Secur-SA — كيف تعمل المنصة (الدليل التفصيلي)

1 الصورة الكبيرة — كيف تتدفّق الحماية

تعمل Secur-SA على مبدأ بسيط: وكيلٌ خفيف على كل جهاز يراقب باستمرار، ومحرّكٌ مركزي يحلّل ويقرّر، واستجابةٌ آلية تتصدّى خلال ثوانٍ، ولوحةٌ مركزية تجمع كل ذلك في شاشةٍ واحدة. هذه هي طبقات المنصّة الخمس:

💻

الأجهزة والوكلاء

جمع البيانات لحظياً

←

📡

الجمع والمراقبة

سجلّات وسلوك وشبكة

←

🧠

محرّك الكشف

قواعد + سلوك + استخبارات

←

⚡

الاستجابة الآلية

عزل ومعالجة وإعادة اتصال

←

🖥️

اللوحة المركزية

رؤية وتقارير وتحكّم

تُبنى المنصّة على نواةٍ مفتوحة المصدر مُثبتة عالمياً لمراقبة الأمن (Wazuh) كأساسٍ للجمع والكشف، وتُضيف Secur-SA فوقها طبقات الاستجابة الآلية، وأتمتة الامتثال، والجدار الناري الذكي، والكشف بالتعلّم الآلي، واللوحة العربية متعددة المنشآت. هذا يمنحك متانة تقنية مُجرّبة مع تجربةٍ مبسّطة مصمّمة للمنشأة الصغيرة.

2 الوكيل الذكي على الأجهزة

الوكيل (Agent) برنامجٌ خفيف يُثبَّت على كل جهازٍ تريد حمايته (أجهزة Windows وLinux والخوادم)، ويعمل بهدوءٍ في الخلفية بأقل أثرٍ على الأداء. مهمّته أن يكون «عيون» المنصّة داخل الجهاز، فيراقب باستمرار:

سلوك العمليات: ما البرامج التي تعمل، وماذا تفعل بالملفات (خاصةً التشفير الجماعي المفاجئ — البصمة المميِّزة لبرمجيات الفدية).
ملفّات الطُعم (Canary): ملفّاتٌ شَرَكية تُزرع في أماكن استراتيجية؛ أي محاولة تعديلٍ أو تشفيرٍ لها = إنذارٌ مبكّر بهجومٍ مؤكّد تقريباً.
تغيّرات الملفّات والنظام: الإضافات والحذف والتعديلات الحسّاسة.
محاولات الدخول: الدخول الناجح والفاشل والمشبوه.
اتصالات الشبكة: إلى أين يتّصل الجهاز، وهل توجد وجهاتٌ ضارّة.

يرسل الوكيل ما يرصده عبر قناةٍ مشفّرة وآمنة إلى المحرّك المركزي. والمهم: تبقى هذه القناة مفتوحةً حتى عند عزل الجهاز — لتستمر الإدارة والمعالجة عن بُعد.

3 محرّك الكشف الثلاثي — كيف يُعرَف التهديد

لا يعتمد الكشف على طريقةٍ واحدة، بل على ثلاث طبقاتٍ متكاملة تتقاطع نتائجها لرفع الدقّة وتقليل الإنذارات الكاذبة:

الطبقة 1 القواعد والتواقيع (Rules)

أنماطٌ معروفة للهجمات تُكتشَف فوراً: التشفير الجماعي للملفات، التلاعب بملفّات الطُعم، تصعيد الصلاحيات، تنفيذ أوامر مشبوهة. سريعة وحاسمة لما هو معروف.

الطبقة 2 التحليل السلوكي والتعلّم الآلي (ML)

يبني النموذج «خطّ أساسٍ» للسلوك الطبيعي لكل بيئة، ثم يرصد الانحراف عنه (شذوذ في حجم الوصول للملفّات، توقيتٍ غير معتاد، سلوكٍ جديد). هذه الطبقة تكتشف التهديدات الجديدة وغير المعروفة التي تفوت القواعد، وتُعطي «درجة شذوذٍ» بنسبة ثقة.

الطبقة 3 استخبارات التهديد (Threat Intelligence)

تُحدَّث المنصّة تلقائياً بأحدث «مؤشّرات الاختراق» (عناوين وخوادم وملفّات ضارّة معروفة) من مصادر عالمية مثل abuse.ch / ThreatFox، فتتعرّف على التهديد قبل أن يضرب.

عند تقاطع إشارات الطبقات الثلاث (مثلاً: تشفيرٌ جماعي + شذوذٌ سلوكي مرتفع + اتصالٌ بوجهةٍ ضارّة) ترتفع درجة الثقة، فيُصنَّف الحدث تهديداً وتُطلَق الاستجابة الآلية فوراً.

4 الاستجابة الآلية — دورة الحياة الكاملة

هنا يكمن الفارق: لا تكتفي المنصّة بالتنبيه، بل تتصرّف تلقائياً. وعند انتهاء الخطر تُعيد الجهاز للخدمة بنفسها — دون تدخّلٍ يدوي ودون أن يبقى معزولاً بلا داعٍ:

🛡️

محمي

مراقبة مستمرة

←

🚨

كشف

رصد التهديد

←

🔒

عزل تلقائي

فصل عن الشبكة خلال ثوانٍ

←

🔧

معالجة

فحص ← تنظيف ← تحقّق

←

✅

إعادة اتصال

عودة آلية للخدمة

لماذا العزل؟ لإيقاف انتشار الفدية لبقية الأجهزة فوراً (الفدية تنتشر أفقياً عبر الشبكة). يُفصَل الجهاز المصاب عن الشبكة مع إبقاء قناة الإدارة فقط، فيُحتوى الضرر في ثوانٍ.

لماذا إعادة الاتصال الآلية؟ لأن إبقاء جهازٍ معزولاً بعد زوال الخطر يُعطّل العمل بلا داعٍ. لذا بعد اكتمال المعالجة (فحص الجهاز، إزالة التهديد، والتحقّق من سلامته)، تُعيده المنصّة تلقائياً إلى حالة «محمي» وتسجّل ذلك كحدثٍ موثّق. هكذا توازن المنصّة بين الأمان واستمرارية العمل.

5 طبقات الدفاع الإضافية

الجدار الناري الذكي

يحظر تلقائياً الاتصالات الضارّة، ومحاولات مسح المنافذ، والعناوين المُدرَجة في قوائم التهديد — ويتكيّف مع أحدث المؤشّرات. يقلّل سطح الهجوم قبل أن يصل للأجهزة.

التشفير (حماية البيانات)

يحمي بياناتك في حالتين: أثناء التخزين بتشفير AES-256 (فحتى لو سُرق القرص، البيانات غير مقروءة)، وأثناء النقل عبر بروتوكول TLS 1.3. مع إدارةٍ آمنة للمفاتيح وتدويرها دورياً.

الهوية والمصادقة (IAM/MFA)

المصادقة متعددة العوامل (MFA) تمنع الدخول حتى لو سُرقت كلمة المرور، والتحكّم بالصلاحيات يضمن مبدأ «أقل صلاحية ممكنة» — كلٌّ يصل لما يخصّه فقط.

6 اللوحة المركزية متعددة المنشآت

صُمّمت اللوحة لتدير عدة منشآت بتخصصاتٍ مختلفة (صحية، تعليمية، مالية، صناعية) من مكانٍ واحد، مع عزلٍ كامل لبيانات كل منشأة عن الأخرى (Multi-tenant). توفّر:

نظرة عامة تجميعية: إجمالي الأجهزة، التهديدات النشطة، ومتوسط الامتثال عبر كل المنشآت.
تنقّلٌ سلس بين المنشآت، ولكلٍّ لوحتها التفصيلية وحالتها وامتثالها.
تحديثٌ لحظي بالثواني: ساعةٌ حيّة، ومخطّط حركة بياناتٍ يرتفع عند الهجوم، وعدّادات حظرٍ آنية — لأن سرعة الاستجابة بالثواني هي ما يوقف الفدية قبل انتشارها.
تقاريرُ ورؤيةٌ موحّدة لكل ما يجري.

7 رحلة هجوم فدية — مثالٌ من البداية للنهاية

لنرَ كيف تتعاون كل المكوّنات في حادثةٍ واقعية على «جهاز المحاسبة» مثلاً:

الثانية 0: برمجية فدية تبدأ تشفير الملفّات على الجهاز، وتمسّ أحد ملفّات الطُعم.
خلال لحظات: الوكيل يرصد التشفير الجماعي + التلاعب بالطُعم، ويرسل الإشارة للمحرّك.
المحرّك يؤكّد: القواعد تطابق نمط الفدية، والتحليل السلوكي يرفع درجة الشذوذ، فترتفع الثقة إلى مستوى تهديد.
≈ 3 ثوانٍ: يُعزَل الجهاز تلقائياً عن الشبكة (T1486)، ويظهر تنبيهٌ فوري على اللوحة، ويُحظَر أي اتصالٍ خارجي مشبوه.
المعالجة: تبدأ آلياً (فحص ← تنظيف ← تحقّق) مع شريط تقدّم.
عند الاكتمال: يعود الجهاز تلقائياً إلى «محمي»، وتُسجَّل الحادثة كاملةً كدليلٍ موثّق في التقرير.

النتيجة: احتواءٌ خلال ثوانٍ بدل ساعات، ومنع الانتشار، وعودةٌ سريعة للعمل — كل ذلك دون تدخّلٍ بشري، مع توثيقٍ كاملٍ للحادثة.

8 آلية توافق الضوابط والامتثال

الإطار التنظيمي

في السعودية، تُلزِم الهيئة الوطنية للأمن السيبراني (NCA) المنشآت بضوابط أساسية — يضمّ الإطار ذو الصلة (NCNICC‑1:2025) نحو 65 ضابطاً أساسياً موزّعة على محاور للحوكمة والدفاع والصمود ونحوها (وتُراجَع تفاصيلها رسمياً من الهيئة). كما يفرض نظام حماية البيانات الشخصية (PDPL) من «سدايا» متطلباتٍ لحماية بيانات الأفراد. الالتزام إلزاميٌّ ومتدرّج بحسب حجم المنشأة وقطاعها.

كيف تحوّل Secur-SA الإلزام إلى تطبيقٍ تلقائي

تنقسم الضوابط إلى نوعين: ضوابط تقنية (تُطبَّق ببرمجيات وإعدادات) وضوابط تنظيمية/إدارية (سياسات وحوكمة وتدريب). دور المنصّة هو أتمتة الجزء التقني وإنتاج الأدلّة التي يطلبها المُدقّق. إليك خريطة التغطية:

الضابط / المجال	كيف تغطّيه المنصّة	الدليل المُنتَج
المصادقة متعددة العوامل	وحدة MFA وإلزامها على الحسابات	سجلّات الدخول والمصادقة
إدارة الصلاحيات	تحكّمٌ بالأدوار ومبدأ أقل صلاحية	مصفوفة الصلاحيات
التشفير	AES-256 للتخزين وTLS 1.3 للنقل	تقرير حالة التشفير
تسجيل ومراقبة الأحداث	الوكلاء + المحرّك المركزي يجمعان السجلّات	سجلّ الأحداث المركزي
حماية الأجهزة الطرفية (EDR)	الوكيل يراقب ويكتشف على كل جهاز	حالة حماية الأجهزة
إدارة الحوادث والاستجابة	العزل والمعالجة وإعادة الاتصال الآلية	سجلّ الحوادث وزمن الاستجابة
أمن الشبكة	الجدار الناري الذكي وحظر التهديدات	سجلّ الاتصالات المحظورة
إدارة الثغرات	فحصٌ دوري وتنبيهٌ للتصحيحات	تقرير الثغرات والتصحيح
النسخ الاحتياطي والصمود	متابعة حالة النسخ المشفّرة	تقرير حالة النسخ الاحتياطي
حماية البيانات الشخصية (PDPL)	التشفير + الصلاحيات + سجلّ الوصول	أدلّة الحماية والوصول

محرّك «الامتثال كخدمة» — كيف يعمل باستمرار

لا يقيس الامتثال مرّةً واحدة، بل عبر حلقةٍ مستمرة تبقي منشأتك جاهزةً للتدقيق دائماً:

📋

تقييم

قياس الوضع مقابل الضوابط

←

⚙️

تطبيق

تفعيل الضوابط التقنية

←

📡

مراقبة

متابعة مستمرة

←

🗂️

أدلّة

جمع آلي للإثباتات

←

📄

تقرير

جاهز للمُدقّق

←

📈

تحسين

توصيات لسدّ الفجوات

«نسبة تغطية الضوابط» التي تراها في اللوحة (مثل 82%) هي مقياسٌ حيٌّ لعدد الضوابط التقنية المُغطّاة من الإجمالي، يرتفع كلّما طبّقت المنصّة ضابطاً وأنتجت دليله. والتقرير الدوري هو حصيلة الأدلّة + التوصيات التي تُقدّمها للمُدقّق وتسترشد بها للتحسين.

9 ما تغطّيه المنصّة وما لا تغطّيه — بوضوحٍ وصِدق

تغطّي المنصّة: الضوابط التقنية (المصادقة، التشفير، التسجيل، الكشف والاستجابة، أمن الشبكة، حماية الأجهزة) وتوليد الأدلّة الجاهزة للتدقيق تلقائياً واستمرارياً.

لا تغطّيها المنصّة وحدها (تحتاج عملاً بشرياً/تنظيمياً): الحوكمة والسياسات المكتوبة، تدريب الموظفين والتوعية، الإجراءات الإدارية، وبعض المتطلبات التي تستلزم قراراتٍ تنظيمية أو طرفاً ثالثاً.

الخلاصة الصادقة: Secur-SA تؤتمت الجزء التقني وتُنتج الأدلّة وتُقصّر مسار الامتثال بشكلٍ كبير، لكنها ليست شهادة امتثالٍ كامل. الامتثال الكامل يتطلّب أيضاً حوكمةً وسياساتٍ وتدقيقاً مستقلاً. هذا الوضوح مقصود — وهو ما يبني الثقة مع عملائك والمُدقّقين.

وبالمثل في الحماية: المنصّة تكتشف وتعزل وتحتوي التهديدات بسرعة، لكن لا يوجد نظامٌ يَعِد بمنع 100% من الهجمات؛ القيمة الحقيقية في تقليص الضرر وزمن التعافي إلى الحدّ الأدنى.