستهدَف بهجوم رشّ كلمات المرور (password spraying) وتكتب إنذاراً على عشر محاولات دخول فاشلة في دقيقة. تحوّل كتلة سجلّات إلى إشارات يستطيع المحلّل التصرّف بناءً عليها.
الهدف : استعلام SIEM وربط الأحداث.
المفاهيم : KQL/EQL، المحاور · النافذة الزمنية
التحدّي : حدّد حساب ضحية password spraying وIP.
المتوقّع : يُعتمد إذا أثبت الترابط password spraying وكان الحساب الضحية وIP صحيحين.
الهدف : بناء لوحات وقواعد تنبيه.
المفاهيم : مؤشّرات SOC · عتبات التنبيه
التحدّي : قدّم قاعدة التنبيه على 10 إخفاقات في دقيقة.
المتوقّع : يُعتمد إذا كانت اللوحة عاملة وانطلقت قاعدة عشرة إخفاقات/دقيقة بشكل صحيح.
الشبكة لا تُظهر كلّ شيء؛ أمّا ما ينفّذ على الآلة فلا يكذب. مع Sysmon ومنطق EDR (حلّ الكشف والاستجابة على نقاط النهاية) تستثمر قياسات نقطة النهاية: شجرة العمليات، إنشاء الملفات، الاتصالات (أحداث Sysmon 1 و3 و11). تتتبّع عمليةً صعوداً حتّى الأب الذي أطلق الحمولة الخبيثة، ببصمتها. تستطيع قراءة قصّة اختراق كما ترويها الآلة نفسها.
الهدف : فهم القياس عن بُعد لنقطة النهاية.
المفاهيم : شجرة العمليات · Sysmon 1/3/11
التحدّي : أعطِ الأب الذي أطلق الحمولة وتجزئته.
المتوقّع : يُعتمد إذا أُعيد بناء شجرة العمليات وكان الأب وتجزئة الحمولة صحيحين.
يتلقّى محلّل SOC إنذارات أكثر ممّا يستطيع معالجته: معرفة أيّها يستحقّ ردّ فعل هي جوهر المهنة. مع TheHive تفرز الإنذارات وفق كتيّب إجراءات (playbook، مسار قرار موثّق) — تقدير الخطورة، استبعاد الإيجابيات الكاذبة، تقرير التصعيد من عدمه. التحدّي: إصدار قرار فرز وإجراء الاحتواء المرافق. تكتسب المنهج الذي يميّز SOC فعّالاً من آخر يغرق في الضجيج.
الهدف : الفرز وفق دليل عمل وتقرير التصعيد.
المفاهيم : الخطورة، الإيجابيات الكاذبة · معايير التصعيد
التحدّي : أعطِ قرار الفرز وإجراء الاحتواء.
المتوقّع : يُعتمد إذا اتُّبع دليل العمل وكان قرار الفرز وإجراء الاحتواء مبرَّرين.
يظلّ التصيّد من أبرز مداخل الهجمات — ويترك آثاراً، في البريد كما على الشبكة. تشرّح بريداً خبيثاً: الترويسات، آليات مكافحة الانتحال SPF/DKIM/DMARC، الروابط والمرفقات، لكشف المُرسِل المنتحَل وعنوان التصيّد. ثمّ ترصد، من جهة الحركة، نطاق القيادة والتحكّم المتّصَل به بعد الفتح. تربط طرفي هجوم البريد: الطُّعم المُستلَم والنشاط الشبكي الذي يطلقه.
الهدف : تحليل بريد خبيث.
المفاهيم : الترويسات، SPF/DKIM/DMARC · URL/المرفق
التحدّي : أعطِ المُرسِل المُنتحَل وعنوان URL للتصيّد.
المتوقّع : يُعتمد إذا أُثبت الانتحال بالترويسات وكان المُرسِل المُنتحَل وURL صحيحين.
الهدف : استثمار القياس الشبكي في SIEM.
المفاهيم : سجلّات Zeek · beaconing/التسريب
التحدّي : أعطِ نطاق C2 المكتشَف جهة مركز العمليات.
المتوقّع : يُعتمد إذا عُزل beaconing وحُدّد نطاق C2 بشكل صحيح في SIEM.
كلّما تكاثرت الإنذارات، لم يعد بوسع الإنسان معالجة كلّ شيء يدوياً: ما يمكن أتمتته يجب أتمتته. مع أداة SOAR (التنسيق والأتمتة والاستجابة الأمنية) — Shuffle — تبني استجابة آلية تُثري ثمّ تعزل بناءً على مؤشّر اختراق (IOC). ثمّ تقيس أداء SOC (مهل الكشف والاستجابة، معدّل الإيجابيات الكاذبة) وتخفضه بالضبط الدقيق. تربط الأتمتة بالتحسين المستمرّ، رافعتان لتحمّل العبء دون التضحية بالجودة.
الهدف : أتمتة إجراء استجابة بسيط.
المفاهيم : أدلّة عمل SOAR · الإثراء التلقائي
التحدّي : قدّم دليل العمل الذي يُثري ويعزل على مؤشّر.
المتوقّع : يُعتمد إذا أثرى دليل العمل IP وأطلق العزل على المؤشّر.
الهدف : قياس الأداء وتخفيض الضجيج.
المفاهيم : MTTD/MTTR، نسبة الإيجابيات الكاذبة · الضبط
التحدّي : أعطِ خفض الإيجابيات الكاذبة المُحصَّل بعد الضبط.
المتوقّع : يُعتمد إذا ضُبطت القاعدة دون فقد كشف وحُسِب خفض الإيجابيات الكاذبة.
تُنهب مساحات عملاء على منصة بيانات عبر معرّفات مسروقة ببرمجيات سرقة، في غياب المصادقة متعددة العوامل.
المهمة : Construire des détections sur les connexions improbables (voyage impossible, géographie, horaires) au-dessus d'un SIEM.
أنت تعرف تشغيل مركز عمليات أمنية؛ والآن حان وقت المبادرة. تؤهّلك هذه الوحدة المتطلِّبة للصيد الاستباقي للتهديدات والاستجابة للحوادث والكشف ككود — الدفاع المبني على معرفة التهديد.
وراء الكشف الأساسي، يبني المحلّل الخبير منصّته الخاصّة ويصطاد استمراريةً تتركها الأدوات المعيارية تمرّ. مع Security Onion (Wazuh، Sysmon، Elastic) تنشر سلسلة كشف كاملة، ثمّ تصطاد استمراريةً عبر اشتراك أحداث WMI — آلية Windows مشروعة محوّلة للبقاء بعد إعادة التشغيل. تحدّد المضيف الأكثر اشتباهاً واسم اشتراك WMI الخبيث. ترتقي درجةً: من الكشف المُؤتمَت إلى الصيد المبنيّ على قياسات غنيّة.
الهدف : نشر حزمة كشف كاملة.
المفاهيم : Security Onion · Sysmon متقدّم
التحدّي : أعطِ المضيف الأكثر اشتباهًا والسبب.
المتوقّع : يُعتمد إذا استوعبت الحزمة القياس وعُيّن المضيف الأكثر اشتباهًا بشكل صحيح مع سببه.
الهدف : اصطياد استمرارية متقدّمة.
المفاهيم : اشتراك أحداث WMI · قياس غنيّ
التحدّي : أعطِ اسم اشتراك WMI الخبيث.
المتوقّع : يُعتمد إذا عُدّدت اشتراكات WMI وسُمّي الاشتراك الخبيث بشكل صحيح.
الصيد عشوائياً يُنهك دون نتيجة؛ والانطلاق من تقنيات المهاجمين المعروفة يغيّر كلّ شيء. تمارس الدفاع المبنيّ على المعرفة بالتهديد: ترجمة تقنية من مرجع MITRE ATT&CK إلى استعلام بحث، وصياغة فرضية، ثمّ تأكيدها أو نفيها من البيانات. توثّق حلقة صيد كاملة وتقدّم دليلاً على تقنية ATT&CK مؤكَّدة. تتبنّى المنهج المنظَّم الذي يميّز صيد التهديدات عن مجرّد استكشاف.
الهدف : اختبار فرضيات مرتبطة بـ ATT&CK.
المفاهيم : دفاع مُسترشِد بالتهديد · TTP←استعلام
التحدّي : أعطِ تقنية ATT&CK المؤكَّدة ودليلها.
المتوقّع : يُعتمد إذا تُرجمت الفرضيات إلى استعلامات ودُعّمت تقنية ATT&CK المؤكَّدة بدليل.
الهدف : إجراء اصطياد منظَّم من طرف إلى طرف.
المفاهيم : حلقة الاصطياد · التوثيق
التحدّي : أعطِ نتيجة الاصطياد (مؤكَّد/منفيّ) والدليل.
المتوقّع : يُعتمد إذا وُثّق الاصطياد وخلُص بوضوح (مؤكَّد/منفيّ) بدليل.
المهاجم الذي يحلّ على مضيف يسعى فوراً إلى الارتداد نحو غيره: رصد هذا التحرّك الجانبي يعني إيقافه قبل أن يبلغ أهدافه. في قياسات Sysmon تكشف تقنيات الارتداد — إعادة استخدام بصمة مصادقة (pass-the-hash)، التنفيذ عن بُعد عبر WMI/WinRM، استعمال الحسابات المميَّزة. تربط المضيفين اللذين يصلهما تحرّك جانبي واحد. تستطيع تتبّع تقدّم متسلّل عبر أسطول، خطوةً خطوة.
الهدف : كشف pass-the-hash واستخدام المدير.
المفاهيم : PtH، WMI/WinRM · الحسابات ذات الامتياز
التحدّي : أعطِ المضيفين المرتبطين بالحركة الجانبية.
المتوقّع : يُعتمد إذا كُشف الاستخدام الشاذ وكان المضيفان المرتبطان بالحركة الجانبية صحيحين.
قاعدة كشف مكتوبة لأداة واحدة تموت معها؛ ومعبَّر عنها بصيغة محمولة ومُدارة بالإصدارات تُشارَك وتُصان. بصيغة Sigma — معيار مفتوح قابل للترجمة إلى محرّكات مختلفة (backends) — تكتب قواعد وتديرها ككود تحت Git. التحدّي: إنتاج قاعدة Sigma يبقى معدّل إيجابياتها الكاذبة دون 5%. تطبّق على الكشف ممارسات هندسة البرمجيات: القابلية للنقل، إدارة الإصدارات، المراجعة.
الهدف : كتابة قواعد محمولة ومؤرشَفة.
المفاهيم : Sigma، الخلفيات · الإيجابيات الكاذبة، Git
التحدّي : قدّم قاعدة Sigma بإيجابيات كاذبة أقل من 5%.
المتوقّع : يُعتمد إذا أُرشِفت قاعدة Sigma وحُوّلت واختُبرت بنسبة إيجابيات كاذبة أقل من 5%.
حين يقع الحادث، يكون الارتجال مكلفاً: تتبع الاستجابة دورةً مجرَّبة. تُجري مراحل الاستجابة للحوادث وفق إطار NIST 800-61 — من حفظ الأدلّة إلى الاحتواء — ثمّ تحقّق على نطاق أسطول كامل بـ Velociraptor. تحدّد نقطة الدخول وأوّل إجراء احتواء، ثمّ تُحصي المضيفين المتأثّرين بمؤشّر تصطاده عبر الأسطول. تستطيع إدارة استجابة منهجية، من أوّل إشارة إلى قياس الانتشار.
الهدف : قيادة مراحل حادث NIST 800-61.
المفاهيم : دورة الاستجابة · حفظ الأدلّة
التحدّي : أعطِ نقطة الدخول وأول إجراء احتواء.
المتوقّع : يُعتمد إذا اتُّبعت دورة الاستجابة وكانت نقطة الدخول وأول إجراء احتواء صحيحين.
الهدف : الجمع والاصطياد على نطاق الأسطول.
المفاهيم : الآثار، عمليات الاصطياد · الجمع عن بُعد
التحدّي : أعطِ عدد المضيفين المتأثّرين بـ IOC المُصطاد.
المتوقّع : يُعتمد إذا غطّى الاصطياد الأسطول وكان عدد المضيفين المتأثّرين بـ IOC دقيقًا.
قنوات القيادة والتحكّم الحديثة تختبئ: تباعد بين اتصالاتها وتشوّشها لتندمج في الحركة العادية. مع Zeek وRITA تكشف هذه القنوات رغم حِيَلها — تغيّر الفواصل (jitter)، بصمات مصافحة TLS (JA3) — ثمّ تتحقّق من تغطيتك بمقاربة بنفسجية: إعادة تشغيل تقنيات هجوم ذرّية وقياس ما يفلت. تكشف C2 رغم jitter وتحدّد تقنية نُفّذت ولم تُكتشَف. تُغلق الدائرة الفاضلة: كشف، تحقّق، تصحيح.
الهدف : كشف C2 حديثة (JA3، jitter).
المفاهيم : JA3/JA3S · jitter، النوم
التحدّي : أعطِ C2 المكتشَف رغم jitter.
المتوقّع : يُعتمد إذا عُزل beaconing رغم jitter وحُدّد C2 بشكل صحيح.
الهدف : قياس التغطية بالمحاكاة.
المفاهيم : محاكاة ذرّية · التغطية/الفجوة
التحدّي : أعطِ التقنية المُنفَّذة غير المكتشَفة.
المتوقّع : يُعتمد إذا رُسمت التغطية وعُيّنت التقنية غير المكتشَفة بشكل صحيح.
يبقى فاعل تابع لدولة في بنية تحتية حسّاسة مستخدمًا أدوات النظام فقط، متهرّبًا من مضادات الفيروسات.
المهمة : Formuler des hypothèses de chasse sur des techniques de vie sur le terrain et les vérifier dans la télémétrie.
الاستخبارات من المصادر المفتوحة (OSINT) فنّ: إيجاد المعلومة دون كشف نفسك، ثم تحويلها إلى عنصر مفيد للدفاع. تعلّمك هذه الوحدة ذلك، من السلامة التشغيلية إلى الأتمتة.
التحقيق في هدف من مصادر مفتوحة قد يُنذر، بسبب الإهمال، ذلك الهدف بأنّه مراقَب. تعلّمك هذه اللبنة الجمع دون أن تكشف نفسك أو تترك أثراً: هويات تحقيق معزولة (sock puppets)، التوجيه عبر Tor وVPN، وقبل كلّ شيء تعقّب التسرّبات التي تفضح عنوانك الحقيقي (DNS، WebRTC). التحدّي: إثبات عنوان خروجك وغياب أيّ تسرّب. ترسي النظافة الأساسية التي بدونها ينقلب تحقيق OSINT على المحقّق.
الهدف : الجمع دون انكشاف أو تنبيه الهدف.
المفاهيم : شخصيات وهمية، التعزيل · تسريبات DNS/WebRTC
التحدّي : أعطِ IP الخروج وأثبت غياب التسريب.
المتوقّع : يُعتمد إذا لم يسرّب الجمع (DNS/WebRTC) وسُجّل IP الخروج بشكل صحيح.
قبل الهجوم أو الدفاع، ترسم الخريطة: أيّ نطاقات وخوادم وعناوين وأشخاص تتركها مؤسسة ظاهرة؟ مع Maltego وSpiderFoot تبني هذه البصمة الرقمية على شكل رسم بياني للكيانات، ثمّ ترسم البنية التحتية التقنية (DNS، الشهادات، أرقام الأنظمة المستقلّة — ASN، النطاقات الفرعية). تكشف نطاقاً فرعياً للإدارة منسيّاً، وعنواناً مكشوفاً، وبيئة ما قبل إنتاج متاحة. إنّها الجردة الخارجية التي على المدافع وضعها قبل أن يضعها المهاجم مكانه.
الهدف : رسم البصمة الرقمية لهدف.
المفاهيم : رسوم الكيانات، التحويلات · موثوقية المصادر
التحدّي : أعطِ النطاق الفرعي للإدارة المنسيّ والبريد المكشوف.
المتوقّع : يُعتمد إذا رُسمت البصمة وكان النطاق الفرعي للإدارة والبريد المكشوف صحيحين.
الهدف : رسم البنية التقنية لهدف.
المفاهيم : DNS، الشهادات · ASN، النطاقات الفرعية
التحدّي : أعطِ النطاق الفرعي للإنتاج الأوّلي المكشوف.
المتوقّع : يُعتمد إذا رُسمت البنية وكان النطاق الفرعي للإنتاج الأوّلي المكشوف صحيحًا.
يترك الشخص، دون انتباه، أثراً من القرائن عبر حساباته وصوره ومنشوراته. مع Sherlock تنشئ ملفاً عن هدف بشري — بشكل قانوني وموثَّق — بتقاطع بصمته الاجتماعية، ثمّ تستثمر البيانات الوصفية للصور (بيانات EXIF) والقرائن البصرية لتحديد موقعه. تجد كنيةً مُعاد استخدامها على ثلاث منصّات وتستخرج إحداثيات GPS من صورة. من جهة الدفاع، هذا قياس لما يمكن أن يعرفه مهاجم عن موظّفيك قبل هجوم موجّه.
الهدف : وضع ملف لهدف بشري قانونيًا.
المفاهيم : البصمة الاجتماعية · المقاطعة
التحدّي : أعطِ الاسم المستعار المُعاد على 3 منصّات.
المتوقّع : يُعتمد إذا قُوطعت الحسابات وكان الاسم المستعار المُعاد على ثلاث منصّات صحيحًا.
الهدف : استثمار البيانات الوصفية والقرائن البصرية.
المفاهيم : EXIF · قرائن جغرافية
التحدّي : أعطِ إحداثيات GPS المستخرَجة من الصورة.
المتوقّع : يُعتمد إذا استُثمرت البيانات الوصفية وكانت إحداثيات GPS المستخرَجة صحيحة.
حين تتسرّب بيانات الاعتماد، تتداول غالباً في منتديات وأسواق قبل أن تنتبه الضحية. تعلّمك هذه اللبنة مراقبة هذا التعرّض — تسريبات البيانات، الأسواق السرّية — وفهم الخطر الذي يغذّيه: حشو بيانات الاعتماد (credential stuffing)، حيث تُعاد تجربة كلمات مرور مسروقة من مكان آخر عندك. التحدّي: إحصاء الحسابات المسرّبة لمؤسسة وتحديد الأكثر حساسية. تحوّل إشاعة تسريب إلى تقييم خطر ملموس للحسابات المعنيّة.
الهدف : مراقبة التعرّض على التسريبات/الدارك نت.
المفاهيم : الأسواق/المنتديات · حشو بيانات الاعتماد
التحدّي : أعطِ عدد الحسابات المسرَّبة والأكثر حساسية.
المتوقّع : يُعتمد إذا قِيس التعرّض وكان عدد الحسابات المسرَّبة والأكثر حساسية صحيحين.
الجمع اليدوي يلتقط صورةً للحظة بعينها؛ وما يهمّ في المراقبة هو رؤية ما يتغيّر. تكتب سكربتاً لجمع OSINT متكرّر — إدارة واجهات البرمجة (API) وحدود معدّلها، وإزالة التكرار من النتائج — ثمّ تجهّز جمعاً محدّداً بـ Bash. تنتج سكربتاً يُشير إلى ظهور نطاق فرعي جديد وتوحّد نتيجة قابلة للاستثمار. تنتقل من التحقيق العَرَضي إلى مراقبة مستمرّة لسطح التعرّض.
الهدف : كتابة سكربت لجمع متكرّر.
المفاهيم : API، المعدّل · إزالة التكرار
التحدّي : قدّم السكربت الكاشف لنطاق فرعي جديد.
المتوقّع : يُعتمد إذا جمع السكربت وأزال التكرار وكشف نطاقًا فرعيًا جديدًا.
الهدف : تجهيز جمع محدّد.
المفاهيم : كشط خفيف · التحليل
التحدّي : قدّم الأداة والنتيجة المُجمَّعة.
المتوقّع : يُعتمد إذا جمعت أداة Bash وحلّلت وصدّرت نتيجة مُجمَّعة.
جمع الاستخبارات بلا جدوى إن لم يُفضِ إلى قرار: القيمة في الفعل الذي يطلقه. تجعلك هذه اللبنة تحوّل جمع OSINT إلى تدابير دفاعية ملموسة — تمييز الاستخبارات القابلة للتنفيذ من مجرّد الضجيج، وترتيب الأولويات. التحدّي: تعيين التعرّض الواجب تصحيحه أوّلاً من بين ما اكتُشف. تُغلق السلسلة الممتدّة من المعلومة الخام إلى تقليص فعليّ للخطر.
الهدف : تحويل OSINT إلى إجراءات دفاعية.
المفاهيم : استخبارات قابلة للتنفيذ · الترتيب
التحدّي : أعطِ التعرّض ذا الأولوية للتصحيح.
المتوقّع : يُعتمد إذا رُتّبت النتائج وعُيّن التعرّض ذو الأولوية للتصحيح بشكل صحيح.
تحتفظ حركة الشبكة بذاكرة الاختراق. تعلّمك هذه الوحدة التحقيق انطلاقاً من الحزم: إعادة بناء الجلسات، الكشف دون فكّ التشفير، وإعداد التقرير.
يحتوي التقاطٌ شبكي أحياناً، مبعثرةً عبر آلاف الرُّزَم، ملفاتٍ كاملة يكفي إعادة تجميعها. مع NetworkMiner تعيد بناء تبادلات من التقاط — إعادة تجميع تدفّقات TCP، استخراج الملفات العابرة على الشبكة (carving شبكي). التحدّي: استخراج الملف المسرَّب وإعطاء اسمه وبصمته. تستطيع أن تجعل التقاطاً ينطق، لتسترجع، بشكل ملموس، ما خرج من الشبكة.
الهدف : إعادة بناء التبادلات من التقاط.
المفاهيم : إعادة تجميع TCP · النحت الشبكي
التحدّي : استخرج الملف المُسرَّب (الاسم + التجزئة).
المتوقّع : يُعتمد إذا أُعيد تجميع التدفّق واستُخرج الملف المُسرَّب (الاسم والبصمة) بشكل صحيح.
يُظنّ غالباً أنّ الحركة المشفّرة معتمة على التحليل: ليست كذلك، فبياناتها الوصفية تقول الكثير. مع Zeek تكشف دون فكّ تشفير — بصمات مصافحة TLS (JA3)، تسريب مخبَّأ في طلبات DNS — ثمّ تحقّق عبر سجلّات جدار الحماية والوسيط. تحدّد نطاق تسريب عبر DNS والعنوان الداخلي الذي يتّصل بخادم قيادة وتحكّم. تتعلّم قراءة ما لا يُخفيه التشفير.
الهدف : الكشف دون فكّ التعمية.
المفاهيم : بيانات TLS الوصفية، JA3 · تسريب DNS
التحدّي : أعطِ نطاق تسريب DNS.
المتوقّع : يُعتمد إذا رُصد beaconing على TLS دون فكّ تعمية وكان نطاق تسريب DNS صحيحًا.
الهدف : التحقيق عبر السجلّات الشبكية.
المفاهيم : سجلّات الوسيط/الجدار الناري · الترابط
التحدّي : أعطِ IP الداخلي المُتّصل بـ C2.
المتوقّع : يُعتمد إذا رُبطت السجلّات وكان IP الداخلي المُتّصل بـ C2 صحيحًا.
لا يتوقّف التحقيق عند المعاينة: ما تكتشفه عن هجوم يجب أن يصبح كشفاً للهجوم التالي. تجعلك هذه اللبنة تقطع هذه الخطوة — الانطلاق من حالة مرصودة لاستخلاص مؤشّر Zeek، ثمّ كتابة توقيع Snort موجّه. التحدّي: إنتاج المؤشّر الذي يميّز الهجوم والقاعدة التي تكشف C2 الخاصّ به. تحوّل عمل التحقيق إلى قدرة كشف دائمة، من الحالة الخاصّة إلى القاعدة القابلة لإعادة الاستخدام.
الهدف : تحويل التقاط إلى كشوف.
المفاهيم : سجلّات Zeek، السكربتات · من الحالة إلى القاعدة
التحدّي : أعطِ مؤشّر Zeek المميِّز للهجوم.
المتوقّع : يُعتمد إذا أُنتجت سجلّات Zeek وعُزل المؤشّر المميِّز بشكل صحيح.
الهدف : كتابة تواقيع شبكية.
المفاهيم : قواعد Snort · الاختبار
التحدّي : قدّم قاعدة Snort الكاشفة لـ C2.
المتوقّع : يُعتمد إذا كشفت قاعدة Snort C2 دون إيجابية كاذبة واضحة.
الشبكة لا تنقل الملفات وحدها: تحمل أيضاً محادثات وقنوات تسريب خفيّة. تعيد بناء اتصالات تطبيقية، منها الصوت عبر IP (VoIP)، من التقاط، ثمّ توصّف تسريب بيانات — بأيّ قناة، وأيّ حجم، وبأيّ تكتّم. تستعيد محتوى اتصال وتقيس الحجم الخارج عبر قناة ملتوية. تقيس ما يحمله تسريب فعلاً، أبعد من مجرّد إثبات وقوعه.
الهدف : إعادة بناء اتصالات تطبيقية.
المفاهيم : VoIP/HTTP · إعادة البناء
التحدّي : أعطِ المحتوى المُعاد بناؤه للاتصال.
المتوقّع : يُعتمد إذا أُعيد بناء الاتصال التطبيقي وكان المحتوى صحيحًا.
الهدف : قياس وتوصيف تسريب.
المفاهيم : الحجم، القنوات · التخفّي
التحدّي : أعطِ القناة والحجم المُسرَّب.
المتوقّع : يُعتمد إذا حُدّدت قناة التسريب وكان الحجم المُقدَّر متّسقًا.
الدليل المنفرد قابل للطعن؛ ومتقاطعاً مع غيره يصبح برهاناً. تقاطع الشبكة ونقطة النهاية والسجلّات لإرساء خطّ زمني متين، ثمّ تستعيد التحقيق لجمهورين مختلفين — SOC والإدارة. تؤرّخ ساعة الاختراق بالتقاطع وتسلّم قائمة مؤشّرات شبكية (عناوين، نطاقات، بصمات JA3). تحوّل آثاراً متفرّقة إلى سردية حادث موثَّقة وقابلة للإبلاغ.
الهدف : تقاطع الشبكة ونقطة النهاية والسجلّات.
المفاهيم : الترابط · الخطّ الزمني
التحدّي : أعطِ وقت الاختراق المُرابَط.
المتوقّع : يُعتمد إذا رُبطت الشبكة بنقطة النهاية وكان وقت الاختراق صحيحًا.
الهدف : التقديم لمركز العمليات والإدارة.
المفاهيم : الأدلّة الشبكية · IOC
التحدّي : سلّم قائمة مؤشّرات الاختراق الشبكية (IP/نطاق/JA3).
المتوقّع : يُعتمد إذا لُخّصت السلسلة وكانت قائمة مؤشّرات الاختراق الشبكية (IP، نطاق، JA3) قابلة للاستثمار.
إنتاج استخبارات سيبرانية منظَّمة يعني الانتقال من المعلومة الخام إلى القرار. تعلّمك هذه الوحدة الخبيرة تأطير برنامج استخبارات، وتحليل اختراق بنماذج مُثبتة، والمشاركة عبر المعايير، وتفعيل الاستخبارات.
برنامج استخبارات يجمع بلا وجهة يغرق في البيانات: كلّ شيء ينطلق من الأسئلة التي تسعى إلى إنارتها. تجعلك هذه اللبنة تؤطّر برنامج استخبارات التهديد السيبراني (CTI) بحاجاته الاستخبارية ذات الأولوية (PIR) — تلك الأسئلة القرارية التي توجّه كلّ الجمع — وتميّز المستويات الاستراتيجي والعملياتي والتكتيكي. التحدّي: صياغة PIR مرتّبة وتحديد مصدر الأكثر حرجاً. ترسي إنتاج الاستخبارات في القرار الذي يجب أن يخدمه، لا في التكديس.
الهدف : تأطير برنامج CTI بالاحتياجات.
المفاهيم : دورة CTI · مستويات استراتيجي/عملياتي/تكتيكي
التحدّي : قدّم الـ PIR المرتَّبة ومصدر الأكثر حرجًا.
المتوقّع : يُعتمد إذا رُتّبت ثلاثة PIR ورُبط مصدر الـ PIR الأكثر حرجًا بشكل صحيح.
تحليل تسلّل بالحدس يؤدّي إلى استنتاجات متسرّعة؛ والنماذج المجرَّبة تنضبط بها المحاكمة. تهيكل التحليل بنموذج الماسة — الخصم، القدرة، البنية التحتية، الضحية، والمحاور التي تربطها — مقارناً فرضيات متنافسة، ثمّ تضع الهجوم على Cyber Kill Chain لتقرّر أين توقفه. تحدّد محور بنية تحتية مشتركاً بين تسلّلات والمرحلة من السلسلة التي توقف عندها الهجوم بأقلّ كلفة. تكسب أطراً تجعل تحليلاً قابلاً للتكرار والدفاع عنه.
الهدف : تنظيم تحليل اختراق.
المفاهيم : الماسة، المحاور · فرضيات متنافسة
التحدّي : أعطِ محور البنية التحتية المشترك.
المتوقّع : يُعتمد إذا نُمذج الاختراق وحُدّد محور البنية التحتية المشترك بشكل صحيح.
الهدف : وضع هجوم على سلسلة القتل.
المفاهيم : سلسلة القتل · ربط TTP
التحدّي : أعطِ مرحلة سلسلة القتل التي يُوقَف عندها الهجوم.
المتوقّع : يُعتمد إذا وُضع الهجوم على سلسلة القتل وبُرّرت مرحلة الإيقاف المثلى.
الاستخبارات المحفوظة لنفسك تحمي مؤسسة واحدة؛ ومشاركةً بصيغة مشتركة تدافع عن مجتمع بأكمله. تطبّع وتتبادل الاستخبارات بمعياري STIX 2.1 (بنية الكائنات) وTAXII (نقلها)، ثمّ تُثري المؤشّرات وتوصّفها بدرجة موثوقية. تنتج حزمة STIX تصف خمس تقنيات هجوم وتعيّن المؤشّر الأكثر موثوقية. تُدرج عملك ضمن منظومة المشاركة التي تمنح الاستخبارات السيبرانية قوّتها.
الهدف : تطبيع الاستخبارات ومشاركتها.
المفاهيم : STIX 2.1، الكائنات · TAXII
التحدّي : قدّم حزمة STIX بخمس TTP مرتبطة.
المتوقّع : يُعتمد إذا شُورِكت حزمة STIX عبر MISP بخمس TTP مرتبطة بشكل صحيح.
الهدف : إثراء وتصنيف المؤشّرات.
المفاهيم : IOC، التسجيل · الإيجابيات الكاذبة
التحدّي : أعطِ المؤشّر الأكثر موثوقية ودرجته.
المتوقّع : يُعتمد إذا أُثريت المؤشّرات وكان المؤشّر الأكثر موثوقية ودرجته صحيحين.
تسمية فاعل مغرية، لكنّ إسناداً سيئ الإجراء يوجّه الاستجابة كلّها في الاتجاه الخاطئ. تحلّل الفاعلين بتقنياتهم المميِّزة مع قياس حدود الإسناد — قد يحاكي فاعلٌ آخر — وتعبّر عن مستوى ثقة. والأهمّ أن تفعّل الاستخبارات: ترجمة تقنية مهاجم إلى قاعدة كشف Sigma. تعطي الفاعل الأرجح مع ثقته، وتحوّل تقنيةً إلى كشف ملموس. تُقاس قيمة الاستخبارات بما تغيّره في الدفاع.
الهدف : التحليل والنسبة بحذر.
المفاهيم : الفاعلون، تواقيع TTP · حدود النسبة
التحدّي : أعطِ الفاعل الأرجح ومستوى الثقة.
المتوقّع : يُعتمد إذا وُزنت النسبة وبُرّر الفاعل الأرجح ومستوى الثقة.
الهدف : تحويل الاستخبارات إلى كشوف.
المفاهيم : TTP←قاعدة · فجوة الدلالة الإجرائية
التحدّي : قدّم TTP المحوَّلة إلى قاعدة Sigma.
المتوقّع : يُعتمد إذا حُوّلت TTP إلى قاعدة Sigma مُختبَرة.
استخبارات صحيحة لكن سيّئة العرض لا تطلق أيّ قرار: التقرير هو حيث تتجسّد القيمة. تكتب تقرير CTI قابلاً للتنفيذ فعلاً، مُعايَراً بحسب جمهوره — من صانع القرار الذي يريد ثلاث أولويات إلى المحلّل الذي يريد التفاصيل التقنية. التحدّي: إنتاج تقرير مقترن بثلاث توصيات مرتّبة. تتعلّم إنزال الاستخبارات حيث ستُستخدَم، بلغة من يقرّر.
الهدف : كتابة تقرير قابل للتنفيذ حسب الجمهور.
المفاهيم : مستويات التقرير · التوصيات
التحدّي : قدّم التقرير بثلاث توصيات مرتَّبة.
المتوقّع : يُعتمد إذا كُيّف التقرير للجماهير واقترح ثلاث توصيات مرتَّبة.
عند اختراق جهاز ويندوز، يعيد المحقّق بناء ما حدث. تؤهّلك هذه الوحدة للتحقيق الجنائي: جمع الأدلّة، الآثار، الذاكرة، الخط الزمني، والتقرير المقبول.
في التحقيق، الدليل سيّئ الجمع دليل ضائع — بل قد يكون غير مقبول. مع FTK Imager تستحوذ على صورة قرص وذاكرة لنظام Windows مع حفظ سلامتها: احترام ترتيب التطايرية (التقاط الأكثر زوالاً أوّلاً)، الحجب عن الكتابة (write-blocker)، بصمة تحقّق. التحدّي: تقديم SHA-256 للصورة وإثبات عدم تعديلها. تنفّذ الخطوة الأولى الحاسمة لأيّ تحقيق رقمي مقبول.
الهدف : اكتساب صورة قرص/ذاكرة مع حفظ السلامة.
المفاهيم : ترتيب التطايّر · حاجب الكتابة، التجزئة
التحدّي : قدّم SHA-256 للصورة وأثبت السلامة.
المتوقّع : يُعتمد إذا احتُرم ترتيب التطايّر وأثبت SHA-256 للصورة السلامة.
حتّى حين يحذف مهاجم ملفاته، يحتفظ Windows بأثر ما نُفّذ. مع RegRipper تعيد بناء نشاط التنفيذ من آثار قليلة الشهرة (Prefetch، Amcache، ShimCache) وتكشف الآليات التي يبقى بها برنامج بعد إعادة التشغيل — مفاتيح بدء التشغيل، الخدمات، المهامّ المجدولة. تعيّن الثنائي الخبيث الذي نُفّذ وآلية الاستمرارية المثبّتة. تتعلّم قراءة الآثار التي يحفظها النظام دون علم المتسلّل.
الهدف : إعادة بناء ما نُفّذ.
المفاهيم : Prefetch، Amcache · ShimCache
التحدّي : أعطِ الثنائي الخبيث المُنفَّذ.
المتوقّع : يُعتمد إذا استُخرجت آثار التنفيذ وكان الثنائي الخبيث المُنفَّذ صحيحًا.
الهدف : إيجاد آليات الاستمرارية.
المفاهيم : مفاتيح Run، الخدمات · المهام المجدوَلة
التحدّي : أعطِ آلية الاستمرارية الموجودة.
المتوقّع : يُعتمد إذا عُدّدت نقاط الاستمرارية وحُدّدت الآلية الخبيثة بشكل صحيح.
سجلّ النظام (registry) وآثار التصفّح تروي، ساعةً ساعة، ما فعله مستخدم على آلته. تستخرج أدلّة من سجلّ Windows — الخلايا (hives)، أجهزة USB الموصولة، الحسابات والوصول — ثمّ تعيد بناء نشاط المتصفّح والبريد بـ Hindsight. تستعيد الرقم التسلسلي لمفتاح USB الموصول والرابط الذي حُمِّل منه برنامج خبيث. تعيد بناء خيط أفعال مستخدم، مشروعاً كان أم مخترَقاً.
الهدف : استخراج أدلّة من السجلّ.
المفاهيم : الخلايا، USB · الحسابات/الوصول
التحدّي : أعطِ الرقم التسلسلي لمفتاح USB الموصول.
المتوقّع : يُعتمد إذا حُلّلت الخلايا وكان الرقم التسلسلي لمفتاح USB صحيحًا.
الهدف : إعادة بناء نشاط المستخدم.
المفاهيم : السجلّ، الذاكرة المؤقتة · التنزيلات
التحدّي : أعطِ عنوان URL لتنزيل البرمجية الخبيثة.
المتوقّع : يُعتمد إذا أُعيد بناء نشاط المتصفّح وكان عنوان URL لتنزيل البرمجية صحيحًا.
بعض التهديدات لا تمسّ القرص قطّ: لا تعيش إلّا في الذاكرة الحيّة. مع Volatility تحلّل التقاط ذاكرة لكشف ما يختبئ فيها — العمليات، المكتبات المحمَّلة (DLL)، وقبل كلّ شيء شيفرة محقونة في عملية مشروعة. التحدّي: تحديد العملية المحقونة وعنوان القيادة والتحكّم الذي تتّصل به. تبلغ الطبقة التي تلجأ إليها أكثر الهجمات تخفّياً، الخفيّة عن تحليل القرص.
الهدف : كشف العمليات والحقن.
المفاهيم : العمليات، DLL · الحقن
التحدّي : أعطِ PID المحقون وIP لـ C2.
المتوقّع : يُعتمد إذا كُشف الحقن وكان PID المحقون وIP لـ C2 صحيحين.
نظام ملفات NTFS يمسك دفاتر دقيقة — يستطيع المحقّق استثمارها، ويسعى المهاجم إلى تزويرها. مع MFTECmd تحلّل جدول الملفات الرئيس (MFT) وسجلّ التغييرات ($UsnJrnl) لاستعادة ملف محذوف، ثمّ ترصد آثار مضادّة للتحليل الجنائي: تزوير الطوابع الزمنية (timestomping)، محو السجلّات. تحدّد الملف الذي حذفه المهاجم والملف الذي عُبث بتواريخه. تتعلّم كشف الآثار ومحاولات محوها معاً.
الهدف : استثمار MFT وسجلّات NTFS.
المفاهيم : MFT، $UsnJrnl · الطوابع الزمنية
التحدّي : أعطِ الملف الذي حذفه المهاجم.
المتوقّع : يُعتمد إذا استُثمرت MFT وسجلّ NTFS وحُدّد الملف المحذوف بشكل صحيح.
الهدف : رصد آثار المحو.
المفاهيم : تزوير الطوابع الزمنية · محو السجلّات
التحدّي : أعطِ الملف الذي زُوّرت تواريخه.
المتوقّع : يُعتمد إذا كُشف مضادّ الأدلّة وكان الملف ذو التواريخ المزوَّرة صحيحًا.
في نهاية تحقيق، لا تساوي عشرات الآثار المنفردة شيئاً ما لم تُربط في خطّ زمني متماسك. مع Plaso تبني خطّاً زمنياً فائقاً (super-timeline) — تجميع كلّ المصادر الموقوتة في إفريز واحد — ثمّ تنتج تقريراً مقبولاً، يفصل الفرضيات عن الأدلّة بوضوح. تؤرّخ الوصول الأولي وناقله، وتسلّم تقريراً يحمل الخطّ الزمني الكامل. تُغلق التحقيق باستعادته: سردية مؤرَّخة، موثَّقة، قابلة للاستثمار خارج الدائرة التقنية.
الهدف : بناء تسلسل زمني متّسق.
المفاهيم : الخطّ الزمني الفائق · الترابط
التحدّي : أعطِ وقت ومتجّه الوصول الأوّلي.
المتوقّع : يُعتمد إذا كان الخطّ الزمني الفائق متّسقًا وكان وقت ومتجّه الوصول الأوّلي صحيحين.
الهدف : إنتاج تقرير مقبول.
المفاهيم : الفرضيات/الأدلّة · الوضوح القانوني
التحدّي : سلّم التقرير بالتسلسل الزمني الكامل.
المتوقّع : يُعتمد إذا ميّز التقرير الوقائع عن الفرضيات وقدّم تسلسلًا زمنيًا كاملًا.
يروي خادم لينكس المخترَق قصته — لمن يعرف قراءتها. تعلّمك هذه الوحدة التحليل الجنائي للينكس: الآثار، الاستمرارية، استرجاع الملفات، تحليل الذاكرة.
حين يُشتبه باختراق خادم لينكس، قد يؤدّي فصله بسرعة إلى إتلاف أدلّة متطايرة. تجعلك هذه اللبنة تجمع بالترتيب الصحيح: فرز حيّ على النظام العامل، ثمّ التقاط للذاكرة (بـ LiME) وصورة قرص دون اتصال. التحدّي: رصد العملية المشبوهة من الفرز الحيّ. تستطيع التدخّل على آلة إنتاج دون محو ما تحتفظ به الذاكرة الحيّة وحدها.
الهدف : جمع أدلّة حيّة وغير متّصلة.
المفاهيم : الفرز الحيّ · ذاكرة LiME
التحدّي : أعطِ العملية المريبة من الفرز الحيّ.
المتوقّع : يُعتمد إذا حفظ الفرز الحيّ والاكتسابات السلامة وكانت العملية المريبة صحيحة.
على لينكس، ما فعله مهاجم وكيف ينوي العودة يُقرأ في السجلّات وإعداد النظام. تعيد بناء النشاط عبر السجلّات (auth.log، journald) وتكشف آليات الاستمرارية (cron، خدمات systemd)، ثمّ تستعيد الأوامر المنفَّذة من تاريخ الصدفة. تحدّد آلية الاستمرارية والحساب المعنيّ، والأمر الذي حمّل الشيفرة الخبيثة. تقرأ الأثر الذي يتركه متسلّل، رغماً عنه، في الذاكرة الإدارية للنظام.
الهدف : إعادة بناء النشاط والاستمرارية.
المفاهيم : auth.log، journald · Cron/systemd
التحدّي : أعطِ آلية الاستمرارية والحساب.
المتوقّع : يُعتمد إذا حُلّلت السجلّات وكانت آلية الاستمرارية والحساب المخترَق صحيحين.
الهدف : إعادة بناء الأوامر المُنفَّذة.
المفاهيم : bash_history · الطوابع الزمنية
التحدّي : أعطِ أمر تنزيل البرمجية الخبيثة.
المتوقّع : يُعتمد إذا استُثمر سجلّ الصدفة وكان أمر تنزيل البرمجية الخبيثة صحيحًا.
حذف ملف لا يمحوه فعلاً: تبقى بياناته على القرص إلى أن يُكتب فوقها. مع Foremost تستعيد ملفات محذوفة بنحت البيانات (carving) — إعادة بناء انطلاقاً من تواقيع الملفات — وعبر سجلّ نظام الملفات ext4. التحدّي: استعادة سكربت خبيث ظنّ المهاجم أنّه أتلفه. تستطيع إحياء دليل حاول أحدهم إخفاءه.
الهدف : استرجاع الملفات المحذوفة.
المفاهيم : النحت · سجلّ ext4
التحدّي : استرجع السكربت الخبيث الممحوّ.
المتوقّع : يُعتمد إذا نجح النحت واستُرجع السكربت الخبيث الممحوّ بشكل صحيح.
تختبئ أكثر اختراقات لينكس تقدّماً حيث تنظر أقلّ: في ذاكرة النواة وفي الحاويات. مع Volatility تحلّل التقاط ذاكرة لكشف rootkit أو وحدة نواة خبيثة، ثمّ تحقّق في حاوية Docker مخترَقة — طبقاتها، نقاط تركيبها، سجلّاتها. تحدّد وحدة النواة المحقونة والتعديل المُدخَل في الحاوية. تحمل التحقيق إلى الزوايا التي تلجأ إليها التهديدات المتخفّية.
الهدف : كشف الجذور الخفيّة والعمليات المخفيّة.
المفاهيم : ملفّات Linux · الوحدات/الجذور الخفيّة
التحدّي : أعطِ وحدة النواة الخبيثة المُحمَّلة.
المتوقّع : يُعتمد إذا حُلّل التفريغ وحُدّدت وحدة النواة الخبيثة بشكل صحيح.
الهدف : التحقيق في حاوية مخترَقة.
المفاهيم : الطبقات، التحميلات · سجلّات الحاوية
التحدّي : أعطِ التعديل المُدخَل في الحاوية.
المتوقّع : يُعتمد إذا فُحصت طبقات الحاوية وحُدّد التعديل المُدخَل بشكل صحيح.
المهاجم الكفؤ لا يكتفي بالفعل: يمحو آثاره. ترصد أوّلاً هذه المناورات المضادّة للتحليل الجنائي على لينكس — سجلّات ممحوّة، تواريخ مزوّرة (timestomping) — ثمّ تعيد بناء خطّ زمني موثوق رغمها. تحدّد السجلّ الممحوّ والطريقة المستخدَمة، ثمّ تؤرّخ ناقل الوصول الأولي. تتعلّم التحقيق ضدّ من يسعى بنشاط إلى تضليلك.
الهدف : رصد محو الآثار.
المفاهيم : محو السجلّات · تزوير الطوابع الزمنية
التحدّي : أعطِ السجلّ الممحوّ والمنهجية.
المتوقّع : يُعتمد إذا كُشف مضادّ الأدلّة وكان السجلّ الممحوّ والمنهجية صحيحين.
الهدف : بناء تسلسل زمني.
المفاهيم : الخطّ الزمني الفائق · الترابط
التحدّي : أعطِ متجّه الوصول الأوّلي.
المتوقّع : يُعتمد إذا بُني الخطّ الزمني لـ Linux وكان متجّه الوصول الأوّلي صحيحًا.
تحقيق لا يُختَم بتقرير واضح يبقى بلا أثر: التقرير هو الوثيقة التي تحوّل التحليل إلى قرار، وأحياناً إلى دليل. تكتب تقريراً جنائياً منظَّماً للينكس — يفصل الوقائع الثابتة عن الفرضيات، مع مؤشّرات الاختراق والخطّ الزمني. التحدّي: تسليم تقرير يحمل مؤشّرات الاختراق وتسلسل الأحداث. تُغلق التحقيق باستعادته، مقروءاً من قِبَل قرين ومن صانع قرار على السواء.
الهدف : اختتام التحقيق.
المفاهيم : الأدلّة · IOC
التحدّي : سلّم التقرير بالمؤشّرات والتسلسل الزمني.
المتوقّع : يُعتمد إذا جمّع التقرير المؤشّرات وقدّم تسلسلًا زمنيًا كاملًا.
يكتسب التحليل الجنائي سرعة وقابلية للتكرار عند أتمتته. تعلّمك هذه الوحدة برمجة جمع وتحليل الأدلّة بلغة بايثون.
حين تبلغ الأدلّة غيغابايتات، لم يعد التحليل اليدوي يصمد: عليك برمجة أدواتك. ببايثون تكتب مستخرِجات مؤشّرات على أحجام كبيرة، ثمّ تفكّ ترميز آثار Windows (Prefetch، السجلّ) بنفسك بمكتبات جنائية. تعيّن العنوان الأكثر نشاطاً والأكثر اشتباهاً، والثنائي المنفَّذ الذي يفكّه سكربتك. تنتقل من مستخدِم أدوات إلى مؤلِّف أدوات تحقيقك الخاصّة.
الهدف : أتمتة استخراج المؤشّرات.
المفاهيم : os/struct · التحليل الكتلي
التحدّي : أعطِ IP الأكثر نشاطًا والأكثر اشتباهًا.
المتوقّع : يُعتمد إذا حُلّل السجلّ وكان IP الأكثر نشاطًا والأكثر اشتباهًا صحيحين.
الهدف : فكّ ترميز الآثار في Python.
المفاهيم : Prefetch/السجلّ · مكتبات جنائية
التحدّي : أعطِ الثنائي المُنفَّذ المُفكَّك بالسكربت.
المتوقّع : يُعتمد إذا فُكّ ترميز أثر Windows واستُخرج الثنائي المُنفَّذ بشكل صحيح.
إعادة التحليل نفسه لالتقاط يدوياً، حادثاً بعد حادث، يضيّع وقتاً ثميناً. مع Scapy وDSHELL تؤتمت تحليل الحركة — كشفٌ برمجي لما تبحث عنه العين يدوياً. التحدّي: أن يحدّد سكربتك بنفسه العنوان الذي يمسح الشبكة. تحوّل مهارة تحليل إلى كشف قابل للتكرار، جاهز للالتقاط التالي دون البدء من الصفر.
الهدف : أتمتة تحليل الالتقاطات.
المفاهيم : Scapy/DSHELL · الكشف البرمجي
التحدّي : أعطِ IP الماسح المكتشَف بالسكربت.
المتوقّع : يُعتمد إذا قرأ السكربت الالتقاط وكُشف IP الماسح بشكل صحيح.
خلال حادث يمسّ عشرات الآلات، الجمع اليدوي بطيء وصعب التكرار. ببايثون تبني جامع فرز قابلاً للنشر على عدّة مضيفين، يختم زمنياً ويبصم ما يجمعه (بيان قابل للتحقّق). التحدّي: تسليم الجامع وبيانه. تكسب أداةً تجعل الجمع سريعاً ومتجانساً وقابلاً للدفاع عنه أمام الطعن.
الهدف : بناء مُجمِّع قابل للتكرار.
المفاهيم : فرز متعدّد المضيفين · التجزئة/البيان
التحدّي : قدّم المُجمِّع والبيان.
المتوقّع : يُعتمد إذا كان المُجمِّع قابلًا للتكرار وقُدّم البيان الموسوم بالوقت مع البصمات.
لا يساوي مؤشّر الاختراق إلّا بما تستطيع البحث عنه في كلّ مكان، بسرعة، وتوصيفه. بقواعد YARA مبرمَجة تبحث عن مؤشّرات الاختراق عبر أسطول، ثمّ تُثري هذه المؤشّرات آلياً عبر واجهات استخبارات التهديد. تُحصي المضيفين المطابقين لمؤشّر وتعيّن المؤشّر المُثرى الأكثر حرجاً. تربط الكشف الكتلي بالتوصيف، شرطا استجابة على نطاق واسع.
الهدف : البحث عن مؤشّرات على أسطول.
المفاهيم : مسح YARA بسكربت · التقارير
التحدّي : أعطِ عدد المضيفين ذوي مطابقة IOC.
المتوقّع : يُعتمد إذا كُتب سكربت مسح YARA وكان عدد المضيفين ذوي المطابقة دقيقًا.
الهدف : إثراء IOC عبر API.
المفاهيم : API استخبارات التهديد · الترابط
التحدّي : أعطِ المؤشّر المُثرى الأكثر حرجًا.
المتوقّع : يُعتمد إذا عمل الإثراء عبر API وكان المؤشّر المُثرى الأكثر حرجًا صحيحًا.
على الأحجام الضخمة، يكون الشذوذ خفياً على العين: يبرز من معالجة إحصائية. تحلّل مجموعات سجلّات كبيرة بالتجميع وكشف الانحرافات الإحصائية، ثمّ تسلسل الجمع والتحليل والاستعادة في خطّ معالجة مُؤتمَت. تُبرز الشذوذ الإحصائي المخبَّأ وتنتج تقريراً مولَّداً من طرف إلى طرف. تُصنِّع التحقيق، حيث يجعل الحجم المقاربة اليدوية غير عملية.
الهدف : معالجة أحجام ضخمة من السجلّات.
المفاهيم : التجميع · الشذوذات الإحصائية
التحدّي : أعطِ الشذوذ الإحصائي المكتشَف.
المتوقّع : يُعتمد إذا جُمّعت الأحجام وكُشف الشذوذ الإحصائي بشكل صحيح.
الهدف : تسلسل جمع←تحليل←تقرير.
المفاهيم : التنسيق · تقرير تلقائي
التحدّي : نفّذ الخطّ وقدّم التقرير التلقائي.
المتوقّع : يُعتمد إذا عمل الخطّ من طرف إلى طرف وأنتج تقريرًا تلقائيًا متّسقًا.
فهم البرمجية الخبيثة يعني معرفة ما تفعله وكيف تختبئ وكيف تُكتشف. تؤهّلك هذه الوحدة الخبيرة لتحليل البرمجيات الخبيثة، الساكن والديناميكي.
قبل تشغيل عيّنة مشبوهة — فعلٌ محفوف بالخطر — تفحصها ساكنةً، وهي تكشف الكثير سلفاً. مع PEStudio توصّف ثنائياً دون تشغيله: بنية صيغة PE (تنفيذي Windows)، السلاسل النصّية، الانتروبيا التي تفضح محتوى مضغوطاً أو مشفّراً. التحدّي: اقتراح عائلة برمجية خبيثة محتملة والقرينة الحاسمة التي تدعمها. ترسي المرشّح الأوّل لتحليل البرمجيات الخبيثة، الذي يوجّه ما تبقّى دون مجازفة.
الهدف : توصيف عيّنة دون تشغيلها.
المفاهيم : صيغة PE · السلاسل، الإنتروبيا
التحدّي : أعطِ العائلة المُرجَّحة والقرينة الحاسمة.
المتوقّع : يُعتمد إذا أُجري التحليل الساكن وكانت العائلة المُرجَّحة والقرينة الحاسمة صحيحتين.
ما تفعله برمجية خبيثة فعلاً لا يُحزَر دائماً من الشيفرة: أحياناً يجب تركها تعمل — لكن تحت جرس. مع Procmon وإنترنت وهمي (INetSim) تراقب عيّنةً تتفجّر في صندوق رمل (sandbox) معزول، راصداً أفعالها على النظام والشبكة. تسجّل مفتاح الاستمرارية الذي تثبّته ومضيف القيادة والتحكّم الذي تتّصل به. تقرأ السلوك الفعلي لتهديد، دون تعريض بيئة إنتاج.
الهدف : رصد السلوك في عزل.
المفاهيم : صندوق رمل معزول · المراقبة
التحدّي : أعطِ مفتاح الاستمرارية ومضيف C2.
المتوقّع : يُعتمد إذا التُقط السلوك في عزل وكان مفتاح الاستمرارية ومضيف C2 صحيحين.
تصل البرمجيات الخبيثة الحديثة معبَّأة ومشوَّشة لمقاومة التحليل: قبل الفهم، يجب فكّ التعبئة. مع x64dbg وCyberChef تتجاوز هذه الحمايات — فكّ تعبئة في الذاكرة لثنائي مضغوط (packed)، إزالة تشويش البيانات. التحدّي: استخراج رابط القيادة والتحكّم المخبَّأ في الإعدادات. تتجاوز أوّل حاجز تنصبه برمجية خبيثة جادّة، الذي يثبّط التحليل السطحي.
الهدف : تجاوز التعمية.
المفاهيم : التحزيم · فكّ التحزيم في الذاكرة
التحدّي : استخرج عنوان URL لـ C2 من الإعداد.
المتوقّع : يُعتمد إذا فُكّ تحزيم الحمولة واستُخرج عنوان URL لـ C2 من الإعداد بشكل صحيح.
غالباً ما يكون مدخل الهجوم وثيقةً أو سكربتاً يبدو بريئاً. مع oletools تشرّح وثيقةً مفخَّخة (maldoc) وماكروات VBA الخاصّة بها لتتبّع سلسلة العدوى، ثمّ تفكّك حمولات مكتوبة بـ PowerShell أو JavaScript مشوَّشة. تستعيد رابط تحميل الحمولة والفعل النهائي للسكربت بعد فكّه. تتعلّم تحييد أكثر نواقل الاختراقات الراهنة شيوعاً.
الهدف : تحليل مستند مفخّخ.
المفاهيم : ماكرو VBA · سلسلة الإصابة
التحدّي : أعطِ عنوان URL لتنزيل الحمولة.
المتوقّع : يُعتمد إذا أُزيلت تعمية الماكرو وكان عنوان URL لتنزيل الحمولة صحيحًا.
الهدف : تحليل حمولات سكربتية.
المفاهيم : PowerShell/JS مُعمّى · فكّ الترميز
التحدّي : أعطِ الفعل النهائي للسكربت المُفكَّك.
المتوقّع : يُعتمد إذا فُكّت الحمولة السكربتية وحُدّد فعلها النهائي بشكل صحيح.
حين يبلغ التحليل السلوكي حدوده، عليك النزول إلى مستوى تعليمة الآلة. مع IDA وGhidra تقرأ منطق برمجية خبيثة في التفكيك (تجميع x86) لعزل دوالّها المفتاحية، ثمّ تكتب فاكّاً يعيد إنتاج روتين إعدادها. تحدّد دالّة الاتصال بالقيادة والتحكّم وتستخرج الإعداد الكامل المفكوك. تبلغ مستوى التحليل الذي يتيح فهم برمجية خبيثة من الأعماق، لا مجرّد مراقبتها.
الهدف : فهم المنطق في التفكيك.
المفاهيم : تجميعية x86 · الدوال الرئيسية
التحدّي : أعطِ دالة الاتصال بـ C2.
المتوقّع : يُعتمد إذا حُلّلت الدوال الرئيسية وكانت دالة الاتصال بـ C2 صحيحة.
الهدف : استخراج معاملات البرمجية الخبيثة.
المفاهيم : إعداد مُرمَّز · مُفكِّكات
التحدّي : قدّم الإعداد المُفكَّك الكامل.
المتوقّع : يُعتمد إذا كُتب مُفكِّك وكان الإعداد المُفكَّك الكامل صحيحًا.
البرمجية الخبيثة العاملة تفضح نفسها في الذاكرة، ولو ذابت على القرص. مع Volatility تكشف هذه التهديدات في الذاكرة — حقن في عملية مشروعة، تجويف العملية (process hollowing) — ثمّ تكتب قواعد YARA مميِّزة للتعرّف عليها في مكان آخر. تحدّد العملية المضيفة للحقن وتنتج قاعدة YARA بلا إيجابيات كاذبة. تربط التحليل بالرصد على نطاق واسع: تجد مرّة، تكشف في كلّ مكان.
الهدف : إيجاد البرمجية الخبيثة في الذاكرة.
المفاهيم : حقن الذاكرة · process hollowing
التحدّي : أعطِ PID مضيف الحقن.
المتوقّع : يُعتمد إذا كُشف الحقن في الذاكرة وكان PID مضيف الحقن صحيحًا.
الهدف : كتابة تواقيع مميِّزة.
المفاهيم : YARA · الإيجابيات الكاذبة
التحدّي : قدّم قاعدة YARA دون إيجابية كاذبة.
المتوقّع : يُعتمد إذا ميّزت قاعدة YARA العيّنة دون إيجابية كاذبة على الحميد.
لا قيمة دفاعية لتحليل برمجية خبيثة إلّا إذا انتشر بصيغة قابلة للاستخدام مباشرةً. توجز سلوك عيّنة ومؤشّراتها، راسماً تقنياتها على MITRE ATT&CK ومحضّراً نشر مؤشّرات الاختراق. التحدّي: تسليم تقرير يحمل تقنيات ATT&CK والمؤشّرات. تحوّل تحليلاً دقيقاً إلى ذخيرة دفاعية قابلة للمشاركة تفيد المؤسسة بأكملها.
الهدف : تقديم السلوك والمؤشّرات.
المفاهيم : تلخيص ATT&CK · نشر IOC
التحدّي : سلّم التقرير بـ TTP من ATT&CK والمؤشّرات.
المتوقّع : يُعتمد إذا ربط التقرير TTP بـ ATT&CK ونشر المؤشّرات.
الهندسة العكسية هي قراءة البرنامج بلغته الأكثر خاماً لكشف منطقه. تؤهّلك هذه الوحدة الخبيرة لذلك: لغة التجميع، التنقيح، تحديد الثغرات.
تبدأ الهندسة العكسية بمعرفة التوجّه داخل برنامج جُرّد من شيفرته المصدرية. مع Ghidra وradare2 تتنقّل في ثنائي على مستوى التجميع — صيغتا التنفيذي PE وELF، رسم تدفّق التحكّم. التحدّي: تحديد عنوان الدالّة التي تتحقّق من شرط (تحقّق كلمة مرور مثلاً). تكتسب التوجّه الأساسي الذي بدونه يبقى كلّ ما تبقّى من الهندسة العكسية غير مقروء.
الهدف : التنقّل في ثنائي على مستوى التجميعية.
المفاهيم : صيغ PE/ELF · تدفّق التحكّم
التحدّي : أعطِ عنوان دالة التحقّق.
المتوقّع : يُعتمد إذا جُوِّل الثنائي على مستوى التجميعية وكان عنوان دالة التحقّق صحيحًا.
قراءة برنامج ساكناً لا تكفي دائماً: بعض المنطق لا ينكشف إلّا أثناء التشغيل. بمنقّح (GDB) تتبع ثنائياً خطوةً خطوة — نقاط توقّف، فحص المسجّلات والذاكرة، تعديل على الساخن (patch). التحدّي: أن تجعل الثنائي يعترف بكلمة المرور التي ينتظرها. تتعلّم مراقبة برنامج وهو يعمل، وثني تنفيذه لفهم ما يخفيه.
الهدف : تتبّع منطق مُخفى.
المفاهيم : نقاط التوقّف · الترقيع الساخن
التحدّي : أعطِ كلمة المرور المتوقَّعة من الثنائي.
المتوقّع : يُعتمد إذا تُوبع المنطق في المنقّح وكانت كلمة المرور المتوقَّعة صحيحة.
قبل استغلال ثغرة، عليك أوّلاً إيجادها في الثنائي: هذا عمل الباحث عن الثغرات. مع Ghidra وGDB ترصد نقاط ضعف برنامج القابلة للاستغلال بالتحليل — دوالّ خطرة، تحقّق مدخلات معيب. التحدّي: تعيين الدالّة غير الآمنة وإزاحتها الدقيقة (offset). تتبنّى العين التي تميّز، في شيفرة مُصرَّفة، ما سيصمد ممّا سيخضع تحت الضغط.
الهدف : رصد نقاط ضعف قابلة للاستغلال.
المفاهيم : الدوال الخطرة · التحقّق من المُدخَل
التحدّي : أعطِ الدالة غير الآمنة والإزاحة.
المتوقّع : يُعتمد إذا تُتبّع الضعف وكانت الدالة غير الآمنة والإزاحة صحيحتين.
غالباً ما تتكلّم البرمجية الخبيثة لغةً خاصّة وتشفّر تبادلاتها بوصفتها الخاصّة: للإنصات إليها، عليك أوّلاً فكّ شفرتها. مع Wireshark وGhidra تعيد بناء بروتوكول اتصال مجهول — بنية الرسائل، الحقول، مجاميع التحقّق — ثمّ تستعيد روتين تشفير محلّي ومفتاحه المكتوب بصلابة (hardcoded). تصف بنية رسالة وتستخرج المفتاح المخبَّأ في الثنائي. تفتح الصندوق الأسود لاتصالات ظنّتها برمجية خبيثة غير مقروءة.
الهدف : فهم بروتوكول احتكاري.
المفاهيم : صيغة الرسائل · الحقول/المجاميع الاختبارية
التحدّي : أعطِ بنية الرسالة المُفكَّكة.
المتوقّع : يُعتمد إذا حُلّل البروتوكول وكانت بنية الرسالة المُفكَّكة صحيحة.
الهدف : استعادة روتين تعمية.
المفاهيم : خوارزمية مخصّصة · مفاتيح مضمَّنة
التحدّي : أعطِ مفتاح التعمية المضمَّن.
المتوقّع : يُعتمد إذا حُدّد روتين التعمية واستُخرج المفتاح المضمَّن بشكل صحيح.
الثنائيات التي لا تريد أن تُحلَّل تدافع عن نفسها: تكشف المنقّح وتشوّش منطقها. تتجاوز هذه الحمايات المضادّة للهندسة العكسية، ثمّ تؤتمت التحليل ببرمجة أداة التفكيك (Ghidra) — لأنّ التحليل اليدوي لا يلاحق على نطاق واسع. تحدّد تقنية مكافحة التنقيح المُحبَطة وتُحصي الاستدعاءات الخطرة التي يرصدها سكربتك. تربط الحيلة اليدوية بالأتمتة، وجهي الهندسة العكسية المتقدّمة.
الهدف : تجاوز الحمايات.
المفاهيم : مضادّ التنقيح · تعمية التدفّق
التحدّي : أعطِ تقنية مضادّ التنقيح المتجاوَزة.
المتوقّع : يُعتمد إذا تُجوِّزت الحمايات وسُمّيت تقنية مضادّ التنقيح بشكل صحيح.
الهدف : أتمتة التحليل.
المفاهيم : برمجة Ghidra · الأتمتة
التحدّي : أعطِ عدد النداءات الخطرة المكتشَفة.
المتوقّع : يُعتمد إذا عمل سكربت Ghidra وكان عدد النداءات الخطرة المكتشَفة دقيقًا.
في قمّة سلسلة التحليل، يواجه مهندس العكس برمجيات خبيثة مصمَّمة لمقاومة كلّ فحص — وعليه استعادة استنتاجاته بشكل مفيد. مع Ghidra وVolatility تحلّل ثنائياً خبيثاً معقّداً، معبّأً ومزوّداً بمنطق تملّص، ثمّ توثّق منهجك. تحدّد تقنية تملّص البرمجية وتسلّم تقريراً يعيد بناء منطقها. تُغلق التحليل الخبير بنقله، شرط أن تصبح معرفة فردية قدرةً جماعية.
الهدف : تحليل ثنائي خبيث معقّد.
المفاهيم : برمجية مُحزَّمة · منطق التهرّب
التحدّي : أعطِ تقنية تهرّب البرمجية الخبيثة.
المتوقّع : يُعتمد إذا فُكّ تحزيم الثنائي وحُلّل وحُدّدت تقنية التهرّب بشكل صحيح.
الهدف : توثيق التحليل.
المفاهيم : تلخيص تقني · التوصيات
التحدّي : سلّم التقرير بالمنطق المُعاد بناؤه.
المتوقّع : يُعتمد إذا أعاد التقرير بناء منطق الثنائي بوضوح.
عندما تقع الأزمة، يتوقّف كل شيء على الاستعداد ورباطة الجأش. تعلّمك هذه الوحدة الخبيرة قيادة الاستجابة للحوادث وإدارة الأزمات من البداية إلى النهاية.
تتحدّد جودة الاستجابة للحوادث قبل الحادث: في التحضير. تجهّز هذا التحضير وفق دورة NIST 800-61 — أدوار ومسؤوليات موضَّحة (مصفوفة RACI)، إجراءات قرار مكتوبة (playbooks). التحدّي: إنتاج كتيّب إجراءات بثلاثة إجراءات احتواء. ترسي ما سيُحدث الفرق يوم الحدث: لا الارتجال، بل ردود أفعال محضَّرة ومشتركة.
الهدف : تحضير المؤسسة للاستجابة.
المفاهيم : دورة الاستجابة 800-61 · RACI
التحدّي : قدّم دليل العمل بثلاثة إجراءات احتواء.
المتوقّع : يُعتمد إذا عُرّفت الأدوار وقدّم دليل العمل ثلاثة إجراءات احتواء.
أمام حادث، يتربّص خطآن متناظران: المبالغة في ردّ فعل على إنذار كاذب، أو الاستهانة باختراق كبير. توصّف أوّلاً حادثاً — خطورة مبرَّرة، نطاق متأثّر — ثمّ تحتويه دون إتلاف الأدلّة التي يحتاجها التحقيق. ترسي الخطورة والنطاق، وتحدّد نقطة الدخول وتطبّق الاحتواء الصحيح. تتعلّم التصرّف بسرعة وبصواب، محتفظاً ببرودة أعصابك تحت الضغط.
الهدف : توصيف حادث كبير.
المفاهيم : الخطورة، النطاق · المعايير
التحدّي : أعطِ الخطورة المبرَّرة والنطاق.
المتوقّع : يُعتمد إذا بُرّرت الخطورة وحُدّد نطاق الحادث بشكل صحيح.
الهدف : الاحتواء مع حفظ الأدلّة.
المفاهيم : الاحتواء · حفظ الأدلّة
التحدّي : أعطِ نقطة الدخول والاحتواء المطبَّق.
المتوقّع : يُعتمد إذا حُفظت الأدلّة وكانت نقطة الدخول والاحتواء المطبَّق صحيحين.
الاحتواء لا يكفي: ما دامت استمرارية المهاجم قائمة، يمكنه العودة. تستأصل نقاط الرسوّ هذه وتحصّن في الوقت نفسه، فيما تجري تحقيقاً سريعاً لا يبطّئ الاستجابة. تحدّد آليات الاستمرارية المُزالة وتُحصي المضيفين المتأثّرين فعلاً — وهم غالباً أكثر من المشتبه بهم الأوائل. تمسك المطلبين في توتّر: استعادة الزمام بسرعة، دون ترك شيء وراءك.
الهدف : استئصال الاستمرارية والتقوية.
المفاهيم : الاستئصال · التقوية
التحدّي : أعطِ آليات الاستمرارية المُستأصَلة.
المتوقّع : يُعتمد إذا استُؤصلت الاستمرارية وسُردت الآليات المُستأصَلة بشكل صحيح.
الهدف : التحقيق دون إبطاء الاستجابة.
المفاهيم : أدلّة جنائية سريعة · عمليات اصطياد
التحدّي : أعطِ عدد المضيفين المتأثّرين فعلًا.
المتوقّع : يُعتمد إذا أرسى الاصطياد المدى وكان عدد المضيفين المتأثّرين فعلًا دقيقًا.
الاستعادة بسرعة مفرطة تجازف بإعادة حقن الاختراق مع النسخة الاحتياطية؛ والبطء يفاقم الخسارة. تقود التعافي ضمن خطّة استمرارية الأعمال والتعافي من الكوارث (PCA/PRA) — التحقّق من سلامة النسخ، ترتيب الاستعادة، قياس زمن التعافي المستهدف (RTO) وفقدان البيانات المقبول (RPO). التحدّي: تحديد ترتيب الاستعادة وبلوغ هدف التعافي. تربط الاستجابة التقنية برهان الاستمرارية، وهو رهان العمل.
الهدف : الاستعادة بأمان.
المفاهيم : نسخ احتياطية سليمة · RTO/RPO
التحدّي : أعطِ ترتيب الاستعادة وRTO المُحقَّق.
المتوقّع : يُعتمد إذا تُحقّق من النسخ الاحتياطية وكان ترتيب الاستعادة وRTO المُحقَّق متّسقين.
الحادث الكبير يتجاوز سريعاً المجال التقني: يصبح أزمةً، حيث تزن القرارات والتواصل بقدر الاستجابة الميدانية. تدير خليّة أزمة — مفاضلات، تواصل داخلي وخارجي — ثمّ تصمّم وتدير تمريناً على الطاولة (tabletop) لتدريب المؤسسة على البارد، مستنداً إلى قوالب معترف بها (CISA CTEP، ENISA). تصدر قراراً حرجاً مبرَّراً وتبني سيناريو تمرين بأحداثه المُقحَمة. تربط الدفاع السيبراني بحوكمة الأزمات، حيث تتقرّر المرونة الفعلية.
الهدف : إدارة خلية الأزمة.
المفاهيم : خلية الأزمة · التواصل
التحدّي : أعطِ القرار الحرج وتبريره.
المتوقّع : يُعتمد إذا أُديرت الخلية وكان القرار الحرج وتبريره وجيهين.
الهدف : تصميم وإدارة تدريب سيبراني.
المفاهيم : تمرين الطاولة · الحقن
التحدّي : قدّم السيناريو بأربعة حقن والهدف.
المتوقّع : يُعتمد إذا صُمّم التمرين بأربعة حقن وهدف واضح.
حادثٌ عُولج ولم يُحلَّل درسٌ ضائع — وغالباً انتكاسة مُعلَنة. تجري مراجعة ما بعد الأزمة (المراجعة بعد الفعل، أو AAR): إعادة بناء ما جرى دون البحث عن مذنب، واستخلاص الدروس وخطّة تحسين ملموسة. التحدّي: إنتاج مراجعة بخمسة إجراءات مرتّبة. تحوّل المحنة إلى تقدّم دائم — ما يميّز مؤسسة تتعلّم من مؤسسة تكرّر أخطاءها.
الهدف : الرسملة والتحسين.
المفاهيم : AAR · خطة تحسين
التحدّي : قدّم AAR بخمسة إجراءات مرتَّبة.
المتوقّع : يُعتمد إذا أُجريت AAR ورُتّبت خمسة إجراءات تحسين.
على مختبِر الاختراق أن يقيس بشكل منهجي كامل سطح الهجوم لبيئة مؤمَّنة. خطوة بخطوة — من تحديد نطاق المهمة إلى كتابة التقرير — ستتبنّى منهج المحترف.
اختبار اختراق بلا إطار واضح ليس اختباراً: إنّه تسلّل. ترسي هذه اللبنة أوّلاً قواعد اشتباك المهمّة — النطاق، الإذن الكتابي، السرية، وفق منهجية معترف بها (PTES) — قبل أيّ خطوة تقنية. ثمّ تُجري استطلاعاً نشطاً لرسم سطح الهجوم وتعيين الهدف الأكثر وعداً، مع التبرير. تتعلّم أنّ صرامة التأطير هي ما يفصل محترف الأمن الهجومي عن مهاجم.
الهدف : تأطير مهمّة اختبار اختراق قانونيًا.
المفاهيم : النطاق، التفويض، PTES · الأدلّة/السرّية
التحدّي : قدّم قواعد الاشتباك المُصادَق عليها.
المتوقّع : يُعتمد إذا غطّت قواعد الاشتباك النطاق والتفويض والأدلّة وكانت مُصادَقًا عليها.
الهدف : تخريط سطح الهجوم.
المفاهيم : استطلاع سلبي/نشط · الأولويات
التحدّي : أعطِ الهدف الأكثر وعدًا مُبرَّرًا.
المتوقّع : يُعتمد إذا خُرّط السطح وبُرّر الهدف الأكثر وعدًا.
تقرير ماسح خام يخلط الثغرات الحقيقية بالإنذارات الكاذبة: يبدأ العمل حيث تتوقّف الأداة. تحدّد ثغرات، وترتّبها بدرجة خطورتها CVSS، وقبل كلّ شيء تتحقّق منها يدوياً — لأنّ الثغرة المؤكَّدة وحدها تبرّر الفعل. التحدّي: تعيين الثغرة المؤكَّدة الأكثر حرجاً ومعرّفها (CVE). تتبنّى الانضباط الذي يميّز نتيجة قابلة للاستغلال من مجرّد ضجيج ماسح.
الهدف : التحديد والتثبّت دون إيجابيات كاذبة.
المفاهيم : الماسحات، CVSS · التثبّت اليدوي
التحدّي : أعطِ الثغرة المُتثبَّتة الأكثر حرجًا (CVE).
المتوقّع : يُعتمد إذا تُثبِّت من ثغرتين وسُمّيت الأكثر حرجًا (CVE) بشكل صحيح.
الحصول على أوّل موطئ قدم في النظام هو اللحظة المفصلية لاختبار الاختراق — والأدقّ تنفيذاً بنظافة. مع Metasploit تستغلّ ثغرةً لكسب وصول أوّلي مستقرّ (حمولات، معالِجات اتصال)، ثمّ تخترق بيانات اعتماد ضعيفة بهجوم متّصل وكسر دون اتصال. تقدّم دليل وصول (المضيف والحساب المحصَّلان) وبيان اعتماد صالح. تعبر، بشكل محكوم وموثَّق، الحدّ الذي يسعى مهاجم إلى عبوره بصمت.
الهدف : الحصول على وصول أوّلي مُتحكَّم.
المفاهيم : الحمولات، المُعالِجات · الثبات
التحدّي : قدّم دليل الوصول (اسم المضيف+المستخدم).
المتوقّع : يُعتمد إذا حُصل على جلسة ثابتة وقُدّم دليل الوصول (المضيف+المستخدم).
الهدف : اختراق اعتمادات ضعيفة.
المفاهيم : القوّة الغاشمة، الرشّ · الكسر دون اتصال
التحدّي : أعطِ الاعتماد الصحيح المُحصَّل.
المتوقّع : يُعتمد إذا حُصّل الاعتماد الصحيح عبر الهجوم المتحكَّم.
الوصول الأولي نادراً ما يكون وصول مدير: بينهما يقع تصعيد الصلاحيات. مع linPEAS وwinPEAS ترفع حقوقك على هدف لينكس ثمّ Windows باستغلال أخطاء الإعداد — ثنائيات SUID، قواعد sudo، مهامّ مجدولة، خدمات ضعيفة الحماية، رموز وصول (tokens). تعيّن ناقل التصعيد المستخدَم والخدمة الضعيفة المستغَلّة. من جهة الدفاع، هذا فهم لما سيبحث عنه المهاجم تماماً متى دخل، لإغلاقه عليه.
الهدف : رفع الصلاحيات على الهدف.
المفاهيم : SUID، sudo، cron · النواة
التحدّي : أعطِ متّجه التصعيد المُستخدَم.
المتوقّع : يُعتمد إذا حُصل على root وحُدّد متّجه التصعيد المُستخدَم بشكل صحيح.
الهدف : رفع الصلاحيات على Windows.
المفاهيم : الخدمات، الرموز · سوء الإعداد
التحدّي : أعطِ الخدمة المُستغَلّة الهشّة.
المتوقّع : يُعتمد إذا حُصل على SYSTEM وكانت الخدمة المُستغَلّة الهشّة صحيحة.
قيمة اختبار الاختراق ليست في الاستغلال الناجح، بل في ما تبرهنه وما توصي به. تُجري ما بعد استغلال نظيفاً — استمرارية محكومة، جمع دليل الأثر على العمل، تنظيف — ثمّ تكتب تقريراً قابلاً للتنفيذ، من الملخّص التنفيذي إلى التفاصيل التقنية. ترسي دليل أثر فعليّ على المؤسسة وتسلّم تقريراً يربط سلسلة الهجوم بثلاث معالجات مرتّبة. تُغلق المهمّة بما يجعلها مفيدة: مساعدة الهدف على إصلاح نفسه.
الهدف : الاستمرار بنظافة وجمع الأثر.
المفاهيم : استمرارية متحكَّمة · الجمع/التنظيف
التحدّي : قدّم دليل الأثر على العمل.
المتوقّع : يُعتمد إذا أُنتج دليل أثر على العمل ونُظّفت الاستمرارية.
الهدف : إنتاج تقرير قابل للتنفيذ.
المفاهيم : ملخّص تنفيذي/تقني · معالجة مرتَّبة
التحدّي : سلّم التقرير بالسلسلة + 3 معالجات.
المتوقّع : يُعتمد إذا عرض التقرير السلسلة وثلاث معالجات مرتَّبة.
تبقى بوابة عامة قابلة للاختراق بثغرة معروفة في إطار تطبيقي، لعدم تطبيق الترقيع في كل مكان.
المهمة : Dérouler une méthodologie de test (reconnaissance, identification d'une vulnérabilité connue, preuve) et restituer un rapport priorisé.
أفضل المختبِرين يكتبون أدواتهم الخاصة. تعلّمك هذه الوحدة تطوير أدواتك الهجومية بلغة بايثون: الماسحات، التلاعب بالحزم، أتمتة الاستغلال.
الأدوات الجاهزة تتوقّف حيث تبدأ الحاجات الخاصّة: للمضيّ أبعد، تكتب أدواتك. ببايثون تكتب ماسح منافذ (مقابس TCP/UDP، توازٍ) ثمّ تصوغ وتحلّل رُزَماً مخصّصة بـ Scapy. تسلّم ماسحك الخاصّ ونتيجته، وتجعل مضيفاً يستجيب لمسح مخصّص. تفهم من الداخل ما تؤتمته الأدوات، وتكسب استقلالية بناء ما لا تفعله أيّ أداة.
الهدف : برمجة ماسح منافذ.
المفاهيم : مقابس TCP/UDP، خيوط · المهل
التحدّي : قدّم الماسح والمنافذ المفتوحة المكتشَفة.
المتوقّع : يُعتمد إذا عمل الماسح متعدّد الخيوط وأبلغ عن المنافذ المفتوحة بشكل صحيح.
الهدف : تزوير وتحليل الحزم.
المفاهيم : التزوير، الالتقاط · مسوحات مخصّصة
التحدّي : أعطِ المضيف المُجيب للمسح المخصّص.
المتوقّع : يُعتمد إذا زُوّرت الحزمة المخصّصة وحُدّد المضيف المُجيب بشكل صحيح.
فهم كيف يستولي مهاجم على الزمام يفترض أن تكون قد برمجته بنفسك. ببايثون تكتب سكربت هجوم كلمات مرور محكوماً (إدارة المعدّل، الاستئناف عند العطل) ثمّ تكتب صدفةً عن بُعد — الاتصال الذي تُقاد به آلة مخترَقة — مميّزاً النوعين العكسي (reverse) والمقيّد (bind). تجد بيان اعتماد صالحاً وتُثبت تنفيذ أمر عن بُعد. تزيل الغموض عن لبنتين أوّليّتين في كثير من التسلّلات، ما يساعد أيضاً على كشفهما.
الهدف : كتابة هجوم كلمات مرور برمجيًا.
المفاهيم : قوّة غاشمة، معدّل · استئناف الحالة
التحدّي : أعطِ الاعتماد الصحيح المُكتشَف.
المتوقّع : يُعتمد إذا وجد السكربت الاعتماد الصحيح مع بقائه موثوقًا.
الهدف : كتابة صدفة بعيدة في Python.
المفاهيم : عكسية مقابل ربط · تعمية أساسية
التحدّي : أثبت تنفيذ أمر عن بُعد.
المتوقّع : يُعتمد إذا نفّذت الصدفة العكسية أمرًا عن بُعد.
تكرار فحوص الاستغلال نفسها يدوياً، مهمّةً بعد مهمّة، يضيّع الوقت ويغري بالسهو. ببايثون تؤتمت هذه المهامّ: فحص مسارات تصعيد الصلاحيات، ثمّ قيادة Metasploit عبر واجهته القابلة للبرمجة (RPC) لتنسيق الاستغلال. تجعل سكربتك يكشف ناقل التصعيد ويحصل على جلسة عبر شيفرة. تُصنِّع الفعل الهجومي، مكسباً في الموثوقية كما في السرعة.
الهدف : فحص التصعيد تلقائيًا.
المفاهيم : فحوص التصعيد · التقارير
التحدّي : أعطِ متّجه التصعيد المكتشَف بالسكربت.
المتوقّع : يُعتمد إذا كشف السكربت متّجه التصعيد بشكل صحيح.
الهدف : أتمتة الاستغلال.
المفاهيم : RPC لـ MSF · التنسيق
التحدّي : أثبت الحصول على جلسة عبر السكربت.
المتوقّع : يُعتمد إذا حُصل على جلسة عبر قيادة Metasploit برمجيًا.
وراء الأدوات العامّة، يصوغ الممارس المتقدّم ترسانته الخاصّة، المفصّلة على مهامّه. ببايثون تبني أدوات قابلة لإعادة الاستخدام — وحدة استطلاع تنتج تقريراً منظَّماً (JSON)، ثمّ أداة هجومية مغلَّفة بسطر أوامر — وتفهم مفاهيم تملّص مكافح الفيروسات (تشويش، ترميز الحمولات) بقياس انخفاض الكشف. يتضمّن العمل ضوابط أخلاقية صريحة، لأنّ أداة هجومية تُلزِم مسؤولية مؤلّفها. تكسب استقلالية الأدوات، بالصرامة التي تتطلّبها.
الهدف : بناء أداة استطلاع قابلة لإعادة الاستخدام.
المفاهيم : الوحدية · مخرجات قابلة للاستثمار
التحدّي : قدّم الأداة وتقريرها JSON.
المتوقّع : يُعتمد إذا أنتجت الأداة تقرير JSON قابلًا للاستثمار عن الاستطلاع.
الهدف : فهم تعمية الحمولات.
المفاهيم : التعمية · الترميز
التحدّي : أعطِ انخفاض الكشف المقيس.
المتوقّع : يُعتمد إذا قِيس انخفاض الكشف ضمن إطار أخلاقي.
الهدف : تحزيم أداة سطر أوامر موثَّقة.
المفاهيم : CLI، إعداد · الأخلاق/الضوابط
التحدّي : سلّم أداة CLI تنفّذ استطلاع←استغلال.
المتوقّع : يُعتمد إذا نفّذت أداة CLI الموثَّقة سلسلة استطلاع←استغلال.
تطبيقات الويب هي سطح الهجوم الأول. تعلّمك هذه الوحدة كشف ثغرات OWASP واستغلالها ثم إصلاحها — وفق عملية تدقيق قابلة للتكرار.
قبل مهاجمة تطبيق ويب، ترسم خريطته الكاملة — بما فيها الصفحات التي لا تُظهرها قائمته. مع Burp Suite ترسم تطبيقاً (وسيط اعتراض، زحف آلي) ثمّ تهاجم مصادقته وإدارة جلساته. تكشف نقطة وصول حسّاسة غير مرتبطة والمَعلَم الذي يتيح انتحال جلسة. تنفّذ الحركتين الافتتاحيّتين لأيّ اختبار تطبيقي: رؤية كامل السطح، واختبار الباب الأمامي.
الهدف : تخريط تطبيق وِب.
المفاهيم : الزحف، البروكسي · سطح الوِب
التحدّي : أعطِ النهاية الحسّاسة غير المربوطة في القائمة.
المتوقّع : يُعتمد إذا خُرّط التطبيق ووُجدت النهاية الحسّاسة غير المربوطة.
الهدف : مهاجمة المصادقة والجلسات.
المفاهيم : مصادقة، جلسة · ملفّات تعريف/رموز
التحدّي : أعطِ المعامل المُتيح للانتحال.
المتوقّع : يُعتمد إذا حُدّد المعامل المُتيح لانتحال الجلسة بشكل صحيح.
يبقى حقن SQL، بعد عقود من اكتشافه، من أكثر ثغرات الويب انتشاراً وخطورة. مع SQLmap تكشف وتستغلّ حقن SQL — متغيّرات الاتحاد، الأعمى (blind)، بالخطأ — ثمّ تفهم كيفية إصلاحه. التحدّي: استخراج بصمة كلمة مرور المدير عبر الحقن. تدرك آلية الهجوم والاستعلام المُعَلَّم (parameterised) الذي كان سيمنعه معاً.
الهدف : كشف واستغلال حقن SQL.
المفاهيم : Union/blind/error · المعالجة
التحدّي : استخرج تجزئة المدير عبر الحقن.
المتوقّع : يُعتمد إذا استُغلّ الحقن واستُخرجت تجزئة المدير بشكل صحيح.
تطبيق يثق بالبيانات التي يتلقّاها يعرّض نفسه لتحويلها ضدّه. تستغلّ البرمجة العابرة للمواقع (XSS) — حقن شيفرة في صفحة يراها مستخدمون آخرون، بمتغيّراتها المخزَّنة والمنعكسة وDOM — ثمّ حقن الملفات (رفع مفخَّخ، تضمين ملفات، كيانات XML خارجية — XXE). تسرّب كعكة جلسة عبر XSS وتقرأ ملف نظام عبر XXE. تفهم كيف يصبح مدخل غير محكوم تنفيذاً غير متوقَّع.
الهدف : استغلال XSS مخزَّن.
المفاهيم : XSS مخزَّن/منعكس/DOM · الترميز
التحدّي : سرّب كوكي الجلسة عبر XSS.
المتوقّع : يُعتمد إذا سرّب XSS المخزَّن كوكي الجلسة.
الهدف : استغلال الرفع وLFI وXXE.
المفاهيم : رفع، LFI/RFI · XXE
التحدّي : اقرأ /etc/passwd عبر XXE.
المتوقّع : يُعتمد إذا أتاح XXE قراءة /etc/passwd.
كثير من التطبيقات تتحقّق من هويّتك، لكنّها تنسى التحقّق ممّا يحقّ لك. تستغلّ عيوب التفويض هذه — وصول مباشر إلى كائن مستخدم آخر (IDOR)، تصعيد صلاحيات — ثمّ مدخلات غير متحقَّق منها تؤدّي إلى التنفيذ (فكّ تسلسل، حقن أوامر). تصل إلى طلب مستخدم آخر بتغيير معرّف، وتجد المَعلَم الذي يقود إلى تنفيذ شيفرة. تمسّ عيوب منطق الوصول، من أكثرها شيوعاً واستهانةً.
الهدف : استغلال عيوب التفويض.
المفاهيم : IDOR، BOLA · الصلاحيات
التحدّي : ابلغ طلب مستخدم آخر (المُعرِّف).
المتوقّع : يُعتمد إذا أتاح IDOR الوصول إلى طلب مستخدم آخر.
الهدف : استغلال مُدخَلات غير مُتحقَّقة.
المفاهيم : فكّ التسلسل · حقن الأوامر
التحدّي : أعطِ المعامل المؤدّي للتنفيذ.
المتوقّع : يُعتمد إذا حُدّد المعامل المؤدّي للتنفيذ بشكل صحيح.
الرمز الذي يعرّفك بعد الدخول هو أيضاً ما يسعى مهاجم إلى تزويره. تهاجم إدارة الجلسات الحديثة، لا سيّما رموز JWT (JSON Web Tokens): فهم توقيعها، تثبيت الجلسة، وصوغ رمز صالح بـ jwt_tool. التحدّي: صناعة JWT مدير يقبله التطبيق. تفهم أين تنكسر الثقة في رمز، ومن ثمّ كيف تضمنها.
الهدف : مهاجمة إدارة الجلسة الحديثة.
المفاهيم : JWT، التواقيع · التثبيت
التحدّي : زوّر JWT مدير صالحًا.
المتوقّع : يُعتمد إذا زُوّر JWT مدير صالح.
اختبار تطبيق يدوياً لا يتّسع؛ وأتمتته دون فرز تنتج ضجيجاً. بماسحات (Nikto، ZAP) تُصنِّع تقييم الويب مع فرز نتائجها، ثمّ تصحّح الثغرات بدوام وتتحقّق من الإصلاح بتحليل الشيفرة (SAST بـ Semgrep). تسلّم ثلاث ثغرات مؤكَّدة بحرجيّتها وتُثبت إصلاحاً مُتحقَّقاً منه. تربط طرفي الدورة: تجد بسرعة، وتصلح بشكل نهائي.
الهدف : تصنيع التقييم وتوثيقه.
المفاهيم : الماسحات، حدودها · الإيجابيات الكاذبة
التحدّي : سلّم تقرير الثغرات الثلاث المؤكَّدة (CVSS).
المتوقّع : يُعتمد إذا أُكِّدت ثلاث ثغرات وقُدِّرت (CVSS) في التقرير.
الهدف : تصحيح ثغرات الوِب على نحو دائم.
المفاهيم : استعلامات مُعامِلة · تحقّق/ترميز
التحدّي : أثبت التصحيح المُتثبَّت بـ SAST.
المتوقّع : يُعتمد إذا صُحّح SQLi وXSS وتُثبِّت التصحيح بـ SAST.
إلى جانب الثغرات التقليدية، على خبير الويب ربط الثغرات وإتقان أمن واجهات البرمجة الحديثة. تقودك هذه الوحدة المتطلِّبة إلى ذلك: تنفيذ التعليمات عن بُعد، الحقن المتقدّم، GraphQL/REST، SSRF، منطق الأعمال.
تنفيذ الشيفرة عن بُعد هو غاية مهاجم الويب: يحوّل ثغرةً إلى تحكّم بالآلة. تحصل عليه بطريقين — رفع غير آمن مسلسَل بنقاط ضعف أخرى، ثمّ فكّ تسلسل مستغَلّ عبر سلاسل كائنات (gadgets) مبنيّة بـ ysoserial. التحدّي: انتزاع تنفيذ شيفرة مُثبَت (مخرَج أمر نظام). تربط ثغرات منفردة في سلسلة تنتهي بالتحكّم، ما يكشف لماذا يهمّ الدفاع المتعمّق.
الهدف : الحصول على تنفيذ كود عن بُعد.
المفاهيم : رفع غير آمن · التسلسل
التحدّي : احصل على RCE (مخرَج `id`).
المتوقّع : يُعتمد إذا حُصل على RCE (مخرَج `id`).
الهدف : استغلال فكّ تسلسل لأجل RCE.
المفاهيم : gadgets · سلاسل التنفيذ
التحدّي : احصل على RCE عبر فكّ التسلسل.
المتوقّع : يُعتمد إذا حُصل على RCE عبر فكّ التسلسل.
حين تفشل الأدوات الآلية ويحرس جدار حماية تطبيقي، يصبح حقن SQL عمل حِرَفيّ. تستغلّ الحالات الصعبة يدوياً — حقن أعمى، باستجابة منطقية أو بقياس الزمن — ثمّ تتجاوز جدار حماية تطبيقي (WAF) بترميزات وتحويرات للحمولة. تستخرج بياناً بحقن زمني وتجد التحوير الذي يتجاوز WAF. تبلغ المستوى الذي يُجرى فيه الهجوم يدوياً، حيث ظنّت الحماية أنّها انتصرت.
الهدف : الاستغلال حيث تفشل الأدوات.
المفاهيم : blind منطقي/زمني · تجاوز WAF
التحدّي : استخرج العَلَم عبر blind زمني.
المتوقّع : يُعتمد إذا استُخرج العَلَم عبر حقن أعمى زمني.
الهدف : الإفلات من حمايات التطبيق.
المفاهيم : الترميزات · طفرات الحمولة
التحدّي : أعطِ الطفرة التي تتجاوز WAF.
المتوقّع : يُعتمد إذا حُدّدت الطفرة المتجاوِزة لـ WAF بشكل صحيح.
تكشف التطبيقات الحديثة جلّ منطقها عبر واجهات برمجة (API) — أبواب كثيرة، غالباً أقلّ مراقبةً من واجهة الويب. تختبر أمن واجهات GraphQL (استبطان المخطّط، عيوب تفويض على مستوى الكائن أو الدالّة — BOLA/BFLA) وREST، على ضوء OWASP API Top 10. تصل إلى مورد مستخدم آخر وإلى دالّة إدارة دون حقّ. تختبر السطح الذي يركّز اليوم أكثر عيوب التفويض.
الهدف : اختبار واجهة GraphQL.
المفاهيم : الاستبطان · BOLA/BFLA
التحدّي : ابلغ مورد مستخدم آخر (المُعرِّف).
المتوقّع : يُعتمد إذا أتاح BOLA في GraphQL الوصول لمورد مستخدم آخر.
الهدف : مهاجمة واجهة REST حديثة.
المفاهيم : OWASP API Top 10 · تحديد المعدّل
التحدّي : أعطِ دالّة المدير المتاحة دون حقّ.
المتوقّع : يُعتمد إذا حُدّدت دالّة المدير المتاحة دون حقّ بشكل صحيح.
بعض الميزات تجلب مورداً نيابةً عنك — ويمكن تحويلها للوصول إلى ما هو ممنوع عليك. تستغلّ تزوير الطلب من جهة الخادم (SSRF) — دفع الخادم لاستعلام أهداف داخلية — حتّى تبلغ خدمةً حسّاسة. التحدّي: قراءة البيانات الوصفية لبيئة سحابية عبر SSRF، طريق كلاسيكي نحو السيطرة على بنية تحتية. تفهم كيف تفتح ميزة بريئة جسراً نحو الشبكة الداخلية.
الهدف : استغلال SSRF لبلوغ الداخل.
المفاهيم : SSRF · بيانات السحابة الوصفية
التحدّي : اقرأ البيانات الوصفية السحابية عبر SSRF.
المتوقّع : يُعتمد إذا أتاحت SSRF قراءة البيانات الوصفية السحابية.
ليست كلّ الثغرات تقنية: بعضها يكمن في منطق التطبيق نفسه، أو في الثقة التي يمنحها للمتصفّح. تستغلّ جانب العميل (JavaScript هجومي، CSRF، سرقة جلسة بـ BeEF) ثمّ تحوّل منطق الأعمال — عيوب تفكير، حالات سباق — لكسب غير مشروع. تسرّب كعكة ضحية محاكاة وتجد إساءة المنطق التي تمنح ميزةً غير متوقَّعة. تستكشف ثغرات لا تراها الماسحات، لأنّها تتعلّق بالمعنى لا بالقواعد النحوية.
الهدف : استغلال الثقة في جهة العميل.
المفاهيم : XSS متقدّم، CSRF · سرقة الجلسة
التحدّي : سرّب كوكي الضحية المحاكاة.
المتوقّع : يُعتمد إذا سُرِّب كوكي الضحية المحاكاة.
الهدف : حرف منطق التطبيق.
المفاهيم : ثغرات المنطق · حالات السباق
التحدّي : أعطِ إساءة المنطق المُتيحة لمكسب غير مستحقّ.
المتوقّع : يُعتمد إذا بُرهنت إساءة المنطق المُتيحة لمكسب غير مستحقّ.
التدقيق الخبير ليس قائمة ثغرات: يروي كيف يقود تسلسلها إلى أثر كبير. تستعيد تدقيق ويب متقدّماً ببناء السلسلة الحرجة — كيف تنتهي نقاط ضعف مجتمعة بالاختراق — وصوغ معالجات على قدرها. التحدّي: تسليم تقرير يحمل سلسلة الأثر الكاملة. تحوّل خبرة تقنية إلى برهان مفهوم لمن يقرّر الإصلاحات.
الهدف : نقل تدقيق وِب خبير.
المفاهيم : تسلسل الأثر · المعالجة
التحدّي : سلّم التقرير بالسلسلة الحرجة الكاملة.
المتوقّع : يُعتمد إذا عرض التقرير السلسلة الحرجة الكاملة والمرتَّبة.
Active Directory هو قلب معظم المؤسسات — ونقطة ضعفها. تعلّمك هذه الوحدة الخبيرة فهم بنية ويندوز الداخلية واستغلال نقاط ضعف نطاق AD.
مهاجمة نطاق Active Directory تبدأ بمعرفته أفضل من مديره. مع PowerView وImpacket تعدّد نظاماً ونطاق Windows — العمليات، الرموز، التحكّم بحساب المستخدم (UAC)، خدمات SMB/LDAP/Kerberos. التحدّي: رصد حساب خدمة يكشف اسم خدمة رئيس (SPN) قابلاً للاستغلال. ترسم الخريطة الداخلية التي تجعل كلّ الهجمات التالية ممكنة — تلك التي ينبغي أن يعرفها المدافع أوّلاً.
الهدف : تعداد نظام ونطاق Windows.
المفاهيم : عمليات، رموز، UAC · SMB/LDAP/Kerberos
التحدّي : أعطِ حساب الخدمة بـ SPN قابل للاستغلال.
المتوقّع : يُعتمد إذا حُدّد حساب الخدمة بـ SPN قابل للاستغلال بشكل صحيح.
يحمل Kerberos، بروتوكول مصادقة Active Directory، نقاط ضعف في طريقة إعداده غالباً. مع Rubeus تستغلّ اثنتين منها: kerberoasting — طلب تذاكر خدمة لكسر كلمات مرور الحسابات المرتبطة دون اتصال — وAS-REP roasting الذي يستهدف الحسابات المعطَّل لديها التحقّق المسبق. تستعيد كلمة مرور مكسورة بـ kerberoasting وحساب AS-REP مكسوراً. تفهم لماذا تبقى هذه الهجمات بهذه الفعالية — وما يحيّدها.
الهدف : اختراق حسابات خدمة Kerberos.
المفاهيم : SPN، التذاكر · الكسر
التحدّي : أعطِ كلمة المرور المُكتسَبة بـ kerberoasting.
المتوقّع : يُعتمد إذا كانت كلمة المرور المُكتسَبة بـ kerberoasting صحيحة.
الهدف : استغلال الحسابات بلا مصادقة مسبقة.
المفاهيم : AS-REP · المصادقة المسبقة مُعطَّلة
التحدّي : أعطِ حساب AS-REP المكسور.
المتوقّع : يُعتمد إذا كُسر حساب AS-REP وحُدّد بشكل صحيح.
على Windows، لا تحتاج دائماً إلى كلمة المرور الصريحة: بصمتها تكفي أحياناً للتنقّل. مع CrackMapExec تتحرّك جانبياً بإعادة استخدام بصمة مصادقة (pass-the-hash)، عبر WMI وWinRM، ثمّ تنفّذ شيفرة في الذاكرة متجاوزاً دفاعات Windows المدمجة (AMSI، تدوين ETW). تُثبت التنفيذ على مضيف ثانٍ وتنجح في تقنية تملّص. تمسّ الحركات التي تحوّل اختراق نقطة نهاية واحدة إلى اختراق أسطول بأكمله.
الهدف : الحركة الجانبية دون كلمة مرور.
المفاهيم : PtH · WMI/WinRM
التحدّي : أثبت التنفيذ على مضيف ثانٍ.
المتوقّع : يُعتمد إذا أُثبت التنفيذ على مضيف ثانٍ عبر pass-the-hash.
الهدف : تنفيذ كود في الذاكرة بتكتّم.
المفاهيم : PS هجومي · AMSI/ETW
التحدّي : أعطِ تقنية التهرّب الناجحة.
المتوقّع : يُعتمد إذا نُفّذت الحمولة في الذاكرة وسُمّيت تقنية التهرّب الناجحة.
في Active Directory، الحقوق الممنوحة بسعة مفرطة والتفويضات سيّئة الإعداد تفتح مسارات هجوم خفيّة على العين. تستغلّ تفويضات Kerberos (المقيَّدة، غير المقيَّدة، المبنيّة على الموارد — RBCD) وإساءات حقوق الوصول (ACL) — GenericAll أو WriteDACL في غير موضعه. تحدّد نوع التفويض المستغَلّ وACL الذي يقود إلى هدفك. تكشف صنف الثغرات التي تجعلها أدوات كـ BloodHound قابلة للرسم، والتي يستهين بها المديرون.
الهدف : إساءة استخدام التفويضات سيّئة الإعداد.
المفاهيم : تفويض مقيّد/غير مقيّد · RBCD
التحدّي : أعطِ نوع التفويض المُستغَلّ.
المتوقّع : يُعتمد إذا استُغلّ التفويض وحُدّد نوعه بشكل صحيح.
الهدف : استغلال حقوق مفرطة.
المفاهيم : ACE، GenericAll/WriteDACL · المسارات
التحدّي : أعطِ ACL المُستغَلّة والهدف المُبلَّغ.
المتوقّع : يُعتمد إذا استُغلّت ACL وكانت ACL والهدف المُبلَّغ صحيحين.
متى دخل، يسعى المهاجم إلى البقاء — بتكتّم — وإلى تحويل مصادقة مسروقة إلى وصول. تثبّت استمرارية Windows متخفّية (مهامّ، خدمات، مفاتيح سجلّ) ثمّ تشنّ هجوم إكراه وترحيل NTLM: إجبار آلة على المصادقة، ثمّ إعادة تشغيل تلك المصادقة في مكان آخر (بـ ntlmrelayx وCoercer). تعيّن آلية الاستمرارية الأكثر تخفّياً وتُثبت ترحيلاً ناجحاً وأثره. تفهم تقنيتين ما تزال فِرَق الدفاع تكافح لكشفهما.
الهدف : الحفاظ على وصول متكتّم.
المفاهيم : مهامّ/خدمات · مفاتيح السجلّ
التحدّي : أعطِ آلية الاستمرارية الأكثر تكتّمًا.
المتوقّع : يُعتمد إذا أُنشئت استمراريتان وسُمّيت الأكثر تكتّمًا بشكل صحيح.
الهدف : إجبار مصادقة وترحيلها.
المفاهيم : الإكراه · ترحيل NTLM
التحدّي : أثبت الترحيل الناجح وأثره.
المتوقّع : يُعتمد إذا نجح ترحيل NTLM وأُثبت أثره.
كلّ العمل الهجومي على Active Directory لا معنى له، هنا، إلّا للدفاع عنه بشكل أفضل. تربط هذه اللبنة الهجوم بالمضادّ: نموذج الطبقات (tiering) الذي يعزل الصلاحيات، الإدارة الآلية لكلمات مرور المديرين المحلّيين (LAPS)، حسابات الخدمة المُدارة (gMSA)، والكشوف المرافقة. التحدّي: تسمية الإجراءات الثلاثة التي تكسر سلسلة الهجوم المبنيّة في اللبنات السابقة. تُغلق الوحدة بالهجوم للدفاع، وهو سبب وجود الفريق الأحمر.
الهدف : ربط الهجوم بالدفاع.
المفاهيم : التدرّج، LAPS، gMSA · الكشوف
التحدّي : أعطِ التدابير الثلاثة التي تكسر السلسلة.
المتوقّع : يُعتمد إذا حُدّدت التدابير الثلاثة الكاسرة لسلسلة الهجوم بشكل صحيح.
أنت تعرف اختبار نظام؛ والآن فكّر كفريق هجومي. تضعك هذه الوحدة في موضع عضو فريق أحمر أمام نطاق Active Directory: موطئ قدم، رسم خرائط، سرقة بيانات الاعتماد، التحرّك الجانبي، وصولاً إلى السيطرة على النطاق — دون أن تُكتشف.
عملية فريق أحمر تشبه هجوماً حقيقياً: تبدأ بعيداً عن الهدف وتتقدّم وهي تبقى خفيّة. على بيئة تدريب تمثيلية (GOAD)، تستطلع مؤسسة ثمّ تكسب وتثبّت موطئ قدم أوّل — مديراً قناة قيادة (C2) والتكتّم العملياتي (OPSEC). تعيّن خدمة الوصول الأولي المستهدفة وموطئ القدم المحصَّل. تتبنّى موقف خصم صبور منهجي، الموقف الذي على الدفاعات تعلّم كشفه.
الهدف : تخريط الهدف قبل الاختراق.
المفاهيم : استطلاع خارجي/داخلي · سطح AD
التحدّي : أعطِ خدمة الوصول الأوّلي المستهدفة.
المتوقّع : يُعتمد إذا استُطلع سطح AD وكانت خدمة الوصول الأوّلي المستهدفة وجيهة.
الهدف : الحصول على وصول أوّل وتثبيته.
المفاهيم : متّجهات الوصول · C2، OPSEC
التحدّي : أعطِ موطئ القدم (المضيف+المستخدم).
المتوقّع : يُعتمد إذا نُشر عميل C2 وقُدّم موطئ القدم (المضيف+المستخدم).
في نطاق كبير، المسار من حساب بسيط إلى التحكّم الكامل موجود دائماً تقريباً — يكفي أن تراه. مع BloodHound وSharpHound ترسم مسارات الهجوم هذه، ممثّلاً كائنات Active Directory وحقوقه وعلاقاته على شكل رسم بياني. التحدّي: إيجاد أقصر مسار إلى مدير النطاق والحرف (العلاقة) الحاسم. تتبنّى الأداة التي حوّلت هجوم Active Directory ودفاعه إلى تحليل رسوم بيانية.
الهدف : تخريط المسارات نحو Domain Admin.
المفاهيم : كائنات AD، ACL · أقصر المسارات
التحدّي : أعطِ أقصر مسار نحو DA والحافة المفتاحية.
المتوقّع : يُعتمد إذا حُدّد أقصر مسار نحو DA والحافة المفتاحية بشكل صحيح.
على آلة مخترَقة، تكون بيانات اعتماد المستخدمين المتّصلين قابلةً للاسترجاع غالباً — مباشرةً من الذاكرة. مع Mimikatz تستخرج هذه الأسرار (بصمات، تذاكر Kerberos) من عملية LSASS، متعاملاً مع حمايات الذاكرة الحديثة، ثمّ تخترق حسابات الخدمة بـ kerberoasting. تستعيد بصمة NTLM لحساب مميَّز وكلمة مرور حساب خدمة. تفهم لماذا أصبحت حماية بيانات الاعتماد في الذاكرة رهاناً محورياً لدفاع Windows.
الهدف : استخراج أسرار من مضيف مخترَق.
المفاهيم : LSASS، التذاكر · حماية الذاكرة
التحدّي : أعطِ تجزئة NTLM لحساب مُمتاز مُستخرَج.
المتوقّع : يُعتمد إذا استُخرجت أسرار الذاكرة وكانت تجزئة NTLM لحساب مُمتاز صحيحة.
الهدف : اختراق حسابات الخدمة.
المفاهيم : SPN، تذاكر الخدمة · الكسر
التحدّي : أعطِ حساب الخدمة وكلمة المرور.
المتوقّع : يُعتمد إذا كُسر التذكرة وكان حساب الخدمة وكلمة مروره صحيحين.
بين أوّل نقطة نهاية مخترَقة والتحكّم بالنطاق، يقع تتابع من الارتدادات والتصعيدات. مع Impacket وRubeus تسلسل التحرّك الجانبي — بإعادة استخدام بصمة أو تذكرة (pass-the-hash، pass-the-ticket)، عبر WMI/WinRM — والتصعيد إلى مدير النطاق بإساءة الحقوق والتفويضات. تُثبت التنفيذ على مضيف ثانٍ ثمّ الحصول على حقوق مدير النطاق. تعيد بناء التقدّم الكامل الذي على فريق دفاع أن يقدر على تتبّعه لاحقاً.
الهدف : الحركة الجانبية عبر PtH/PtT.
المفاهيم : pass-the-hash/ticket · WMI/WinRM
التحدّي : أثبت التنفيذ على مضيف ثانٍ.
المتوقّع : يُعتمد إذا أُثبت التنفيذ على مضيف ثانٍ.
الهدف : بلوغ السيطرة على النطاق.
المفاهيم : إساءة ACL · التفويض
التحدّي : أثبت الحصول على حقوق Domain Admin.
المتوقّع : يُعتمد إذا حُصل على حقوق Domain Admin ووُثّقت السلسلة.
التحكّم الكامل بنطاق لا يُقاس بوصول، بل بالقدرة على استخراج كلّ أسراره والعودة متى شئت. تنفّذ هجوم DCSync — انتحال متحكّم نطاق لاستنساخ أسراره، ومنها بصمة حساب krbtgt — ثمّ تصوغ استمرارية متخفّية (Golden Ticket). تستعيد بصمة حساب krbtgt و، قبل كلّ شيء، تحدّد الكشف الموصى به لـ Golden Ticket. تبلغ قمّة هجوم AD، حيث فهم الهجوم هو السبيل الوحيد لبناء الكشف.
الهدف : استخراج أسرار النطاق.
المفاهيم : DCSync، krbtgt · النسخ المتماثل
التحدّي : أعطِ تجزئة حساب krbtgt.
المتوقّع : يُعتمد إذا نجح DCSync وكانت تجزئة حساب krbtgt صحيحة.
الهدف : الإبقاء على السيطرة (Golden Ticket).
المفاهيم : Golden/Silver Ticket · استمرارية خِفية
التحدّي : أعطِ الكشف المُوصى به عن Golden Ticket.
المتوقّع : يُعتمد إذا عُرض Golden Ticket وكان الكشف المُوصى به وجيهًا.
بلوغ شبكة مجزّأة من نقطة نهاية مخترَقة يعني حفر نفق — وفعل ذلك دون أن تُرصَد. مع Chisel ترتكز عبر الأجزاء (إعادة توجيه منافذ، وسيط SOCKS) ثمّ تصقل تكتّمك العملياتي أمام الدفاعات الحديثة (تجاوز AMSI وتدوين ETW، تكتّم قناة القيادة). تبلغ مضيفاً على شبكة مجزّأة وتنجح في تقنية تملّص. تربط الوصول بالخفاء، مطلبا عملية هجومية واقعية — ومن ثمّ اختبار يحضّر الدفاع فعلاً.
الهدف : بلوغ شبكات مجزّأة.
المفاهيم : محورة، إعادة توجيه منافذ · SOCKS
التحدّي : أعطِ مضيف الشبكة المجزّأة المُبلَّغ.
المتوقّع : يُعتمد إذا أُنشئت المحورة وكان مضيف الشبكة المجزّأة المُبلَّغ صحيحًا.
الهدف : الإفلات من الدفاعات الحديثة.
المفاهيم : تجاوز AMSI/ETW · تكتّم C2
التحدّي : أعطِ تقنية التهرّب التي نجحت.
المتوقّع : يُعتمد إذا تُجوِّزت الحماية وسُمّيت تقنية التهرّب الناجحة.
فهم كيفية تنفيذ البرنامج على أدنى مستوى هو مفتاح تطوير برمجيات الاستغلال. تؤهّلك هذه الوحدة الخبيرة لذلك: الذاكرة، لغة التجميع، الشِّل كود، تجاوز سعة المكدّس.
يبدأ تطوير الثغرات حيث يتوقّف التجريد: في ذاكرة المعالج ومسجّلاته. تجعلك هذه اللبنة تفهم تخطيط ذاكرة برنامج (المكدّس، الكومة، المسجّلات) والفيوضات التي تقع فيها، ثمّ تقرأ وتكتب تجميع x86. التحدّي: إيجاد الإزاحة (offset) الدقيقة التي تكتب فوق عنوان العودة، وتحديد استدعاء نظام. ترسي الأسس التي بدونها لا معنى لأيّ استغلال منخفض المستوى.
الهدف : إتقان الذاكرة للاستغلال.
المفاهيم : مكدّس/كومة، سجلّات · الطفحانات
التحدّي : أعطِ الإزاحة لطمس عنوان العودة.
المتوقّع : يُعتمد إذا أُتقن الطفحان وكانت إزاحة عنوان العودة صحيحة.
الهدف : قراءة وكتابة التجميعية.
المفاهيم : سجلّات، تعليمات · نداءات النظام
التحدّي : أعطِ رقم نداء النظام المُنفَّذ.
المتوقّع : يُعتمد إذا قُرئت/كُتبت التجميعية وكان رقم نداء النظام صحيحًا.
الاستيلاء على برنامج بلا حمولة للتنفيذ بلا جدوى: هذا دور الـ shellcode، شظيّة شيفرة آلة مكتفية بذاتها. مع NASM تكتب shellcode عاملاً بالتجميع، ملتزماً قيوداً صارمة — لا سيّما غياب البايتات الصفرية التي تقطع نسخه. التحدّي: تقديم shellcode بلا بايت صفري وإعطاء حجمه. تتعلّم صناعة، بايتاً بايتاً، الحمولة التي ستوصلها ثغرتك.
الهدف : كتابة shellcode دون بايت صفري.
المفاهيم : shellcode بـ execve · قيود انعدام الصفر
التحدّي : قدّم shellcode بلا بايت صفري وحجمه.
المتوقّع : يُعتمد إذا نُفّذ shellcode لـ /bin/sh بلا بايت صفري وقُدّم حجمه.
اثنتان من الثغرات المؤسِّسة لاستغلال البرمجيات تُعالَجان هنا من طرف إلى طرف. تجمّع ثغرة فيض مكدّس كاملة — الاستيلاء على مؤشّر التعليمات، منزلق NOP — ثمّ تستغلّ ثغرة سلسلة تنسيق، التي تتيح قراءة وكتابة عشوائيّتين في الذاكرة. تحصل على صدفة على ثنائي ضعيف وتكتب فوق عنوان مختار عبر سلسلة التنسيق. تحوّل نقطة ضعف في الذاكرة إلى تحكّم بالتنفيذ، جوهر المهنة.
الهدف : تجميع استغلال كامل.
المفاهيم : التحكّم بـ EIP · مزلق NOP
التحدّي : احصل على صدفة على الثنائي الهشّ.
المتوقّع : يُعتمد إذا حُصل على صدفة على الثنائي الهشّ.
الهدف : استغلال ثغرة سلسلة التنسيق.
المفاهيم : سلسلة التنسيق · قراءة/كتابة عشوائية
التحدّي : أعطِ العنوان المطموس عبر سلسلة التنسيق.
المتوقّع : يُعتمد إذا كان العنوان المطموس عبر سلسلة التنسيق صحيحًا.
إيجاد ثغرة في ثنائي لا تملك شيفرته المصدرية يتطلّب مقاربتين متكاملتين: تحليله، وقصفه بالمدخلات. تعكس هندسة ثنائي مجهول أوّلاً لفهم منطقه، ثمّ تبني مشوّشاً بسيطاً (fuzzer) — أداة تولّد مدخلات عشوائية حتّى تُحدث انهياراً كاشفاً. تحدّد دالّة تحقّق وتجد المدخل الذي يُسقط البرنامج. تربط الفهم بالاكتشاف، طريقي الوصول إلى ثغرة قابلة للاستغلال.
الهدف : تحليل ثنائي مجهول.
المفاهيم : تدفّق التحكّم · تحديد المنطق
التحدّي : أعطِ عنوان دالّة التحقّق.
المتوقّع : يُعتمد إذا كان عنوان دالّة التحقّق صحيحًا.
الهدف : إيجاد الأعطال تلقائيًا.
المفاهيم : fuzzing · كشف العطل
التحدّي : أعطِ المُدخَل المُحدِث للعطل.
المتوقّع : يُعتمد إذا وجد fuzzer المُدخَل المُحدِث للعطل.
تطوير ثغرة يدوياً مفيد؛ وجعلها موثوقة وإعادة تشغيلها يتطلّب أدوات. مع pwntools تجهّز إنشاء الثغرات، الذي يؤتمت التفاعل مع الثنائي الهدف، ثمّ تحدّد الحمايات الحديثة التي سيتعيّن على ثغرة تجاوزها: كناري المكدّس (stack canary)، الذاكرة غير القابلة للتنفيذ (NX)، عشوائية العناوين (ASLR/PIE). تسلّم ثغرة pwntools عاملة وتُحصي التخفيفات الفاعلة. تربط صناعة الثغرة بمعرفة الدفاعات المنتصبة في وجهها.
الهدف : تجهيز إنشاء الاستغلالات.
المفاهيم : pwntools · الأتمتة
التحدّي : قدّم استغلال pwntools العامل.
المتوقّع : يُعتمد إذا كان استغلال pwntools موثوقًا وعاملًا.
الهدف : فهم الحمايات الواجب تجاوزها.
المفاهيم : stack canary، NX · ASLR/PIE
التحدّي : اسرد التخفيفات النشطة للثنائي.
المتوقّع : يُعتمد إذا سُردت التخفيفات النشطة للثنائي بشكل صحيح.
تجعل الحمايات الحديثة — DEP وASLR والكناري — الاستغلال أصعب لكن ليس مستحيلاً. تعلّمك هذه الوحدة الخبيرة تجاوزها: إفساد الكومة، ROP، تسريب المعلومات، التسليح.
بعد المكدّس، الكومة: منطقة الذاكرة المخصَّصة ديناميكياً، التي يفتح إفسادها استغلالات أدقّ. تستغلّ إفساد الكومة بفهم عمل المخصِّص (الكتل، أو chunks) والأخطاء الكلاسيكية — الاستخدام بعد التحرير (use-after-free)، التحرير المزدوج. التحدّي: تنفيذ دالّة مخفيّة بإفساد الكومة. ترتقي درجة صعوبة، حيث يصبح الاستغلال مباراة شطرنج ضدّ إدارة الذاكرة.
الهدف : استغلال فساد الكومة.
المفاهيم : المُخصِّص، الكتل · UAF/تحرير مزدوج
التحدّي : نفّذ الدالّة المخفيّة عبر فساد الكومة.
المتوقّع : يُعتمد إذا نفّذ فساد الكومة الدالّة المخفيّة.
حين لا تعود ذاكرة البيانات قابلة للتنفيذ (حماية DEP/NX)، لم تعد تحقن شيفرة: تعيد استخدام الموجودة. تبني سلسلة برمجة موجَّهة بالعودة (ROP) — تجميع لشظايا شيفرة موجودة (gadgets) تحقّق، متسلسلةً، الفعل المنشود، كجعل منطقة قابلة للتنفيذ عبر mprotect. التحدّي: تقديم سلسلة ROP التي تفتح صدفة. تتعلّم التقنية التي أعادت الحياة للاستغلال أمام حماية كبرى.
الهدف : بناء سلسلة ROP.
المفاهيم : DEP/NX، gadgets · mprotect
التحدّي : قدّم سلسلة ROP الفاتحة لصدفة.
المتوقّع : يُعتمد إذا فتحت سلسلة ROP صدفة.
عشوائية العناوين (ASLR) تمنع معرفة موضع الشيفرة المراد إعادة استخدامها — إلّا إذا كشفه تسرّب معلومة. تهزم ASLR باستغلال تسرّب لاسترجاع عنوان مكتبة C (تقنية العودة إلى libc)، ثمّ تحوّل جدول الدوالّ المستوردة (GOT) عبر سلسلة تنسيق. تحسب أساس libc للحصول على صدفة وتعيد توجيه GOT نحو شيفرتك. تجمع عدّة بدائيات لإبطال حماية ظُنّت كافية.
الهدف : التغلّب على ASLR بتسريب.
المفاهيم : ASLR/PIE · ret2libc
التحدّي : أعطِ قاعدة libc واحصل على صدفة.
المتوقّع : يُعتمد إذا وُجدت قاعدة libc وحُصل على صدفة (ret2libc).
الهدف : الحصول على قراءة/كتابة عشوائية.
المفاهيم : سلسلة التنسيق · طمس GOT
التحدّي : احرف GOT ونفّذ كودًا.
المتوقّع : يُعتمد إذا حُرفت GOT ونُفّذ كود.
بعض الثغرات لا توجد إلّا للحظة: بين تحقّق برنامج من شرط ولحظة فعله. تستغلّ حالة سباق كهذه (TOCTOU — تحقّق ثمّ استخدام) على ثنائي مميَّز، ثمّ تقارب استغلال نواة لينكس وبدائيّاته. التحدّي: الحصول على حقوق root عبر السباق، ووصف البدائية النواتية المحصَّلة. تمسّ حدّين متقدّمين للاستغلال، حيث يصبح الزمن وقلب النظام ميدان اللعب.
الهدف : استغلال حالة سباق.
المفاهيم : TOCTOU · SUID
التحدّي : احصل على root عبر سباق SUID.
المتوقّع : يُعتمد إذا حُصل على root عبر استغلال حالة سباق SUID.
الهدف : فهم استغلال نواة Linux.
المفاهيم : فضاء المستخدم/النواة · بدائيات النواة
التحدّي : أعطِ بدائية النواة المُحصَّلة.
المتوقّع : يُعتمد إذا وُصفت بدائية النواة المُحصَّلة بشكل صحيح.
كدّس Windows، عبر الإصدارات، حمايات تجعل الاستغلال أصعب بكثير ممّا كان. مع WinDbg تدرس وتتجاوز هذه التخفيفات الحديثة — سلامة تدفّق التحكّم (CFG)، المكدّس المعزَّز عتادياً (CET)، إدارة الاستثناءات (SEH). التحدّي: تحديد التخفيف المُتجاوَز في السيناريو. تقيس الحال الفعلية لأحدث الممارسات من جهة Windows، حيث يستدعي كلّ حماية مضادّاً أكثر تطوّراً.
الهدف : تجاوز تخفيفات Windows.
المفاهيم : CFG، CET · SEH
التحدّي : أعطِ التخفيف المُتجاوَز.
المتوقّع : يُعتمد إذا سُمّي تخفيف Windows المُتجاوَز بشكل صحيح.
ثغرة تعمل مرّة من عشر ليست سلاحاً، بل طُرفة مختبر. تجعل ثغرةً موثوقةً لاستخدام حقيقي — معدّل نجاح مستقرّ، تنظيف الآثار — ثمّ تجمّع سلسلة كاملة، من الخطأ الأوّل إلى حقوق root. تقيس معدّل النجاح المحصَّل وتبرهن اختراقاً من طرف إلى طرف. تبلغ ذروة تطوير الثغرات: برهان موثوق وقابل للتكرار يثبت، بلا لبس، واقعية خطر.
الهدف : جعل استغلال موثوقًا للاستخدام الفعلي.
المفاهيم : موثوقية متعدّدة المحاولات · التنظيف
التحدّي : أعطِ معدّل النجاح المقيس.
المتوقّع : يُعتمد إذا قِيس معدّل نجاح الاستغلال الموثوق.
الهدف : تجميع سلسلة من طرف إلى طرف.
المفاهيم : التسلسل · من العطل إلى root
التحدّي : احصل على root عبر السلسلة الكاملة.
المتوقّع : يُعتمد إذا حُصل على root عبر سلسلة الاستغلال الكاملة.
سدّ الفجوة بين الهجوم والدفاع هو هدف الفريق البنفسجي. تعلّمك هذه الوحدة الخبيرة محاكاة الخصم بشكل مضبوط، وكتابة عمليات الكشف الناقصة، وقياس تغطيتك باستمرار.
لمعرفة إن كان دفاع يعمل، لا شيء يضاهي مواجهته بتقنيات هجوم حقيقية — تحت السيطرة. تجعلك هذه اللبنة تحاكي خصماً: إعادة تشغيل تقنيات ATT&CK ذرّية بـ Atomic Red Team، ثمّ تشغيل سلسلة هجوم مُؤتمَتة ومحتواة بـ Caldera. تحدّد تقنيةً نُفّذت ولم تُكتشَف وتحصل على التقرير الذي يحدّد مرحلة الكشف. تقيس الدفاع بالمحنة لا بالافتراض — المبدأ المؤسِّس للفريق البنفسجي.
الهدف : إعادة تشغيل تقنيات ATT&CK متحكَّمة.
المفاهيم : محاكاة مقابل تمثيل · اختبارات ذرّية
التحدّي : أعطِ التقنية المُنفَّذة غير المكشوفة.
المتوقّع : يُعتمد إذا خُرّطت التغطية وسُمّيت التقنية غير المكشوفة بشكل صحيح.
الهدف : تشغيل سلسلة هجوم مُؤتمتة.
المفاهيم : Abilities، ملفّات خصم · الاحتواء
التحدّي : قدّم تقرير Caldera وخطوة الكشف.
المتوقّع : يُعتمد إذا شُغّلت عملية Caldera وقُدّم التقرير وخطوة الكشف.
اكتشاف فجوة كشف بلا جدوى إن لم تسدّها وتحتفظ بأثرها. تجعلك هذه اللبنة تكتب كشوفاً للنقاط العمياء التي تكشفها المحاكاة — مُدارة ككود، مختبَرة في التكامل المستمرّ — ثمّ تتابع تقدّم حملة بنفسجية بـ VECTR. تقيس مكسب التغطية بعد إضافة كشف ودرجة الحملة النهائية. تُغلق الدورة الفاضلة للبنفسجي: هاجم، قِس النقص، سدّه، تحقّق.
الهدف : كتابة كشوف للفجوات.
المفاهيم : دورة purple · تكامل مستمرّ للكشف
التحدّي : أعطِ مكسب التغطية بعد الإضافة.
المتوقّع : يُعتمد إذا كُتب كشف لكلّ فجوة وقِيس مكسب التغطية.
الهدف : متابعة حملات purple.
المفاهيم : تقدير الكشف · الحملات
التحدّي : أعطِ نقطة الكشف النهائية للحملة.
المتوقّع : يُعتمد إذا تُوبعت الحملة وكانت نقطة الكشف النهائية صحيحة.
محاكاة تقنية منفردة مفيدة؛ وإعادة إنتاج أسلوب عمل فاعل حقيقي بأكمله أكثر فائدة. تجعلك هذه اللبنة تبني خطّة محاكاة وفيّة لفاعل تهديد موثَّق، ثمّ تتحقّق من فعالية ضوابطك الأمنية الفعلية بمحاكاة مستمرّة (BAS — تحقّق آليّ من الدفاع). تعطي التقنيات الثلاث المميِّزة للفاعل المحاكى وتحدّد الضابط الذي يثبت عدم فعاليّته. تختبر دفاعك أمام خصم موثوق، لا أمام تهديد مجرَّد.
الهدف : إعادة إنتاج أسلوب عمل فاعل.
المفاهيم : مُستنِر بالتهديد · خطّة محاكاة
التحدّي : أعطِ TTP المميِّزة الثلاث للفاعل المُحاكى.
المتوقّع : يُعتمد إذا حوكِي الفاعل وحُدّدت TTP المميِّزة الثلاث بشكل صحيح.
الهدف : اختبار الفعالية الحقيقية للضوابط.
المفاهيم : BAS · ضوابط وقائية/كشفية
التحدّي : أعطِ الضابط غير الفعّال المحدَّد.
المتوقّع : يُعتمد إذا قِيست الفعالية وحُدّد الضابط غير الفعّال بشكل صحيح.
يبلغ الفريق البنفسجي ذروته حين يعمل الفريقان الهجومي والدفاعي معاً، في الوقت الحقيقي، بدل كلٍّ في جهته. تجعلك هذه اللبنة تقود تمريناً بنفسجياً مشتركاً — الهجوم والكشف يتجاوبان مباشرةً — ثمّ تستخلص منه مراجعةً بعد الفعل (AAR) قابلة للتنفيذ. تحدّد النقطة العمياء الأكثر حرجاً المرصودة وتنتج AAR بثلاثة تحسينات ومسؤوليها. تحوّل مواجهةً إلى تقدّم مشترك، وهو كلّ قيمة المقاربة.
الهدف : إدارة تمرين أحمر/أزرق آني.
المفاهيم : تنسيق آني · الحقن
التحدّي : أعطِ النقطة العمياء الأكثر حرجًا المرصودة.
المتوقّع : يُعتمد إذا شُغّل التمرين المشترك وحُدّدت النقطة العمياء الأكثر حرجًا.
الهدف : إنتاج AAR قابلة للتنفيذ.
المفاهيم : AAR · خطّة تحسين
التحدّي : قدّم AAR بثلاثة تحسينات ومالكيها.
المتوقّع : يُعتمد إذا قدّمت AAR ثلاثة تحسينات مع مالكيها.
إنتاج الكشوف يدوياً لا يلاحق إيقاع التهديدات: عليك التصنيع. تجعلك هذه اللبنة تبني خطّ هندسة كشف — حيث تُختبَر كلّ قاعدة آلياً عند كلّ تغيير، كشيفرة برمجية. التحدّي: تسليم الخطّ الذي يتحقّق من القواعد عند كلّ commit. تطبّق على الكشف ممارسات الهندسة التي تضمن جودته وديمومته، أبعد من الحالة المنفردة.
الهدف : تصنيع إنتاج الكشوف.
المفاهيم : خطّ الكشف · اختبارات مُؤتمتة
التحدّي : قدّم الخطّ المُتثبِّت من القواعد في كلّ إيداع.
المتوقّع : يُعتمد إذا تثبّت الخطّ من القواعد في كلّ إيداع.
تُشغّل الأنظمة الصناعية الطاقة والمياه والمصانع — وتخضع لقواعد تختلف كثيراً عن حوسبة المكاتب. تساعدك هذه الوحدة على فهم عالم الأنظمة التشغيلية ورهاناته الأمنية.
في تقنية المعلومات الإدارية، تحمي السرية أوّلاً؛ أمّا في الصناعة، فسلامة الأشخاص وتوافر العملية هما الأوّلان — قلبٌ يغيّر كلّ شيء. تجعلك هذه اللبنة تضع مكوّنات نظام صناعي (متحكّم منطقي قابل للبرمجة — PLC، إشراف SCADA، واجهة المشغّل — HMI) ضمن نموذج Purdue، الذي يرتّب مستويات شبكة صناعية. التحدّي: وضع متحكّم في مستوى Purdue الصحيح. تتبنّى شبكة القراءة التي تهيكل كلّ أمن الأنظمة الصناعية.
الهدف : تموضع مكوّنات ICS وأولوياتها.
المفاهيم : أولويات السلامة/التوفّر · DCS/SCADA، HMI/RTU/PLC
التحدّي : أعطِ مستوى Purdue لـ PLC.
المتوقّع : يُعتمد إذا خُرّطت السلسلة وفق Purdue وكان مستوى PLC صحيحًا.
صُمِّمت البروتوكولات التي تقود المصانع وشبكات الكهرباء للموثوقية، في زمن لم يكن الأمن فيه مسألة: كثير منها لا يصادق على شيء. تجعلك هذه اللبنة تحلّل Modbus — وتلاحظ أنّ أمراً يُقبَل فيه دون أيّ تحقّق من الهوية — ثمّ بروتوكولات الطاقة (DNP3، IEC-104). تقرأ قيمة سجلّ مستوى خزّان وتحدّد أمر تحكّم مرصوداً. تفهم لماذا يتقرّر الأمن الصناعي أوّلاً على بروتوكولات هشّة في جوهرها.
الهدف : تحليل Modbus وانعدام أمنه.
المفاهيم : Modbus، الدوال · لا مصادقة
التحدّي : أعطِ قيمة سجلّ مستوى الخزّان.
المتوقّع : يُعتمد إذا حُلّل Modbus وكانت قيمة سجلّ مستوى الخزّان صحيحة.
الهدف : فهم بروتوكولات الطاقة.
المفاهيم : DNP3، IEC-104 · قياس عن بُعد/أوامر
التحدّي : أعطِ أمر التحكّم المرصود.
المتوقّع : يُعتمد إذا حُدّد أمر تحكّم DNP3 المرصود بشكل صحيح.
في بيئة صناعية، لا يمكنك تصحيح كلّ شيء ولا إيقاف كلّ شيء: الدفاع الأوّل هو التقسيم. تجعلك هذه اللبنة تجزّئ بيئة OT وفق مناطق ومجاري معيار IEC 62443 — معيار أمن الأنظمة الصناعية — ثمّ تنشر فخّاً صناعياً (مصيدة عسل، بـ Conpot) لكشف مسبار. تعيّن المنطقة الواجب عزلها أوّلاً والعنوان الذي سبر الفخّ. تطبّق المضادّين اللذين يحميان عمليةً لا تستطيع تصحيحها ولا إيقافها بحرّية.
الهدف : تجزئة بيئة OT.
المفاهيم : مناطق/قنوات · تجزئة OT
التحدّي : أعطِ المنطقة الواجب عزلها أولًا.
المتوقّع : يُعتمد إذا عُرّفت المناطق والقنوات وبُرّرت المنطقة الواجب عزلها أولًا.
الهدف : الكشف عبر خدعة صناعية.
المفاهيم : مصيدة عسل OT · كشف المسبار
التحدّي : أعطِ IP الذي فحص مصيدة OT.
المتوقّع : يُعتمد إذا نُشرت المصيدة وسُجّل IP الذي فحصها بشكل صحيح.
في الأمن الصناعي، لا يُقاس الخطر بالبيانات المفقودة بل بالعواقب المادّية: تسرّب، توقّف إنتاج، خطر على الأرواح. تجعلك هذه اللبنة تُجري تقييم خطر OT بأداة CSET، مفكّراً أوّلاً في الأثر المادّي للسيناريوهات. التحدّي: تعيين السيناريو الأقوى أثراً مادّياً. تتعلّم ترتيب المخاطر الصناعية بحسب ما يهمّ فعلاً في هذا العالم: السلامة فوق كلّ شيء.
الهدف : تقييم الخطر بأثر مادّي.
المفاهيم : عواقب مادّية · المنهجية
التحدّي : أعطِ السيناريو الأشدّ أثرًا مادّيًا.
المتوقّع : يُعتمد إذا أُجري التقييم وكان السيناريو الأشدّ أثرًا مادّيًا صحيحًا.
لا تدافع عن منشأة صناعية لا تعرفها — لكنّ جردها يجب ألّا يعكّر العملية أبداً. تجعلك هذه اللبنة تكتشف أصول شبكة OT بشكل سلبي، أي تحديدها دون إصدار حركة محفوفة بالخطر، ثمّ تحصّن متحكّماً ووصول مشغّله. تحدّد طراز متحكّم مكتشَف وإجراء التحصين الواجب تطبيقه أوّلاً. تستوعب القيد المؤسِّس لـ OT: التصرّف دون تعريض الإنتاج للخطر أبداً.
الهدف : الجرد دون إخلال بالعملية.
المفاهيم : اكتشاف سلبي · تحديد المعدّات
التحدّي : أعطِ نموذج PLC المكتشَف.
المتوقّع : يُعتمد إذا نجح الاكتشاف السلبي وكان نموذج PLC صحيحًا.
الهدف : تأمين PLC ووصوله.
المفاهيم : تقوية PLC · وصول HMI
التحدّي : أعطِ تدبير التقوية ذا الأولوية.
المتوقّع : يُعتمد إذا طُبّقت التقوية وسُمّي التدبير ذو الأولوية بشكل صحيح.
التحقيق في حادث صناعي يعني العمل دون تعريض العملية للخطر أبداً. تعلّمك هذه الوحدة الخبيرة التحليل الجنائي والاستجابة للحوادث في الأنظمة التشغيلية ضمن قيود السلامة.
التحقيق في حادث صناعي يفرض قاعدةً يجهلها التحليل الجنائي الكلاسيكي: عدم تعريض سلامة العملية أبداً لجمع دليل. تجعلك هذه اللبنة تستحوذ على الأدلّة في OT بهذا الترتيب المقيَّد، ثمّ تحلّل الحركة لكشف تلاعب بالعملية مقابل نشاط مرجعي. تعيّن مصدر الدليل الواجب تفضيله أوّلاً وأمر Modbus الخبيث. تكيّف التحقيق مع بيئة قد تكون فيها لحركة خاطئة عواقب مادّية.
الهدف : الجمع دون إخلال بالعملية.
المفاهيم : قيود السلامة · ترتيب التطايّر في OT
التحدّي : أعطِ مصدر الدليل الواجب تقديمه أولًا.
المتوقّع : يُعتمد إذا كانت الخطّة غير تدخّلية وكان مصدر الدليل الواجب تقديمه صحيحًا.
الهدف : كشف تلاعب بالعملية.
المفاهيم : خطّ أساس OT · أوامر شاذّة
التحدّي : أعطِ أمر Modbus الخبيث.
المتوقّع : يُعتمد إذا كُشف الشذوذ وكان أمر Modbus الخبيث صحيحًا.
أخطر الهجمات الصناعية لا تسرق بيانات: تعدّل برنامج متحكّم للتأثير على العالم المادّي. تجعلك هذه اللبنة تحقّق في متحكّم مخترَق — رصد تعديل في منطق برنامجه — ثمّ توصّف برمجية خبيثة متخصّصة في OT. تحدّد تعديل برنامج المتحكّم والبروتوكول الصناعي الذي تستهدفه البرمجية، مع الأثر المنشود. تمسّ صميم ما يميّز هجوماً سيبرانياً صناعياً: هدفه مادّي.
الهدف : التحقيق في متحكّم مخترَق.
المفاهيم : منطق المتحكّم · تعديل البرنامج
التحدّي : أعطِ تعديل برنامج PLC المكتشَف.
المتوقّع : يُعتمد إذا نجحت المقارنة وحُدّد تعديل برنامج PLC بشكل صحيح.
الهدف : توصيف برمجية OT خبيثة.
المفاهيم : عائلات ICS · مؤشّرات OT
التحدّي : أعطِ بروتوكول OT المستهدَف والأثر المنشود.
المتوقّع : يُعتمد إذا كان بروتوكول OT المستهدَف والأثر المنشود صحيحين.
إعادة بناء حادث صناعي تعني تقاطع عالَمين: آثار تقنية المعلومات وقيم العملية المادّية. تجعلك هذه اللبنة تعيد بناء الخطّ الزمني لحادث OT ثمّ تكشف انحرافاً مادّياً شاذّاً — قيمة مستشعر مزوّرة لإخفاء تلاعب، كما في أبرز الهجمات على الصناعة. تؤرّخ ناقل الوصول الأولي وتحدّد المستشعر الذي زُوِّرت قيمته. تتعلّم قراءة حادث حيث يلتقي الرقمي والمادّي.
الهدف : إعادة بناء تتابع حادث.
المفاهيم : ربط متعدّد المصادر · التسلسل الزمني
التحدّي : أعطِ وقت ومتّجه الوصول الأوّلي.
المتوقّع : يُعتمد إذا كان التسلسل الزمني متّسقًا وكان وقت ومتّجه الوصول الأوّلي صحيحين.
الهدف : رصد انحراف مادّي شاذّ.
المفاهيم : قيم العملية · عتبات السلامة
التحدّي : أعطِ الحسّاس الذي زُوّرت قيمته.
المتوقّع : يُعتمد إذا كُشف التجاوز وحُدّد الحسّاس المُزوَّر بشكل صحيح.
في الاستجابة للحوادث الصناعية، الفعل الأوضح — القطع، العزل — قد يكون الأخطر إن زعزع عمليةً مادّية. تجعلك هذه اللبنة تحتوي حادث OT بطريقة متوافقة مع السلامة، بتنسيق IT/OT، ثمّ تعيد العملية إلى حالة آمنة قبل أيّ إعادة تشغيل. تختار الاحتواء الذي لا يُدخِل خطراً وترتيب التعافي الآمن. تستوعب الأولوية المطلقة لـ OT: حماية الأشخاص والعملية قبل البيانات.
الهدف : الاحتواء دون خطر مادّي.
المفاهيم : احتواء متوافق مع السلامة · تنسيق IT/OT
التحدّي : أعطِ الاحتواء الذي لا يُدخل خطرًا.
المتوقّع : يُعتمد إذا كان الاحتواء المطبَّق لا يُدخل خطرًا مادّيًا.
الهدف : استعادة العملية بأمان.
المفاهيم : حالة آمنة · التثبّت قبل الإعادة
التحدّي : أعطِ ترتيب الاستعادة الآمن.
المتوقّع : يُعتمد إذا خُطّطت الاستعادة وكان ترتيب الاستعادة الآمن صحيحًا.
المراجعة الصناعية للدروس لا تُقاس بتقنيّتها، بل بقدرتها على تفادي الحادث التالي — والخطر التالي. تجعلك هذه اللبنة تستعيد حادث OT في تقرير موجَّه نحو السلامة، ثمّ تستخلص منه دروساً ملموسة. التحدّي: تسليم تقرير بثلاثة تحسينات مرتّبة. تحوّل حادثاً صناعياً إلى مكسب أمني، في قطاع قد يكلّف فيه كلّ درس غير مُستفاد غالياً بالمعنى الحرفي.
الهدف : النقل والتحسين.
المفاهيم : تقرير موجَّه للسلامة · الدروس
التحدّي : قدّم التقرير بثلاثة تحسينات مرتَّبة.
المتوقّع : يُعتمد إذا عرض التقرير الموجَّه للسلامة ثلاثة تحسينات مرتَّبة.
تضاعف الأجهزة المتصلة أسطح الهجوم، من البرنامج الثابت إلى العتاد. تعلّمك هذه الوحدة الخبيرة تحليلها واستغلالها: استخراج البرنامج الثابت، الواجهات العتادية، بروتوكولات إنترنت الأشياء.
البرنامج المضمَّن لكائن متّصل — برنامجه الثابت (firmware) — يحمل غالباً أسراراً ظنّ مصمّموه أنّها بعيدة المنال. تجعلك هذه اللبنة تستخرج وتحلّل برنامجاً ثابتاً (أنظمة ملفات مضغوطة، انتروبيا كاشفة)، وتحاكيه لتحليله عاملاً (معماريّتا MIPS/ARM)، ثمّ تعكس هندسته. تجد بيان اعتماد مكتوباً بصلابة، وخدمةً ضعيفة مكشوفة، وحتّى باباً خلفياً (backdoor). تبلغ أحشاء الكائنات المتّصلة، حيث تكمن ثغرات لا تُحصى خفيّة من الخارج.
الهدف : استخراج وتحليل برنامج ثابت لـ IoT.
المفاهيم : الصيغ، SquashFS · الإنتروبيا
التحدّي : أعطِ الاعتماد المضمَّن المُكتشَف.
المتوقّع : يُعتمد إذا استُخرج البرنامج الثابت وكان الاعتماد المضمَّن صحيحًا.
الهدف : تحليل برنامج ثابت ديناميكيًا.
المفاهيم : محاكاة MIPS/ARM · سطح الشبكة
التحدّي : أعطِ الخدمة الهشّة المكشوفة.
المتوقّع : يُعتمد إذا حوكِي البرنامج الثابت وكانت الخدمة الهشّة المكشوفة صحيحة.
الهدف : تحليل الثنائي المُضمَّن.
المفاهيم : ثنائي مُضمَّن · منطق المصادقة
التحدّي : أعطِ اعتماد الباب الخلفي المُكتشَف.
المتوقّع : يُعتمد إذا وُجد الباب الخلفي وكان اعتماده صحيحًا.
أمن كائن لا يتوقّف عند برمجيّته: على لوحته الإلكترونية، تقدّم منافذ التنقيح أحياناً وصولاً مباشراً. تجعلك هذه اللبنة تصل إلى جهاز عبر واجهاته العتادية — وحدة الاتصال التسلسلي UART، وقريباتها JTAG وSPI — المتروكة فاعلةً غالباً في الإنتاج. التحدّي: الحصول على مفسّر أوامر (صدفة) عبر UART، من لافتة محمّل الإقلاع. تفهم أنّ الوصول المادّي إلى كائن متّصل يفتح طريقاً لا تغلقه أيّ حماية برمجية.
الهدف : الوصول عبر تنقيح العتاد.
المفاهيم : UART/JTAG/SPI · وحدة تحكّم تسلسلية
التحدّي : احصل على صدفة عبر UART (لافتة مُحمِّل الإقلاع).
المتوقّع : يُعتمد إذا حُصل على صدفة عبر UART (لافتة مُحمِّل الإقلاع).
تتحادث الكائنات المتّصلة ببروتوكولات خفيفة — عملية، لكن غالباً دون تحكّم بالوصول. تجعلك هذه اللبنة تستغلّ هذه البروتوكولات (MQTT، CoAP، UPnP) ثمّ ثغرة شبكية لجهاز IoT. التحدّي يتحدّث عن نفسه: النشر على القناة (topic) التي تقود مُشغّلاً، وإثبات الوصول المحصَّل على الجهاز. تقيس مدى تحوّل كائن متّصل سيّئ الحماية إلى نقطة تحكّم لمن يعرف مخاطبته.
الهدف : استغلال بروتوكول IoT ضعيف.
المفاهيم : MQTT/CoAP/UPnP · نقاط الضعف
التحدّي : انشر على الموضوع المتحكّم بالمُشغِّل.
المتوقّع : يُعتمد إذا نجح النشر على الموضوع المتحكّم بالمُشغِّل.
الهدف : استغلال ثغرة شبكية لـ IoT.
المفاهيم : ثغرات IoT · الاستغلال
التحدّي : أثبت الوصول المُحصَّل على المعدّة.
المتوقّع : يُعتمد إذا حُصل على الوصول للمعدّة وأُثبت.
كثير من الأجهزة لا تتواصل عبر أيّ كابل: أمنها يتقرّر في الأثير. تعرّفك هذه اللبنة بأسطح الهجوم اللاسلكية (بلوتوث منخفض الطاقة — BLE، Zigbee) بالراديو المعرَّف برمجياً، ثمّ تجعلك تسلسل هجوماً كاملاً — من البرنامج الثابت إلى الشبكة إلى التحكّم المادّي. تحدّد نوع رسالة راديوية وتستولي على مُشغّل من طرف إلى طرف. تربط كلّ أسطح كائن متّصل في برهان واحد، البرهان الذي يكشف الحجم الفعلي للخطر.
الهدف : فهم الأسطح الراديوية.
المفاهيم : BLE/Zigbee · التقاط راديوي
التحدّي : أعطِ نوع الرسالة الراديوية المحدَّد.
المتوقّع : يُعتمد إذا كان نوع الرسالة الراديوية المحدَّد صحيحًا.
الهدف : تسلسل برنامج ثابت←شبكة←تحكّم.
المفاهيم : التسلسل · من البرنامج الثابت إلى التحكّم
التحدّي : استولِ على المُشغِّل من طرف إلى طرف.
المتوقّع : يُعتمد إذا حُصل على التحكّم بالمُشغِّل من طرف إلى طرف.
بعد رؤية أين يستسلم كائن متّصل، تقلب المنظور: كيف تجعله آمناً، من النشر إلى نهاية الحياة. تجعلك هذه اللبنة تصوغ توصيات تحصين IoT تغطّي كامل دورة حياة الجهاز. التحدّي: تعيين إجراءات التحصين الثلاثة ذات الأولوية. تُغلق مقاربة IoT بغايتها الدفاعية: تحويل معرفة الثغرات إلى حماية ملموسة.
الهدف : التوصية بتقوية.
المفاهيم : دورة الحياة · الممارسات الجيّدة
التحدّي : أعطِ تدابير التقوية الثلاثة ذات الأولوية.
المتوقّع : يُعتمد إذا كانت تدابير التقوية الثلاثة ذات الأولوية وجيهة.
اختبار بيئة صناعية دون المساس بسلامة العملية هو جوهر اختبار اختراق الأنظمة التشغيلية. تؤهّلك هذه الوحدة الخبيرة لذلك، بمنهجية وحذر.
اختبار اختراق يُجرى كما في تقنية المعلومات الإدارية قد يُحدث، في بيئة صناعية، توقّف إنتاج — بل حادثاً. تجعلك هذه اللبنة تكيّف الاختبار مع قيود OT: منهجية يسبق فيها السلبي النشطَ دائماً، وتعلو فيها السلامة على الهدف. تنطق بالقاعدة الذهبية لاختبار OT وترسم متحكّماً بشكل سلبي، حتّى قياس تعرّضه على الإنترنت. تستوعب ما يجعل الاختبار الهجومي الصناعي مميَّزاً: لا تختبر عمليةً أبداً على حساب سلامتها.
الهدف : تكييف اختبار الاختراق مع قيود OT.
المفاهيم : مخاطر مادّية · السلبي أولًا
التحدّي : أعطِ القاعدة الذهبية لاختبار اختراق OT.
المتوقّع : يُعتمد إذا عُرّفت المنهجية الآمنة لـ OT وصِيغت القاعدة الذهبية بشكل صحيح.
الهدف : التخريط دون إرسال حركة خطرة.
المفاهيم : اكتشاف سلبي · كشف خارجي
التحدّي : أعطِ PLC المكتشَف وكشفه على الإنترنت.
المتوقّع : يُعتمد إذا اكتُشف PLC بلا ضجيج وتُحقّق من كشفه على الإنترنت.
على بروتوكول صناعي بلا مصادقة، يتلخّص إثبات أثر هجوم في حقن أمر لا يميّزه شيء عن أمر مشروع. تجعلك هذه اللبنة تبرهن — في بيئة محاكاة ومحكومة — الحقن وإعادة التشغيل على Modbus، ثمّ على بروتوكولات الطاقة (DNP3، IEC-104). تغيّر حالة مخرَج متحكّم محاكى وتحقن أمر تحكّم. ترسي واقعية خطر يصعب على المشغّلين تصديقه غالباً، مع البقاء في إطار بلا خطر.
الهدف : برهنة أثر حقن Modbus.
المفاهيم : حقن/إعادة تشغيل · أثر متحكَّم
التحدّي : غيّر حالة مخرَج PLC المحاكى.
المتوقّع : يُعتمد إذا غُيّرت حالة مخرَج PLC المحاكى بشكل متحكَّم.
الهدف : استهداف بروتوكولات الطاقة.
المفاهيم : DNP3/IEC-104 · أوامر التحكّم
التحدّي : أعطِ أمر التحكّم المحقون.
المتوقّع : يُعتمد إذا وُصف أمر التحكّم المحقون بشكل صحيح.
البحث عن ثغرات في معدّات صناعية بالتشويش (fuzzing) — قصفها بمدخلات مشوَّهة — يتطلّب حذراً بالغاً: قد يوقف انهيار خطّ إنتاج. تجعلك هذه اللبنة تمارس تشويش OT حذراً بـ boofuzz ثمّ تهاجم واجهة إشراف (HMI/SCADA)، وهي غالباً تطبيق ويب بسيط سيّئ الحماية. تجد المدخل الذي يُحدث عدم استقرار وتحصل على وصول على HMI. تختبر سطحين حرجين، قائساً في كلّ خطوة الخطر المادّي الذي يجهله غيرك.
الهدف : إيجاد نقاط ضعف بـ fuzzing حذر.
المفاهيم : fuzzing حذر لـ OT · كشف العطل
التحدّي : أعطِ المُدخَل المُحدِث لعدم الاستقرار.
المتوقّع : يُعتمد إذا عزل الـ fuzzing الحذر المُدخَل المُحدِث لعدم الاستقرار.
الهدف : اختراق واجهة إشراف.
المفاهيم : HMI/SCADA وِب · نقاط ضعف تطبيقية
التحدّي : أعطِ الوصول المُحصَّل على HMI.
المتوقّع : يُعتمد إذا استُغلّت نقطة ضعف في HMI وحُصل على الوصول.
معظم الهجمات الصناعية لا تصل مباشرةً: تمرّ عبر الشبكة المكتبية قبل عبور الحدّ نحو OT. تجعلك هذه اللبنة تبرهن هذا العبور IT→OT — الارتكاز من تقنية المعلومات الإدارية حتّى معدّة صناعية — ثمّ تُظهر أثراً على العملية بلا خطر فعلي، ضمن إطار سلامة صارم. تبلغ معدّة OT من IT وتبرهن أثر عملية مؤطَّراً. ترسي السيناريو الذي يخشاه المشغّلون أكثر، مثبتاً أنّه واقعي دون أن تجعله خطيراً أبداً.
الهدف : برهنة العبور IT→OT.
المفاهيم : حدود IT/OT · محورة
التحدّي : ابلغ معدّة OT من IT.
المتوقّع : يُعتمد إذا بُلِغت معدّة OT من IT عبر المحورة.
الهدف : إظهار الأثر دون خطر حقيقي.
المفاهيم : أثر محاكى · إطار السلامة
التحدّي : أعطِ أثر العملية المُبرهَن.
المتوقّع : يُعتمد إذا بُرهن أثر العملية على التوأم دون خطر حقيقي.
تقرير تدقيق صناعي يوصي بـ«الإيقاف والتصحيح» تقرير غير قابل للتطبيق: في OT، الإيقاف ليس خياراً افتراضياً. تجعلك هذه اللبنة تستعيد تدقيق OT متوائماً مع معيار IEC 62443، مفكّراً بدلالة الخطر المادّي والمعالجات القابلة للتحقيق دون إيقاف الإنتاج. التحدّي: اقتراح ثلاث معالجات متوافقة مع OT ومرتّبة. تتعلّم صوغ توصيات يستطيع مشغّل صناعي تطبيقها فعلاً.
الهدف : النقل بمحاذاة IEC 62443.
المفاهيم : تقرير موجَّه للخطر المادّي · معالجات بلا إيقاف
التحدّي : قدّم ثلاث معالجات متوافقة مع OT مرتَّبة.
المتوقّع : يُعتمد إذا قُدّمت ثلاث معالجات متوافقة مع OT مرتَّبة ومربوطة بـ 62443.
تأمين الأنظمة التشغيلية على نطاق واسع يعني بناء برنامج لا تكديس أدوات. تعلّمك هذه الوحدة الخبيرة هيكلته وفق معيار IEC 62443، في سياق البنى التحتية الحرجة.
للأمن الصناعي مجموعة معاييره الخاصّة، المُهيكِلة والمعترف بها دولياً: سلسلة IEC 62443. تجعلك هذه اللبنة تفهم معماريّتها — عائلات معاييرها، أدوارها (المشغّل، المُكامِل، المورّد)، مناطقها ومستويات أمنها (SL) — ثمّ تُجري تقييم خطر بحسب المنطقة وفق الجزء 3-2. تحدّد مستوى الأمن المستهدَف لمنطقة حرجة والفجوة الأهمّ الواجب سدّها. تمتلك الإطار المرجعي لحوكمة أمن موقع صناعي.
الهدف : إتقان بنية 62443 والمسؤوليات.
المفاهيم : العائلات 1/2/3/4 · أدوار، مناطق، SL
التحدّي : أعطِ SL المستهدف لمنطقة التحكّم الحرجة.
المتوقّع : يُعتمد إذا عُرّفت المناطق/القنوات وSL وكان SL المستهدف للمنطقة الحرجة صحيحًا.
الهدف : إجراء تقييم لكلّ منطقة.
المفاهيم : تقييم لكلّ منطقة · SL-Target
التحدّي : أعطِ فجوة SL الأكثر حرجًا.
المتوقّع : يُعتمد إذا نجح التقييم لكلّ منطقة وكانت فجوة SL الأكثر حرجًا صحيحة.
مراقبة شبكة صناعية لا تُجرى كشبكة مكتبية: يجب أن يكون الكشف سلبياً وملائماً لبروتوكولات الميدان. تجعلك هذه اللبنة تصمّم معمارية مراقبة OT ثمّ تبني خطّة استجابة لحوادث صناعية تعلو فيها السلامة دائماً. تعيّن نقطة الجمع ذات الأولوية وتسلّم كتيّب إجراءات أفعاله الثلاثة الأولى آمنة للعملية. تربط الكشف بالاستجابة في الإطار الوحيد المقبول في OT: الذي لا يعرّض العملية للخطر أبداً.
الهدف : تصميم كشف مكيَّف لـ OT.
المفاهيم : مراقبة OT سلبية · كشف مكيَّف
التحدّي : أعطِ نقطة الجمع ذات الأولوية.
المتوقّع : يُعتمد إذا كانت معمارية المراقبة سلبية وكانت نقطة الجمع ذات الأولوية صحيحة.
الهدف : بناء دليل عمل استجابة صناعي.
المفاهيم : استجابة OT · السلامة أولًا
التحدّي : قدّم دليل العمل بالإجراءات الثلاثة الأولى الآمنة.
المتوقّع : يُعتمد إذا وضع دليل OT السلامة أولًا وقدّم الإجراءات الثلاثة الأولى الآمنة.
نقطتا ضعف متكرّرتان في المواقع الصناعية: مؤسسة غير مدرَّبة على الأزمة، ووصول صيانة عن بُعد سيّئ التأمين. تجعلك هذه اللبنة تصمّم وتدير تمريناً على الطاولة (tabletop) خاصّاً بـ OT، مستنداً إلى قوالب معترف بها (CISA CTEP)، ثمّ تؤمّن وصول المتعاقدين عن بُعد (ارتداد عبر jump host، مصادقة قوية). تبني سيناريو التمرين وهدفه القابل للقياس، وتعتمد معمارية وصول عن بُعد آمنة. تعالج مدخلين رئيسين استخدمتهما الهجمات الصناعية الأخيرة على نطاق واسع.
الهدف : تحضير وإدارة تدريب سيبراني.
المفاهيم : تمرين الطاولة · الحقن
التحدّي : أعطِ الحقن الرئيسي والهدف المقيس.
المتوقّع : يُعتمد إذا صُمّم التمرين بأربعة حقن وهدف قابل للقياس.
الهدف : تأمين الصيانة عن بُعد.
المفاهيم : وصول بعيد · jump host/MFA
التحدّي : أعطِ معمارية الوصول البعيد المعتمَدة.
المتوقّع : يُعتمد إذا فرض الوصول البعيد jump host وMFA والتسجيل.
تأمين موقع صناعي على المدى يفترض تلبية متطلّبات تنظيمية — مشدَّدة غالباً للبنى التحتية الحرجة والسيادة الإقليمية — وقياس التقدّم. تجعلك هذه اللبنة توائم برنامج OT مع التنظيمات الحرجة ذات الصلة، بما في ذلك السياق SWANA، ثمّ تقيّم نضجه وتحسّنه باستمرار (نهج PDCA، نموذج C2M2). تحدّد المتطلّب التنظيمي الأكثر هيكلةً ومجال النضج الأضعف. تربط الأمن السيبراني الصناعي بالامتثال والحوكمة، أفق مسؤول أمن OT.
الهدف : المحاذاة مع المتطلّبات الحرجة الإقليمية.
المفاهيم : تنظيمات حرجة · السيادة
التحدّي : أعطِ المتطلّب التنظيمي الأكثر تأسيسًا.
المتوقّع : يُعتمد إذا حُدّد المتطلّب التنظيمي الأكثر تأسيسًا ورُبط بشكل صحيح.
الهدف : قيادة برنامج OT على المدى.
المفاهيم : نضج OT · PDCA
التحدّي : أعطِ مجال النضج الأضعف.
المتوقّع : يُعتمد إذا قِيس النضج وسُمّي المجال الأضعف بشكل صحيح.
تغيّر السحابة قواعد الأمن — المسؤولية المشتركة، إدارة الهوية، التتبّع. تعلّمك هذه الوحدة تأمين بيئة سحابية (AWS/Azure/GCP) والاستجابة لحادث.
في السحابة، الثغرة الأولى ليست استغلالاً: بل إذن مُنِح بسعة مفرطة. تجعلك هذه اللبنة تدير الهوية والوصول (IAM) بأدقّ مستوى — مبدأ أقلّ الامتيازات — وتفهم نموذج المسؤولية المشتركة، الذي يقسم الأمن بين المزوّد والعميل. ترصد سياسة IAM مفرطة السماح وخطرها، وتفرض مصادقة موحَّدة بعامل ثانٍ. ترسي أساس أمن السحابة، حيث تتركّز غالبية الحوادث الفعلية.
الهدف : إتقان IAM السحابي والحدّ الأدنى من الامتياز.
المفاهيم : مسؤولية مشتركة · أدوار، سياسات
التحدّي : أعطِ سياسة IAM المفرطة والخطر.
المتوقّع : يُعتمد إذا أُنشئ دور أدنى وكانت السياسة المفرطة وخطرها صحيحين.
الهدف : تأمين الوصول لحسابات السحابة.
المفاهيم : توحيد SSO · MFA
التحدّي : أثبت الوصول الموحَّد بـ MFA إلزامي.
المتوقّع : يُعتمد إذا أُثبت الوصول الموحَّد بـ MFA إلزامي.
في السحابة، كلّ شيء يترك أثراً في سجلّات النشاط — يكفي تفعيلها ومعرفة قراءتها. تجعلك هذه اللبنة تمركز التسجيل السحابي (CloudTrail، سجلّات النشاط) ثمّ تكشف اختراقاً، يدوياً وعبر كشف مُدار. ترصد الحدث الكاشف عن إنشاء مفتاح وصول غير مصرّح به والإنذار المُولَّد بالاختراق. تبني الرؤية التي بدونها تبقى بيئة سحابية نقطةً عمياء.
الهدف : تفعيل التتبّع والكشف.
المفاهيم : CloudTrail/Activity Logs · المركزة
التحدّي : أعطِ الحدث الكاشف عن إنشاء مفتاح غير مُصرَّح.
المتوقّع : يُعتمد إذا فُعّل التسجيل وكُشف حدث إنشاء مفتاح غير مُصرَّح.
الهدف : كشف اختراق سحابي.
المفاهيم : كشف مُدار · سلوك شاذّ
التحدّي : أعطِ تنبيه الاختراق المُولَّد.
المتوقّع : يُعتمد إذا ولّد الكشف المُدار تنبيه الاختراق.
معظم تسريبات البيانات في السحابة لا تأتي من اختراق، بل من حاوية تخزين تُركت مفتوحة خطأً. تجعلك هذه اللبنة تقيّم وتصحّح وضعية أمن حساب سحابي بأدوات إدارة الوضعية (CSPM) — Prowler، ScoutSuite — وتقيس الامتثال للمرجعيات (معايير CIS). تحدّد تخزيناً مكشوفاً وتصحيحه، ثمّ فجوة الامتثال الأكثر حرجاً. تطارد أكثر أصناف خطأ السحابة شيوعاً وكلفةً: سوء الإعداد.
الهدف : تقييم وتصحيح الإعداد.
المفاهيم : سوء الإعدادات · CSPM
التحدّي : أعطِ التخزين المكشوف والتصحيح.
المتوقّع : يُعتمد إذا حُدّد التخزين المكشوف وصُحّح.
الهدف : تقييم امتثال حساب.
المفاهيم : معايير CIS السحابية · الامتثال
التحدّي : أعطِ فجوة الامتثال الأكثر حرجًا.
المتوقّع : يُعتمد إذا سُمّيت فجوة الامتثال الأكثر حرجًا بشكل صحيح.
ثلاث روافع تحمي البيانات في السحابة: تشفيرها، إدارة أسرارها، والتحكّم بتدفّقات الشبكة. تجعلك هذه اللبنة تشفّر بيانات وتدير مفاتيحها وأسرارها بخدمة إدارة مفاتيح (KMS) وخزنة، ثمّ تقيّد الشبكة بمجموعات الأمن. تُثبت التشفير والإدارة السليمة لسرّ، وأن لا منفذ إدارة مفتوحاً للعموم. تجمع الحمايات الأساسية الثلاث التي ينبغي أن يملكها كلّ نشر سحابي.
الهدف : حماية البيانات والأسرار.
المفاهيم : KMS · الخزائن
التحدّي : أثبت التعمية وإدارة السرّ.
المتوقّع : يُعتمد إذا أُثبتت التعمية وإدارة السرّ.
الهدف : تقييد تدفّقات السحابة.
المفاهيم : مجموعات الأمن · التجزئة
التحدّي : أثبت أنّ لا منفذ إدارة مفتوح للعموم.
المتوقّع : يُعتمد إذا لم يكن أيّ منفذ إدارة مفتوحًا للعموم، بدليل.
التحقيق في حادث في السحابة يختلف عن تحقيق كلاسيكي: الأدلّة عابرة والبنية التحتية قابلة للبرمجة. تجعلك هذه اللبنة تُجري استجابة لحادث سحابي — استثمار السجلّات، تجميد مورد بلقطة (snapshot) لتحليله. التحدّي: تحديد الفعل الخبيث والمورد المتأثّر. تكيّف ردود فعل الاستجابة مع بيئة يُنشَأ فيها كلّ شيء ويُمحى في ثوانٍ.
الهدف : التحقيق في حادث سحابي.
المفاهيم : تحليل جنائي سحابي · لقطات
التحدّي : أعطِ الفعل الخبيث والمورد المتأثّر.
المتوقّع : يُعتمد إذا حُدّد الفعل الخبيث والمورد المخترَق بشكل صحيح.
للحاويات وKubernetes سطح هجوم خاص بها. تعلّمك هذه الوحدة الخبيرة تأمينها: التحصين، التحكّم في القبول، أمن وقت التشغيل، وسلسلة الصور.
ينسّق Kubernetes آلاف الحاويات — ويضاعف سطح الهجوم بقدرها إن جهلت آلية عمله. تجعلك هذه اللبنة تفهم معمارية عنقود (مستوى التحكّم، مخزن etcd، فضاءات الأسماء) ونموذج تفويضه (RBAC). التحدّي: رصد حساب الخدمة مفرط الامتياز، أكثر ثغرات العناقيد شيوعاً. تكتسب الخريطة الذهنية التي بدونها لا تأمين لـ Kubernetes ممكن.
الهدف : فهم Kubernetes ومخاطره.
المفاهيم : control plane، etcd · RBAC، namespaces
التحدّي : أعطِ حساب الخدمة مفرط الامتياز.
المتوقّع : يُعتمد إذا خُرّط العنقود وكان حساب الخدمة مفرط الامتياز صحيحًا.
تأمين Kubernetes يعني تحصين العنقود والتحكّم بما تنشره قبل أن يعمل. تجعلك هذه اللبنة تطبّق معايير CIS على العنقود بـ kube-bench، ثمّ تُرسي تحكّماً بالقبول (بـ Kyverno أو OPA) يرشّح عمليات النشر. تصحّح فجوة CIS الأكثر حرجاً وتُثبت حجب حاوية مميَّزة. تجمع تحصين القائم والحراسة عند المدخل، مرحلتي دفاع Kubernetes.
الهدف : تطبيق المعايير.
المفاهيم : CIS K8s · Pod Security
التحدّي : أعطِ فجوة CIS الأكثر حرجًا المُصحَّحة.
المتوقّع : يُعتمد إذا صُحّحت ثلاث فجوات CIS وسُمّيت الأكثر حرجًا بشكل صحيح.
الهدف : التحكّم بما يُنشَر.
المفاهيم : التحكّم بالقبول · السياسات
التحدّي : أثبت حظر pod مُمتاز.
المتوقّع : يُعتمد إذا حظرت سياسة القبول pod مُمتازًا.
قد تجتاز حاوية كلّ ضوابط البناء وتسلك سلوكاً شاذّاً متى عملت: عليك مراقبتها وقت التشغيل. تجعلك هذه اللبنة تكشف هذه السلوكيات وقت التشغيل بـ Falco (الذي يرصد استدعاءات النظام) وتجزّئ الشبكة الداخلية للعنقود بسياسات شبكة (Cilium). تُطلق وتقرأ إنذار Falco وتُثبت العزل الشرقي-الغربي بين الحاويات. تغطّي أمن العنقود وهو يعمل، حيث تظهر الهجمات فعلاً.
الهدف : كشف السلوكات الشاذّة.
المفاهيم : وقت التشغيل، نداءات النظام · الكشف
التحدّي : أعطِ تنبيه Falco المُطلَق.
المتوقّع : يُعتمد إذا أُطلق تنبيه Falco بالسلوك الشاذّ.
الهدف : تجزئة شبكة العنقود.
المفاهيم : سياسات الشبكة · شرق-غرب
التحدّي : أثبت العزل شرق-غرب بين pods.
المتوقّع : يُعتمد إذا أُثبت العزل شرق-غرب بين pods.
العنقود آمن فقط إن كانت الصور التي يشغّلها آمنة — وإن أمكنك إثبات مصدرها. تجعلك هذه اللبنة تؤمّن صناعة الصور (تحليل ثغرات بـ Trivy، جردة مكوّنات — SBOM) ثمّ تضمن مصدرها بالتوقيع، مع تحكّم بالقبول يرفض الصور غير الموقّعة. تصحّح ثغرة حرجة في صورة وتُثبت رفض صورة غير موقّعة. ترسي الثقة في السلسلة الممتدّة من الشيفرة إلى الحاوية في الإنتاج.
الهدف : تأمين صناعة الصور.
المفاهيم : المسح، التوقيع · SBOM
التحدّي : أعطِ CVE الحرجة المُصحَّحة في الصورة.
المتوقّع : يُعتمد إذا مُسحت الصورة ووُقّعت وكانت CVE الحرجة المُصحَّحة صحيحة.
الهدف : فرض صور موثوقة.
المفاهيم : المنشأ · قبول بالتوقيع
التحدّي : أثبت رفض صورة غير مُوقَّعة.
المتوقّع : يُعتمد إذا رُفضت صورة غير مُوقَّعة عند القبول.
نقطتا ضعف متكرّرتان في المنصّات الحاوياتية: أسرار مخزَّنة بنصّ واضح، وحاويات يمكن الهروب منها نحو المضيف. تجعلك هذه اللبنة تدير أسرار Kubernetes بأمان (تشفير، Vault) ثمّ تدرس هروباً من حاوية — فهم كيف يخرج مهاجم من الحاوية نحو الآلة — لمنعه بشكل أفضل. تُثبت أن لا سرّ بنصّ واضح في المستودع وتحدّد ناقل هروب وتصحيحه. تعالج خطرين يحوّلان ثغرة حاوية إلى اختراق البنية التحتية بأكملها.
الهدف : إدارة الأسرار بأمان.
المفاهيم : أسرار K8s · تعمية/خزينة
التحدّي : أثبت أنّ لا سرّ بنصّ واضح في المستودع.
المتوقّع : يُعتمد إذا لم يكن أيّ سرّ بنصّ واضح في المستودع، بدليل.
الهدف : فهم الإفلات للدفاع أفضل.
المفاهيم : إفلات من الحاوية · الامتيازات
التحدّي : أعطِ متّجه الإفلات وتصحيحه.
المتوقّع : يُعتمد إذا كان متّجه الإفلات وتصحيحه صحيحين.
لا يُضاف الأمن في النهاية: بل يُدمج في كامل دورة حياة البرمجيات. تعلّمك هذه الوحدة DevSecOps — CI/CD، الاختبارات الآلية، الأسرار، سلسلة التوريد.
أصبحت السلسلة التي تبني البرمجيات وتنشرها هدفاً — ونقطة تحكّم مثالية للأمن. تجعلك هذه اللبنة تدمج ضوابط في خطّ تكامل ونشر مستمرّ (CI/CD)، ببوّابات (gates) توقف التسليم عند مشكلة، وأذونات خطّ مقيَّدة. التحدّي: جعل الخطّ يفشل على تابعيّة تحمل ثغرة حرجة. تحوّل سلسلة التسليم إلى خطّ دفاع أوّل، بدل باب مفتوح.
الهدف : دمج ضوابط في الخطّ.
المفاهيم : بوّابات أمن · أذونات الخطّ
التحدّي : أثبت الإخفاق على تبعية بـ CVE حرجة.
المتوقّع : يُعتمد إذا أخفق الخطّ على تبعية بـ CVE حرجة.
إيجاد ثغرات تطبيق مبكّراً وآلياً أرخص بكثير من إصلاحها في الإنتاج. تجعلك هذه اللبنة تجمع عائلات اختبار التطبيقات الثلاث: تحليل الشيفرة (SAST)، تحليل التابعيّات (SCA)، واختبار التطبيق العامل (DAST). تصحّح ثغرةً مرصودة في الشيفرة، وتحدّث تابعيّة ضعيفة، وتكشف ثغرةً على التطبيق المنشور. تجهّز «الإزاحة يساراً» (shift-left): التأمين أبكر ما يمكن في دورة التطوير.
الهدف : تحليل الكود ساكنًا.
المفاهيم : SAST · إيجابيات كاذبة
التحدّي : أعطِ ثغرة SAST المُصحَّحة.
المتوقّع : يُعتمد إذا كانت ثغرة SAST المُصحَّحة صحيحة.
الهدف : تأمين التبعيات.
المفاهيم : SCA · التحديثات
التحدّي : أعطِ التبعية الهشّة المُحدَّثة.
المتوقّع : يُعتمد إذا حُدّثت التبعية الهشّة وارتفع التنبيه.
الهدف : اختبار التطبيق المنشور.
المفاهيم : DAST · تكامل CI
التحدّي : أعطِ ثغرة DAST المكتشَفة.
المتوقّع : يُعتمد إذا كانت ثغرة DAST المكتشَفة صحيحة ودُمج DAST في CI.
كلمة مرور منسيّة في الشيفرة أو بنية تحتية سيّئة التصريح تكفي لاختراق بيئة بأكملها. تجعلك هذه اللبنة تطارد الأسرار بنصّ واضح، بما في ذلك في تاريخ مستودع Git (بـ gitleaks)، ثمّ تؤمّن البنية التحتية الموصوفة ككود (IaC) بكشف أخطاء إعدادها (Checkov، tfsec). تحدّد سرّاً مدفوناً في تاريخ Git وتصحّح خطأ إعداد بنية تحتية. تغلق تسرّبين خفيّين لكن متكرّرين في سلاسل DevOps.
الهدف : إزالة الأسرار بنصّ واضح.
المفاهيم : كشف الأسرار · الخزائن
التحدّي : أعطِ السرّ المكتشَف في تاريخ Git.
المتوقّع : يُعتمد إذا كان السرّ المكتشَف في تاريخ Git صحيحًا وأُلغي.
الهدف : تأمين البنية ككود.
المفاهيم : مسح IaC · سوء الإعدادات
التحدّي : أعطِ سوء إعداد IaC المُصحَّح.
المتوقّع : يُعتمد إذا كان سوء إعداد IaC المُصحَّح صحيحًا.
البرمجيات الحديثة مصنوعة في جزء كبير من مكوّنات طرف ثالث: أمنها يتوقّف على أمن سلسلة توريد لا تتحكّم بها كلياً. تجعلك هذه اللبنة تتتبّع هذه المكوّنات بجردة برمجية (SBOM، بـ Syft) وتطبّق مبادئ سلامة السلسلة (SLSA)، ثمّ تمسح صور الحاويات في الخطّ. تنتج SBOM يكشف مكوّناً محفوفاً بالخطر وتُثبت حجب صورة ضعيفة في التكامل المستمرّ. تعالج سطح الهجوم الذي تسبّب بأكثر الاختراقات دويّاً (SolarWinds، XZ Utils).
الهدف : تتبّع وتأمين المكوّنات.
المفاهيم : سلسلة التوريد · SBOM، SLSA
التحدّي : قدّم SBOM والمكوّن في الخطر.
المتوقّع : يُعتمد إذا وُلّد SBOM وحُدّد المكوّن في الخطر بشكل صحيح.
الهدف : مسح الصور في الخطّ.
المفاهيم : مسح صورة في CI · بوّابة
التحدّي : أثبت حظر صورة هشّة في CI.
المتوقّع : يُعتمد إذا حُظرت صورة هشّة في CI.
أدوات الأمن بلا جدوى إن تحايلت عليها الفِرَق: DevSecOps ثقافة أوّلاً. تجعلك هذه اللبنة ترسّخ الأمن في دورة التطوير — إزاحة الضوابط أبكر (shift-left)، تحديد بوّابات (gates) تقبلها الفِرَق، والقياس للقيادة. التحدّي: تعيين بوّابات الأمن الثلاث ذات الأولوية. تربط الأدوات التقنية بالتبنّي البشري، الذي بدونه لا يصمد أيّ برنامج DevSecOps.
الهدف : ترسيخ الأمن في الدورة.
المفاهيم : shift-left · المقاييس
التحدّي : أعطِ بوّابات الأمن الثلاث ذات الأولوية.
المتوقّع : يُعتمد إذا كانت بوّابات الأمن الثلاث ذات الأولوية وجيهة.
الهوية هي المحيط الجديد. تعلّمك هذه الوحدة تصميم إدارة هويات حديثة وبنية ثقة صفرية، من الاتحاد إلى السياسة ككود.
أصبحت الهوية المحيط الأمني الفعلي: هي ما يُهاجَم للدخول. تجعلك هذه اللبنة تُرسي مصادقة موحَّدة حديثة (بروتوكولا OIDC، SAML) وتدير دورة حياة الحسابات بـ Keycloak، ثمّ تفرض مصادقة متعدّدة العوامل مقاومة للتصيّد (FIDO2، passkeys). تُثبت دخولاً موحَّداً عاملاً واشتراط عامل ثانٍ مقاوم فعلاً. تؤمّن الباب الذي تستهدفه معظم الهجمات الراهنة أوّلاً.
الهدف : إقامة مصادقة موحَّدة.
المفاهيم : OIDC/SAML · دورة الحياة
التحدّي : أثبت الاتصال الموحَّد العامل.
المتوقّع : يُعتمد إذا عمل الاتصال الموحَّد بـ OIDC.
الهدف : فرض مصادقة قوية.
المفاهيم : MFA، FIDO2/passkeys · مقاومة التصيّد
التحدّي : أثبت اشتراط عامل ثانٍ مقاوِم.
المتوقّع : يُعتمد إذا أُثبت اشتراط عامل ثانٍ مقاوِم للتصيّد.
مصادقة مستخدم لا تقول شيئاً عمّا يحقّ له: هذا دور التفويض. تجعلك هذه اللبنة تصمّم تفويضات دقيقة — بالدور (RBAC) أو بالسمة (ABAC) — مع احترام فصل المهامّ، ثمّ تؤطّر الحسابات المميَّزة (PAM) بوصول يُمنَح في الوقت المناسب ولمدّة محدودة. ترصد حساباً متراكم الحقوق وتُثبت وصول مدير مؤقّتاً ومتتبَّعاً. تكافح زحف الامتيازات، السبب الرئيس لتفاقم اختراق.
الهدف : تصميم تفويضات دقيقة.
المفاهيم : RBAC/ABAC · فصل المهامّ
التحدّي : أعطِ الحساب مفرط التراكم المكتشَف.
المتوقّع : يُعتمد إذا كُشف الحساب مفرط تراكم الحقوق بشكل صحيح.
الهدف : تقييد الامتيازات زمنيًا.
المفاهيم : PAM · JIT
التحدّي : أثبت الوصول الإداري المؤقّت والمُتتبَّع.
المتوقّع : يُعتمد إذا كان الوصول الإداري مؤقّتًا ومُتتبَّعًا ومنتهيًا.
ينقل Zero Trust قرار الأمن من محيط الشبكة إلى كلّ طلب: تتحقّق عند كلّ وصول، بحسب السياق. تجعلك هذه اللبنة تطبّق سياسة Zero Trust (نقاط قرار وتطبيق السياسات — PDP/PEP) ثمّ تعبّر عن هذه القواعد ككود مُدار بالإصدارات وقابل للاختبار (السياسة ككود، بـ OPA ولغة Rego). تُثبت رفض وصول متوافقاً خارج السياق وتكتب السياسة التي تحقّقه. تفعّل مبدأً كثيراً ما يُستحضَر ونادراً ما يُطبَّق فعلاً.
الهدف : تطبيق سياسة ثقة صفرية.
المفاهيم : PDP/PEP · تحقّق لكلّ طلب
التحدّي : أثبت رفض وصول خارج السياق مطابقًا.
المتوقّع : يُعتمد إذا رُفض الوصول خارج السياق وفق السياسة.
الهدف : إدارة سياسات الوصول ككود.
المفاهيم : السياسة ككود · اختبار السياسات
التحدّي : قدّم السياسة الرافضة لوصول غير مطابق.
المتوقّع : يُعتمد إذا رفضت سياسة Rego وصولًا غير مطابق.
متى اختُرقت هوية، يتصرّف المهاجم «بشكل مشروع»: كشفه يتطلّب رصد الشاذّ ضمن العادي. تجعلك هذه اللبنة تكشف إساءات الهوية — دخول من موقعين متعارضين (سفر مستحيل)، تصعيد صلاحيات شاذّ — عبر SIEM، ثمّ تحصّن مزوّد الهوية (IdP)، الذي يشلّ عطله كلّ الوصول (نقطة فشل وحيدة — SPOF). تحدّد الحدث المُنذِر بالاختراق والإجراء المقلّص لخطر SPOF. تحمي بنية الهوية، التي أصبحت هدفاً عالي القيمة.
الهدف : رصد اختراقات الهوية.
المفاهيم : سفر مستحيل · ترقية شاذّة
التحدّي : أعطِ الحدث المُشير للاختراق.
المتوقّع : يُعتمد إذا حُدّد الحدث المُشير لاختراق الهوية بشكل صحيح.
الهدف : تأمين مزوّد الهوية.
المفاهيم : مزوّد الهوية كـ SPOF · المرونة
التحدّي : أعطِ التدبير المُقلِّل لخطر SPOF.
المتوقّع : يُعتمد إذا كان التدبير المُقلِّل لخطر نقطة الفشل المنفردة وجيهًا.
حين تُخترَق هوية، كلّ دقيقة محسوبة: ما دامت الجلسات مفتوحة، يبقى الزمام بيد المهاجم. تجعلك هذه اللبنة تستجيب لسرقة هوية — إبطال الجلسات النشطة، تدوير الأسرار، استعادة حالة ثقة. التحدّي: تحديد أوّل استجابة. تكتسب ردود فعل الطوارئ لحادث هوية، من أكثرها شيوعاً وأسرعها انتشاراً.
الهدف : التفاعل مع سرقة هوية.
المفاهيم : إلغاء الجلسات · التدوير
التحدّي : أعطِ أوّل استجابة للاختراق.
المتوقّع : يُعتمد إذا أُلغيت الجلسات وكانت أوّل استجابة للاختراق صحيحة.
يخلق الذكاء الاصطناعي أسطح هجوم جديدة — ودفاعات جديدة. تعلّمك هذه الوحدة الخبيرة تأمين أنظمة الذكاء الاصطناعي ونماذج اللغة: التعلّم الآلي الخصمي، حقن الأوامر، الدفاع بالذكاء الاصطناعي.
يُدخِل الذكاء الاصطناعي ثغرات من نوع جديد، لا تشبه شيئاً يعرفه الأمن الكلاسيكي. تجعلك هذه اللبنة تستكشف سطح الهجوم الخاصّ بتعلّم الآلة، المهيكَل بتصنيفي MITRE ATLAS وOWASP ML: خداع نموذج بأمثلة عدائية (اضطرابات غير محسوسة) وإفساد تعلّمه بتسميم البيانات، حتّى زرع باب خلفي فيه. تجعل مدخلاً يُصنَّف خطأً، تقيس معدّل الخطأ المُحدَث وتُطلق الباب الخلفي لنموذج. تدرك حجم خطر ما يزال سيّئ الفهم، فيما يستقرّ الذكاء الاصطناعي في كلّ مكان.
الهدف : فهم تهديدات تعلّم الآلة الخاصّة.
المفاهيم : تصنيف ATLAS/OWASP ML · تهرّب/تسميم
التحدّي : اجعل مُدخَلًا يُصنَّف خطأ وأعطِ تقنية ATLAS.
المتوقّع : يُعتمد إذا صُنّف مُدخَل خطأ وكانت تقنية ATLAS المقابلة صحيحة.
الهدف : خداع نموذج تصنيف.
المفاهيم : اضطرابات عدائية · المتانة
التحدّي : أعطِ معدّل الخطأ المُحدَث على النموذج.
المتوقّع : يُعتمد إذا أحدثت الأمثلة العدائية معدّل الخطأ المقيس المُعلَن.
الهدف : إفساد التعلّم.
المفاهيم : التسميم · باب خلفي للنموذج
التحدّي : أعطِ محفّز الباب الخلفي المزروع.
المتوقّع : يُعتمد إذا فُعّل الباب الخلفي وكان محفّزه صحيحًا.
يتّبع نموذج لغوي كبير التعليمات المعطاة له — بما فيها تلك التي يدسّها مهاجم في بيانات يعالجها. تجعلك هذه اللبنة تستغلّ حقن الأوامر (المُشار إليه في OWASP LLM Top 10)، المباشر وغير المباشر، حتّى كشف التعليمة النظامية المحميّة، ثمّ تحوّل وكيل LLM مزوّداً بأدوات لتسريب بيان. تكشف التعليمة المخبَّأة والأداة المحوَّلة. تفهم العيب البنيوي للتطبيقات القائمة على النماذج اللغوية، التي ينفجر استخدامها.
الهدف : استغلال النماذج اللغوية بالحقن.
المفاهيم : OWASP LLM Top 10 · مباشر/غير مباشر
التحدّي : اجعله يكشف تعليمة النظام المحميّة.
المتوقّع : يُعتمد إذا كُشفت تعليمة النظام المحميّة بالحقن.
الهدف : حرف وكيل نموذج لغوي.
المفاهيم : وكلاء/أدوات · إساءة القدرات
التحدّي : أعطِ الأداة المُحرَفة والبيان المُسرَّب.
المتوقّع : يُعتمد إذا كانت الأداة المُحرَفة والبيان المُسرَّب صحيحين.
بعد رؤية كيف يُهاجَم نموذج لغوي، تقلب المنظور: كيف تبني تطبيقاً يقاومه. تجعلك هذه اللبنة تصمّم تطبيق LLM متيناً — حدّ ثقة واضح، التحقّق من المخرجات — ثمّ تؤمّن معمارية تستعلم وثائق (RAG، توليد معزَّز بالاسترجاع)، معرَّضة للحقن عبر الوثائق نفسها. تُثبت حجب مخرَج خبيث وترشيح وثيقة مفخَّخة. تحمل أمن الذكاء الاصطناعي إلى جهة الباني، حيث يجب دمجه منذ التصميم.
الهدف : تصميم تطبيق نموذج لغوي متين.
المفاهيم : حدود الثقة · التحقّق من المخرَجات
التحدّي : أثبت حظر مخرَج خبيث.
المتوقّع : يُعتمد إذا حُظر مخرَج خبيث بالضوابط.
الهدف : تأمين معمارية RAG.
المفاهيم : RAG · حقن عبر المستندات
التحدّي : أثبت ترشيح مستند خبيث.
المتوقّع : يُعتمد إذا رُشّح مستند خبيث بواسطة RAG.
الذكاء الاصطناعي ليس هدفاً فقط: هو أيضاً أداة دفاع — شرط إبقاء الإنسان في الحلقة. تجعلك هذه اللبنة تستخدم الذكاء الاصطناعي لإسناد الدفاع (فرز مُعان، بضمانة بشرية — human-in-the-loop) ثمّ تؤطّر استخدامه وفق إطار إدارة مخاطر (NIST AI RMF)، آخذاً بالحسبان التحيّزات ورهانات السيادة. تقيس مكسب الفرز مع وضع الضمانة البشرية، وتعيّن خطر الذكاء الاصطناعي ذا الأولوية وإجراءه. تربط الذكاء الاصطناعي بحوكمته، شرط استخدام مفيد ومسؤول معاً.
الهدف : استخدام الذكاء الاصطناعي للدفاع (HITL).
المفاهيم : فرز مُعان · الإنسان في الحلقة
التحدّي : أعطِ مكسب الفرز والحارس البشري.
المتوقّع : يُعتمد إذا قِيس مكسب الفرز وحُوفظ على الحارس البشري.
الهدف : تأطير استخدام الذكاء الاصطناعي.
المفاهيم : NIST AI RMF · تحيّز، سيادة
التحدّي : أعطِ خطر الذكاء الاصطناعي ذا الأولوية والتدبير.
المتوقّع : يُعتمد إذا كان خطر الذكاء الاصطناعي ذو الأولوية وتدبير الحوكمة وجيهين.
قيادة الأمن تعني الحوكمة عبر المخاطر والامتثال، لا بالتقنية وحدها. تعلّمك هذه الوحدة الإدارية هيكلة برنامج: CSF 2.0، إدارة المخاطر، الامتثال، القيادة.
قد تكدّس مؤسسة الأدوات وتبقى معرَّضة إن لم يقد أحد أمنها ككلّ: هذا دور الحوكمة. تجعلك هذه اللبنة تهيكل هذه الحوكمة بإطار NIST CSF 2.0 ووظيفته «الحوكمة» المضافة حديثاً، محدّداً النضج بمستويات وملامح. التحدّي: تعيين الوظيفة الأقلّ نضجاً والأولوية المترتّبة. تتبنّى لغةً مشتركة تتيح لإدارة قيادة أمنها السيبراني كما تقود سائر مخاطرها — مع كون NIST CSF أحد الأطر المرجعية، إلى جانب ISO 27001.
الهدف : هيكلة الحوكمة عبر الوظائف الستّ.
المفاهيم : وظيفة الحوكمة · المستويات والملفّات
التحدّي : أعطِ الوظيفة الأقلّ نضجًا والأولوية.
المتوقّع : يُعتمد إذا قُيّم النضج وكانت الوظيفة الأقلّ نضجًا والأولوية صحيحتين.
الأمن المطلق غير موجود: الحوكمة هي تقرير أيّ المخاطر تُعالَج أو تُحوَّل أو تُقبَل. تجعلك هذه اللبنة تُجري تحليل خطر منظَّماً بطريقة معترف بها (EBIOS Risk Manager، متوائمة مع ISO 27005)، حتّى الخطر المتبقّي — ما يبقى بعد التدابير. التحدّي: تعيين الخطر المتبقّي الأعلى والقرار الواجب اتّخاذه. تربط التقني بقرار الإدارة، لأنّها هي من يتحمّل، في النهاية، الخطر المقبول.
الهدف : إجراء تحليل مخاطر.
المفاهيم : ISO 27005/EBIOS RM · الخطر المتبقّي
التحدّي : أعطِ الخطر المتبقّي الأعلى والقرار.
المتوقّع : يُعتمد إذا قُدّر السجلّ وكان الخطر المتبقّي الأعلى والقرار صحيحين.
الامتثال ليس غايةً بل أساساً: يهيكل الأمن، وبات يُفرَض بالقانون متزايداً. تجعلك هذه اللبنة تحضّر نظام إدارة أمن المعلومات (SMSI) وفق ISO 27001 وملحق ضوابطه، ثمّ ترسم المتطلّبات التنظيمية المنطبقة — توجيه NIS2 الأوروبي وأطر منطقة SWANA (ECC السعودي، SAMA، ANCS، NCA). تحدّد فجوة الامتثال الأكثر حرجاً والالتزام التنظيمي الأكثر هيكلةً. تربط الأمن بالالتزامات التي تُلزِم المؤسسة قانونياً، بما في ذلك السياق الإقليمي.
الهدف : تحضير نظام إدارة أمن المعلومات وتدقيق.
المفاهيم : ISMS، الملحق A · الأدلّة
التحدّي : أعطِ فجوة الامتثال الأكثر حرجًا.
المتوقّع : يُعتمد إذا رُبطت الضوابط بـ ISO وكانت الفجوة الأكثر حرجًا صحيحة.
الهدف : تخريط المتطلّبات الإقليمية.
المفاهيم : NIS2 · ECC/SAMA/ANCS/NCA
التحدّي : أعطِ الالتزام التنظيمي الأكثر هيكلةً.
المتوقّع : يُعتمد إذا رُبطت الالتزامات وحُدّد الأكثر هيكلةً بشكل صحيح.
القواعد غير المكتوبة لا تُطبَّق، والمكتوبة غير المُتحقَّق منها بالكاد أفضل. تجعلك هذه اللبنة تنشر مدوّنة وثائقية متماسكة — سياسات وإجراءات مقترنة بمؤشّرات قابلة للقياس — ثمّ تقود تحسينها المستمرّ بالتدقيق الداخلي (نهج PDCA: خطّط، نفّذ، تحقّق، عدّل). تكتب سياسةً مزوّدة بمؤشّرها وتبني خطّة تدقيق تحدّد عدم مطابقة كبيرة. تمنح الأمن الهيكل الوثائقي والضبط اللذين بدونهما يبقى تصريحياً.
الهدف : نشر الإطار الوثائقي.
المفاهيم : سياسات/إجراءات · الاتّساق
التحدّي : قدّم السياسة مع مؤشّرها القابل للقياس.
المتوقّع : يُعتمد إذا حُرّرت السياسة بمؤشّر قابل للقياس.
الهدف : قيادة التحسين المستمرّ.
المفاهيم : تدقيق داخلي · PDCA
التحدّي : أعطِ خطّة التدقيق وعدم المطابقة الكبرى.
المتوقّع : يُعتمد إذا عُرّفت خطّة التدقيق وحُدّدت عدم المطابقة الكبرى.
التقنية لا تحمي إلّا جزءاً من الخطر: الآخر يتوقّف على السلوك البشري وانتباه الإدارة. تجعلك هذه اللبنة تبني ثقافة أمن (توعية مقيسة بمؤشّرات بشرية) ثمّ تقود وتُبلِّغ على أعلى مستوى، مترجِماً الأمن إلى لغة اللجنة التنفيذية (COMEX). تصمّم حملة توعية بمؤشّراتها وتختار المؤشّرات الثلاثة الأكثر وجاهةً للقادة. تربط الأمن السيبراني بالرافعتين اللتين تقرّران نجاحه: الأشخاص والحوكمة.
الهدف : بناء ثقافة أمن.
المفاهيم : التوعية · مقاييس بشرية
التحدّي : قدّم الحملة مع مؤشّراتها.
المتوقّع : يُعتمد إذا صُمّمت حملة التوعية مع مؤشّراتها.
الهدف : القيادة والتقرير للقادة.
المفاهيم : مؤشّرات استراتيجية · تقرير للإدارة العليا
التحدّي : أعطِ KPI الثلاثة الأكثر وجاهةً للإدارة العليا.
المتوقّع : يُعتمد إذا اختير KPI الثلاثة الأكثر وجاهةً للإدارة العليا بشكل صحيح.
