الفشل لا يبدأ من المنهج… بل من الأرضية

كثير من برامج الأمن تفشل لأن المؤسسة تبدأ من النهاية: تبدأ بالأدوات ثم تحاول لاحقًا تفسير النتائج. لكن الأصح أن تبدأ بالأساس: معرفة الأصول وسياقها وحدودها.

• غياب الجرد: لا يمكن تقييم ما لا تعرف أنه موجود.
• غياب سياق البيانات: نفس المشكلة التقنية قد تكون كارثة على نظام يمس بيانات حساسة، وتفصيلًا ثانويًا على نظام آخر.
• غياب الحدود: بدون تعريف Boundary لا تعرف أين نقاط الدخول والخروج ولا أين تقع المسؤولية.
• غياب المالك: أصل بلا Owner يعني قرارًا بلا تنفيذ.

2.1 ما هو الأصل (Asset)؟

الأصل هو أي شيء له قيمة ويحتاج حماية، ولا يقتصر على الأجهزة فقط. في الواقع، بعض أخطر الأصول هي “هوية وصلاحيات ومفاتيح” أكثر من كونها خوادم.

• أصول تقنية: أجهزة، خوادم، قواعد بيانات، تطبيقات، حاويات، موارد سحابة.
• أصول هوية: حسابات، أدوار سحابية (IAM)، حسابات مميزة.
• أصول وصول: مفاتيح API، أسرار (Secrets)، شهادات TLS.
• أصول تعاقدية: خدمات SaaS وموردون وتكاملات طرف ثالث.

2.2 ما هو Data Context؟

هو معرفة ما البيانات التي يلمسها هذا الأصل، ومن يملك قرارها، وكيف تتحرك، وما متطلبات حمايتها واحتفاظها. الأصل ليس “مهمًا” بذاته… بل بما يلمسه من بيانات وبما يملكه من صلاحيات.

• نوع البيانات: شخصية (PII)، مالية، صحية، أسرار تجارية، مفاتيح تشفير…
• تصنيف البيانات: عام/داخلي/سري/مقيّد.
• مالك البيانات: Data Owner (قد يختلف عن مالك النظام).
• مسار البيانات: مصدر ← معالجة ← تخزين ← إرسال/تكامل ← أرشفة/حذف.

2.3 ما معنى حدود النظام (System Boundary)؟

حدّ منطقي/تشغيلي يحدد ما الداخل الذي تتحكم به المؤسسة، وما الخارج الذي تعتمد عليه، وأين نقاط الدخول والخروج، وأين تنتهي المسؤولية وتبدأ مسؤولية طرف آخر.

3.1 أربع درجات عملية — بدون تنظير

• المستوى (0): جرد اسمي — قائمة أسماء بلا مالك، بلا تحديث، بلا سياق بيانات، بلا علاقات.
• المستوى (1): MVI — جرد حد أدنى للأصول الحرجة خلال أسابيع قليلة.
• المستوى (2): جرد تشغيلي حي — الجرد جزء من التشغيل والتغيير، لا وثيقة جامدة.
• المستوى (3): CMDB — علاقات اعتماد بين خدمة/تطبيق/قاعدة بيانات/خادم/شبكة/هوية.
• المستوى (4): Attack Surface Map — تحويل الجرد إلى خريطة انكشاف وأولوية قرار.

4.1 “حقول لا يمكن التنازل عنها” (Minimum Fields)

إذا لم تستطع المؤسسة تسجيل هذه الحقول، فإن الجرد لن ينتج قرارًا ولن يصمد أمام التدقيق أو التشغيل.

• هوية الأصل: Asset ID / الاسم / النوع / البيئة (Prod/Test/Dev).
• الملكية: Business Owner + Technical Owner.
• المكان: On-prem / Cloud / SaaS + منطقة/شبكة.
• الانكشاف: Internet-facing? + منافذ/واجهات/نقاط دخول.
• الحالة التقنية: إصدار/نظام/حالة تحديث (Patch Level) + نهاية دعم (EOL/EOS).
• الأهمية: Criticality وفق منظور الأعمال، لا وفق رأي تقني فقط.
• الاعتماديات: يعتمد على ماذا؟ ومن يعتمد عليه؟

5.1 تصنيف البيانات: طبقات واضحة يفهمها التقني والإدارة

تصنيف البيانات ليس تمرينًا شكليًا؛ هو مفتاح ترتيب الأولويات. نفس الأصل يتغير تقييمه جذريًا عندما نعرف نوع البيانات التي يلمسها.

• Public: بيانات للنشر العام.
• Internal: بيانات داخل المؤسسة.
• Confidential: بيانات حساسة تتطلب قيود وصول وتشفير ومراقبة.
• Restricted: بيانات عالية الحساسية (هويات، صحة، مفاتيح، أسرار تجارية…)

5.2 ربط الأصل بالبيانات: Tagging ينتج قرارًا

بدل “هذا سيرفر”، تصبح الجملة تشغيلية: “هذا الأصل يلمس بيانات PII ويحتفظ بها 5 سنوات، ومالك البيانات هو قسم كذا.”

• Data Types: PII / مالية / صحية / أسرار / مفاتيح وصول.
• Data Owner: من يملك قرار الوصول والمشاركة والاستثناءات؟
• Retention: ما مدة الاحتفاظ ولماذا؟
• Data Flow: أين تدخل البيانات وأين تُخزَّن وأين تُرسل؟

5.3 خريطة حركة البيانات (Data Flow) كاختصار للوقت والجدل

حتى لو بخطوط بسيطة، فإن رسم: إرسال/تكامل ← تخزين ← معالجة ← مصدر يحوّل النقاش من “آراء” إلى “نقاط” واضحة تُدار.

6.1 بطاقة حدود نظام (صفحة واحدة) تغيّر طريقة العمل

كثير من المؤسسات تُسمّي “النظام” كعنوان، لكنها لا تعرف حدوده عمليًا. بطاقة واحدة لكل خدمة رئيسية تمنع الفوضى.

• اسم الخدمة/النظام + هدفه التجاري.
• مالك الخدمة + مالك التشغيل.
• داخل النطاق (In Scope) وما خارج النطاق.
• نقاط الدخول (Ingress) ونقاط الخروج (Egress).
• تكاملات الطرف الثالث والعقود المؤثرة.
• البيانات المصنفة التي يلمسها النظام ومساراتها.

7.1 تعريف بسيط لسطح الهجوم

سطح الهجوم هو كل نقطة يمكن استغلالها أو إساءة استخدامها: واجهة مكشوفة، حساب مميز، مفتاح وصول، تكامل طرف ثالث، إعداد سحابي خاطئ، منفذ إدارة… وما لا تراه في الجرد لن تراه في الدفاع.

7.2 “وسوم القرار” التي تحوّل الجدول إلى خريطة

لكي يتحول الجرد إلى خريطة، ضع لكل أصل مجموعة وسوم بسيطة لكنها حاسمة:

• وسم الانكشاف (Exposure): خارجي/شركاء/داخلي فقط.
• وسم البيانات (Data): تصنيف + نوع بيانات (PII/مالية/صحية/أسرار).
• وسم الصلاحيات (Privilege): هل يمتلك صلاحيات واسعة؟ هل يحمل أسرار وصول؟
• وسم التحديث (Freshness): محدث/متأخر/نهاية دعم.
• وسم الاعتماديات (Dependencies): نقطة فشل واحدة؟ يعتمد عليه نظام حرج؟

7.3 كيف تخرج “الأولوية” تلقائيًا؟ (منطق بسيط)

عندما تتجمع هذه الوسوم، يصبح ترتيب الأولويات منطقيًا بدل انطباعي:

8.1 لماذا الجرد اليدوي وحده يفشل؟

لأن الواقع يتغير أسرع من أي ملف: أجهزة تُضاف، موارد سحابية تُنشأ، خدمات SaaS تُشترى بلا علم الأمن، مفاتيح تُنشأ داخل مشاريع… الجرد إن لم يكن “عملية” سيتحول إلى “متحف”.

8.2 مصادر عملية لبناء Single Source of Truth

• هوية وصلاحيات: AD / Azure AD / IAM (الحسابات والأدوار والمميز).
• الشبكة والنطاق: اكتشاف DNS، المسح الداخلي، مناطق الشبكة.
• السحابة: مخزون الموارد AWS/Azure/GCP (حسابات، تخزين، شبكات، أدوار).
• الأجهزة: MDM/EDR (حالة الأجهزة، الامتثال، التحديث).
• التشغيل والتغيير: ITSM/Change (أي تغيير يجب أن يحدّث الجرد).
• DevOps: مستودعات، أسرار، CI/CD (مصادر “أصول غير مرئية” غالبًا).

9.1 مؤشرات قابلة للتطبيق فورًا

• Inventory Coverage %: نسبة الأصول المكتشفة والمقيدة ضمن الجرد.
• Owner Assigned %: نسبة الأصول التي لها Business Owner وTechnical Owner.
• External Attack Surface Count: عدد الأصول المكشوفة للإنترنت + اتجاهه.
• Patch Compliance (Critical): التزام التحديث للأصول الحرجة.
• Data-tag Coverage %: نسبة الأصول الموسومة بسياق بيانات وتصنيف واضح.
• Stale Records %: سجلات لم تُحدّث خلال 30/60/90 يوم.

10.1 أخطاء تتكرر في أغلب المؤسسات

• حصر الجرد بالأجهزة فقط: وتجاهل الحسابات المميزة، المفاتيح، الشهادات، SaaS، وShadow IT.
• CMDB بلا تغيير: تصبح قاعدة بيانات “غير صحيحة” أكثر من كونها مفيدة.
• أهمية الأصل تُحدَّد من IT فقط: بينما القيمة تُعرَّف غالبًا من الأعمال.
• السعي للكمال مبكرًا: يقتل المشروع. ابدأ بـ MVI ثم توسع.
• غياب مالك البيانات: يجعل الوصول والمشاركة والاستثناءات فوضى لا تُدار.