قواعد الاشتباك: اختبار الاختراق وتقييم الأمن
متخصص أمن المعلومات
نظرة عامة
تحدد هذه الوثيقة قواعد الاشتباك (Rules of Engagement) لإجراء اختبارات الاختراق وتقييم أمن أنظمة المعلومات. تُرسي الوثيقة إطار التعاون بين العميل وفريق الاختبار، مما يضمن سلامة العملية وقانونيتها وفعاليتها.
أهداف الوثيقة
المهمة الأساسية — ضمان اختبار مُتحكَّم به ومُفوَّض بأدنى المخاطر على الأنظمة الإنتاجية
تضمن قواعد الاشتباك:
- أمان الأنظمة الإنتاجية
- الامتثال للمتطلبات القانونية
- التواصل الشفاف بين جميع الأطراف
- اختبار مُتحكَّم به ومُفوَّض
معلومات الاتصال
منظمة العميل
| الدور | بيانات الاتصال |
|---|---|
| جهة الاتصال الرئيسية — المنصب | _________________________ |
| جهة الاتصال الرئيسية — الهاتف المحمول | _________________________ |
| جهة الاتصال الرئيسية — البريد الإلكتروني | _________________________ |
| جهة الاتصال الاحتياطية — المنصب | _________________________ |
| جهة الاتصال الاحتياطية — الهاتف المحمول | _________________________ |
| جهة الاتصال الاحتياطية — البريد الإلكتروني | _________________________ |
فريق الاختبار
| الدور | بيانات الاتصال |
|---|---|
| قائد الفريق — الهاتف المحمول | _________________________ |
| قائد الفريق — البريد الإلكتروني | _________________________ |
| جهة الاتصال الاحتياطية — الهاتف المحمول | _________________________ |
| جهة الاتصال الاحتياطية — البريد الإلكتروني | _________________________ |
| الاتصال الطارئ 24/7 — الهاتف المحمول | _________________________ |
| الاتصال الطارئ 24/7 — البريد الإلكتروني | _________________________ |
نطاق الاختبار
الأصول المدرجة في الاختبار
البنية التحتية للشبكة:
- النطاقات: _________________________________
- النطاقات الفرعية: _____________________________
- نطاقات IP: __________________________
- الموارد السحابية: ______________________
التطبيقات والخدمات:
- تطبيقات الويب: ________________________
- واجهات API: ________________________
- الأنظمة الداخلية: ____________________
الأصول المستبعدة من الاختبار
⚠️ قيود حرجة:
- الأنظمة التي لا تمتلكها المنظمة
- الخدمات الخارجية دون إذن كتابي
- قواعد البيانات الإنتاجية (ما لم يُسمح صراحةً)
- الهندسة الاجتماعية (ما لم تُوافق عليها)
- أنظمة البنية التحتية الحيوية
قواعد إجراء الاختبار
الأنشطة المسموح بها
✅ أساليب الاختبار المُفوَّضة:
- فحص الثغرات
- اختبار الاختراق اليدوي
- اختبار تطبيقات الويب
- اختبار واجهات API
- تحليل تهيئة الخدمات السحابية
- اختبار أمن الشبكة
- فحص سياسات كلمات المرور
الأنشطة المحظورة
❌ الإجراءات المحظورة صراحةً:
- هجمات الحرمان من الخدمة (DoS/DDoS)
- الاختراق الجسدي
- الهندسة الاجتماعية بدون إذن صريح
- هجمات القوة الغاشمة دون تحديد السرعة
- الإجراءات التي قد تتسبب في تلف البيانات
- الوصول غير المُصرَّح به للبيانات الشخصية
قيود الحمل
القيود التقنية للأنظمة الإنتاجية
⚡ حدود الحمل الحرجة:
| المعامل | القيد | ملاحظة |
|---|---|---|
| الحد الأقصى للطلبات في الثانية | _________________________ | لمنع الإفراط في التحميل |
| الاتصالات المتزامنة | _________________________ | حد الاتصالات الموازية |
| حجم الحمولة | _________________________ | الحجم الأقصى للبيانات |
| مهلة الاتصال | _________________________ | وقت انتظار الاستجابة |
القيود الزمنية
🕐 جدول الاختبار المكثف:
- عمليات المسح الجماعية: في أوقات غير العمل فقط
- اختبار Fuzzing: _________________________
- اختبار التحمل: بإشعار مسبق فقط
- الماسحات الآلية: تحديد السرعة خلال ساعات العمل
مراقبة الحمل
📊 التحكم في التأثير على الأنظمة:
- مراقبة CPU والذاكرة للأنظمة المستهدفة
- تتبع أوقات استجابة التطبيقات
- مراقبة عرض نطاق الشبكة
- الإيقاف الفوري عند تجاوز الحدود
الأساس القانوني
الإطار القانوني لإجراء الاختبار
⚖️ المبرر القانوني:
تُنفَّذ جميع إجراءات اختبار الاختراق حصراً بناءً على إذن كتابي من ممثل مُفوَّض من منظمة العميل.
الأسس الوثائقية:
- العقد الموقَّع لتقديم الخدمات
- قواعد الاشتباك الحالية
- التوصيف التقني لنطاق الاختبار
- اتفاقيات إضافية (عند الضرورة)
تحديد المسؤولية
🛡️ إعفاء من المسؤولية — يُعفى فريق الاختبار من المسؤولية عن:
- عدم توفر الأنظمة مؤقتاً نتيجة الاختبار المُفوَّض
- اكتشاف ثغرات كانت موجودة قبل بدء الاختبار
- الإجراءات المنفَّذة ضمن نطاق الاختبار المتفق عليه
- الأضرار غير المباشرة المرتبطة بالكشف عن مشاكل أمنية
الامتثال للتشريعات
📋 الامتثال التنظيمي:
- الامتثال لمتطلبات تشريعات البيانات الشخصية
- تطبيق معايير الأمن الخاصة بالقطاع
- الاتساق مع الممارسات الدولية لاختبار الاختراق
- توثيق جميع الإجراءات للتدقيق
مصفوفة أهمية الثغرات
🎯 نظام تقييم موحَّد — التصنيف حسب مستويات المخاطر:
| المستوى | الوصف | أمثلة على الثغرات | وقت المعالجة |
|---|---|---|---|
| P0 - حرج | تهديد أمني فوري | RCE, SQL Injection, Authentication Bypass | 24–48 ساعة |
| P1 - عالٍ | انتهاك أمني خطير | XSS, LFI, Privilege Escalation | 1–2 أسابيع |
| P2 - متوسط | مخاطرة معتدلة | Security Misconfiguration, CSRF | شهر واحد |
| P3 - منخفض | مخاطرة دنيا | Information Disclosure, Weak Ciphers | 3 أشهر |
| P4 - معلوماتي | توصيات للتحسين | Best Practices, Hardening | حسب الإمكانية |
معايير التقييم
📈 عوامل تحديد الأهمية:
- التأثير: الضرر المحتمل من الاستغلال
- الاحتمالية: سهولة استغلال الثغرة
- النطاق: عدد الأنظمة المتأثرة
- إمكانية الوصول: متطلبات الوصول للاستغلال
إجراءات التصعيد
⚡ الاستجابة الطارئة للنتائج الحرجة:
- P0–P1: إشعار فوري عبر الهاتف + البريد الإلكتروني
- P2: إشعار خلال يوم عمل
- P3–P4: إدراج في التقارير الدورية
قائمة الأدوات المستخدمة
🔧 أدوات الاختبار المُفوَّضة — مجموعة الأدوات الأساسية:
| الفئة | الأداة | الغرض | الإصدار |
|---|---|---|---|
| ماسحات الثغرات | Nessus | الفحص الآلي | _________ |
| OpenVAS | فحص الشبكة والتطبيقات | _________ | |
| Qualys VMDR | الفحص السحابي | _________ | |
| اختبار الويب | Burp Suite Professional | اختبار تطبيقات الويب | _________ |
| OWASP ZAP | تحليل أمن تطبيقات الويب | _________ | |
| Nikto | فحص خوادم الويب | _________ | |
| اختبار الشبكة | Nmap | فحص المنافذ والخدمات | _________ |
| Masscan | الفحص السريع | _________ | |
| الاستغلال | Metasploit Framework | اختبار الاستغلال | _________ |
| Cobalt Strike | محاكاة الهجمات (بالتنسيق) | _________ |
🛠️ أدوات إضافية — برمجيات متخصصة (بالتنسيق):
- الهندسة الاجتماعية: SET, Gophish (بإذن صريح فقط)
- الشبكات اللاسلكية: Aircrack-ng, Kismet
- تطبيقات الجوال: MobSF, Frida
- أمن السحابة: ScoutSuite, Prowler
⚠️ قيود الأدوات — الأدوات المحظورة أو المقيَّدة:
- أدوات هجمات DDoS
- الماسحات غير المُفوَّضة بإعدادات عدوانية
- أدوات كسر كلمات المرور دون قيود سرعة
- أي برمجيات غير منسَّق عليها مع العميل
تعريف فريق الاختبار
🔍 القوائم البيضاء لأنظمة الحماية — حرج لمنع حجب الاختبار المُصرَّح به:
| معامل التعريف | القيمة | الغرض |
|---|---|---|
| عناوين IP المصدر | _________________________ | IP ثابتة للإضافة إلى القوائم البيضاء لـ WAF/IPS |
| نطاقات الشبكة الفرعية | _________________________ | شبكات الفريق الإضافية |
| سلاسل User-Agent | _________________________ | معرّفات خاصة لماسحات الويب |
| مفاتيح SSH | _________________________ | المفاتيح العامة للوصول المُفوَّض |
🏷️ معرّفات خاصة — علامات للتسجيل والمراقبة:
- بادئة طلبات الاختبار: _________________________
- رؤوس HTTP خاصة: _________________________
- معرّفات الجلسات: _________________________
- علامات في الحمولة: _________________________
📞 التنسيق مع الفريق الأزرق — التعاون مع فريق الدفاع:
- إشعار مسبق ببدء الاختبار
- قائمة جهات الاتصال في مركز عمليات الأمن (SOC)
- إجراء تأكيد شرعية النشاط
- بروتوكول الإيقاف الطارئ للاختبار
تعريف الاختبارات الخطرة
⚠️ تصنيف العمليات المحفوفة بالمخاطر — اختبارات عالية المخاطر تستلزم اهتماماً خاصاً:
| فئة الاختبار | الوصف | نافذة التنفيذ | تدابير إضافية |
|---|---|---|---|
| هجمات القوة الغاشمة | تخمين كلمات المرور وأرقام PIN | أوقات غير العمل فقط | تحديد السرعة، مراقبة الإغلاقات |
| Fuzzing التطبيقات | إرسال بيانات غير صحيحة | _________________________ | مراقبة استقرار النظام |
| استغلال الثغرات | تنفيذ إثبات المفهوم | بالتنسيق | إشعار فوري عند النجاح |
| اختبار DoS | اختبار مقاومة التحميل | في البيئة التجريبية فقط | تنسيق مسبق |
🕐 نوافذ الصيانة للاختبارات الحرجة — فترات زمنية خاصة:
- النافذة الرئيسية للاختبارات عالية المخاطر: _________________________
- النافذة الاحتياطية: _________________________
- النافذة الطارئة (بالتنسيق): _________________________
- الفترات المحظورة: _________________________
👥 الاختبار على جانب العميل — حماية المستخدمين النهائيين:
- محاكاة التصيد الاحتيالي: بموافقة كتابية من HR فقط
- اختبار المتصفحات: أجهزة اختبار معزولة
- الهندسة الاجتماعية: نطاق مقيَّد بصرامة
- حماية البيانات الشخصية: تجنب الوصول للمعلومات الشخصية
المنهجية التقنية
📊 المعايير والتصنيفات — المعايير الدولية المستخدمة:
| المعيار | الإصدار | التطبيق |
|---|---|---|
| CVSS | v3.1/4.0 | تقييم أهمية الثغرات |
| OWASP Top 10 | 2021 | تطبيقات الويب |
| NIST Cybersecurity Framework | v1.1 | المنهجية العامة |
| OSSTMM | v3 | منهجية الاختبار |
| PTES | v1.0 | معيار اختبار الاختراق |
🔍 نموذج الاختبار — مستوى الوصول للمعلومات:
- ☐ الصندوق الأسود — بدون معرفة مسبقة بالنظام
- ☐ الصندوق الرمادي — بوصول جزئي للوثائق/البنية
- ☐ الصندوق الأبيض — بوصول كامل للكود والبنية
النموذج المختار: _________________________
📈 تقييم CVSS — معايير تقييم الثغرات:
- المقاييس الأساسية: متجه الهجوم، التعقيد، الامتيازات، تفاعل المستخدم
- المقاييس الزمنية: توفر الاستغلال، مستوى الإصلاح
- المقاييس البيئية: التأثير على بيئة العميل المحددة
- القيم العتبية: P0 (9.0–10.0), P1 (7.0–8.9), P2 (4.0–6.9), P3 (0.1–3.9)
جوانب قانونية إضافية
🌍 النقل العابر للحدود — الامتثال الدولي:
عند العمل مع فرق اختبار دولية، يُضمن الامتثال لمتطلبات GDPR وCCPA وغيرها من أنظمة حماية البيانات المعمول بها.
- دولة مقر الفريق: _________________________
- التشريع المطبَّق: _________________________
- آليات نقل البيانات: Standard Contractual Clauses (SCC) / Adequacy Decision
- توطين البيانات: _________________________
الامتثال للمعايير الدولية
| المعيار / التنظيم | حالة الامتثال | ملاحظات |
|---|---|---|
| GDPR (EU) | _________________________ | حماية البيانات الشخصية |
| ISO 27001 | _________________________ | نظام إدارة أمن المعلومات |
| SOC 2 Type II | _________________________ | ضوابط الأمن |
| PCI DSS | _________________________ | أنظمة الدفع |
🔍 حق التدقيق — يحق للعميل:
- التحقق من إجراءات حذف البيانات بعد انتهاء المشروع
- طلب تأكيد إتلاف المعلومات السرية
- إجراء تدقيق على تدابير أمن فريق الاختبار
- الحصول على شهادات الامتثال للمعايير المنطبقة
عملية الاستجابة للحالات الحرجة
🚨 خوارزمية الاستجابة الطارئة — الإجراء خطوة بخطوة للحوادث الحرجة:
- اكتشاف الحالة الحرجة
- إيقاف الاختبار فوراً
- إشعار العميل (خلال 15 دقيقة)
- تقييم التأثير والضرر
- اتخاذ القرار بشأن الاستمرار
- توثيق الحادثة
- تحليل الأسباب واتخاذ الإجراءات التصحيحية
مصفوفة التصعيد
| المستوى | وقت الاستجابة | طريقة التواصل | المسؤول |
|---|---|---|---|
| P0 - حرج | 15 دقيقة | هاتف + SMS + بريد إلكتروني | _________________________ |
| P1 - عالٍ | 1 ساعة | هاتف + بريد إلكتروني | _________________________ |
| P2 - متوسط | 4 ساعات | بريد إلكتروني + Slack/Teams | _________________________ |
| P3 - منخفض | 24 ساعة | بريد إلكتروني | _________________________ |
🛑 معايير إيقاف الاختبار — المحفزات التلقائية لإيقاف العمل:
- عدم توفر الخدمات الحرجة لأكثر من 5 دقائق
- اكتشاف استغلال نشط للثغرات من قِبل أطراف ثالثة
- تجاوز حدود الحمل المتفق عليها
- طلب الإيقاف من أي ممثل مُفوَّض
التعامل مع الأدلة والتنظيف
🔒 بروتوكول التعامل مع الأدلة — متطلبات أمنية صارمة:
| المرحلة | المتطلبات | المسؤول |
|---|---|---|
| الجمع | التشفير، التجزئة، الطوابع الزمنية | المختبِر |
| التخزين | مستودع معزول، التحكم بالوصول | مدير المشروع |
| النقل | قنوات آمنة، تأكيد الاستلام | كلا الطرفين |
| الإتلاف | حذف لا رجعة فيه، شهادة الإتلاف | فريق الاختبار |
🧹 خطة التنظيف بعد الاختبار — الإجراءات الإلزامية:
حذف العناصر المُنشأة:
- حسابات المستخدمين التجريبية
- الملفات والسكريبتات المرفوعة
- الإعدادات المؤقتة
- قواعد البيانات والجداول التجريبية
استعادة الحالة الأصلية:
- التراجع عن تغييرات الإعدادات
- حذف الشهادات التجريبية
- تنظيف سجلات الاختبار (بالتنسيق)
- استعادة النسخ الاحتياطية (عند الضرورة)
📜 شهادة إتلاف البيانات — عند انتهاء المشروع يقدم فريق الاختبار:
- شهادة الحذف الكامل لا رجعة فيه لجميع بيانات العميل
- تقرير بإجراءات التنظيف المنفَّذة
- تأكيد الامتثال لمعايير إتلاف البيانات (DoD 5220.22-M أو ما يعادلها)
جدول الاختبار
| المعامل | القيمة |
|---|---|
| تاريخ البدء | _________________________ |
| تاريخ الانتهاء | _________________________ |
| نافذة العمل | _________________________ |
| المنطقة الزمنية | _________________________ |
| الإحاطة اليومية | _________________________ |
💡 بروتوكول التواصل — التحديثات المنتظمة:
- تقارير الحالة اليومية
- ملخصات التقدم الأسبوعية
- إشعارات طارئة عند النتائج الحرجة
التعامل مع الحوادث
إجراء الاستجابة للحوادث
في حالة عدم استقرار النظام أثناء الاختبار:
- إيقاف الاختبار فوراً من قِبل الفريق
- إشعار منظمة العميل
- اتخاذ قرار الاستمرار من قِبل جهة الاتصال الطارئة
- توثيق الحادثة
🔍 معايير إيقاف الاختبار — شروط إيقاف العمل:
- اكتشاف ثغرات حرجة
- عدم استقرار الأنظمة الإنتاجية
- تجاوز نطاق الاختبار المتفق عليه
- طلب من العميل
التعامل مع البيانات والسرية
السرية — الأولوية الأولى عند التعامل مع أي معلومات
التزامات فريق الاختبار:
- عدم حفظ البيانات الحساسة دون ضرورة
- تشفير جميع البيانات المجمَّعة
- حذف البيانات بعد تسليم التقرير
- تجنب الوصول للبيانات الشخصية
اتفاقية عدم الإفصاح — يلتزم جميع المشاركين في الاختبار بـ:
- الحفاظ على سرية المعلومات المُتلقَّاة
- عدم إفصاح النتائج لأطراف ثالثة
- استخدام البيانات لأغراض الاختبار حصراً
متطلبات إعداد التقارير
التقارير المرحلية:
- تحديثات يومية أو أسبوعية
- حالة تنفيذ المهام
- النتائج الأولية
التقارير النهائية:
- التقرير التقني — وصف مفصَّل للثغرات
- التقرير الإداري — توصيات للإدارة
- الملخص التنفيذي — نظرة عامة موجزة للمدراء
📊 صيغة عرض النتائج — الهيكل الموحَّد:
- تصنيف الثغرات حسب الأهمية
- توصيات المعالجة
- الأطر الزمنية للإصلاح
- مقاييس الأمن
قبول المخاطر
تأكيد منظمة العميل — تُقرّ منظمة العميل بفهمها أن:
- الاختبار قد يكشف عن ثغرات حرجة
- بعض الاختبارات قد تُسبب انخفاضاً مؤقتاً في الأداء
- جميع الإجراءات مُفوَّضة ومنسَّق عليها
- النتائج ستُستخدم لتحسين الأمن
قائمة التحقق من الجاهزية للاختبار
أنشطة التحضير
- تحديد نطاق الاختبار
- تعيين جهات الاتصال المسؤولة
- التنسيق على الجدول الزمني
- توقيع جميع الوثائق اللازمة
- إعداد قنوات التواصل
- تجهيز البيئة التجريبية (عند الضرورة)
- إحاطة فريق الاختبار
نقاط التحكم أثناء الاختبار
- اجتماعات الحالة اليومية
- مراقبة الأنظمة الإنتاجية
- توثيق جميع الإجراءات
- الالتزام بالأطر الزمنية
- التواصل المنتظم مع العميل
التوقيعات والموافقات
ممثل منظمة العميل
| الاسم والمنصب | _________________________ |
| التوقيع | _________________________ |
| التاريخ | _________________________ |
قائد فريق الاختبار
| الاسم والمنصب | _________________________ |
| التوقيع | _________________________ |
| التاريخ | _________________________ |
نموذج الاتصال للحالات الطارئة
معلومات للاستجابة السريعة:
| المعامل | بيانات الاتصال |
|---|---|
| جهة الاتصال الرئيسية للعميل | _________________________ |
| جهة الاتصال الاحتياطية للعميل | _________________________ |
| قائد فريق الاختبار | _________________________ |
| الخط الطارئ 24/7 | _________________________ |
إجراء الاتصال الطارئ
- الاتصال الأوّلي — الممثل الرئيسي للعميل
- عند عدم التوفر — جهة الاتصال الاحتياطية
- الحالات الحرجة — الخط الطارئ 24/7
- توثيق جميع المراسلات