لماذا يهم ATT&CK في مراكز SOC الجزائرية الآن
تولّد الاستراتيجية الوطنية للأمن السيبراني 2025-2029 طلباً على مراكز SOC أسرع من المعروض من المواهب. تنشئ كل وزارة وبنك وشركة اتصالات ومرفق عمومي وحدة أمن سيبراني بموجب المرسوم الرئاسي 26-07، وتصف Systelium اليوم الجزائر كمركز ناشئ للأمن السيبراني في منطقة MENA بفضل القوى العاملة المعتمدة تنافسية التكلفة التي يتم تكوينها في المدرسة الوطنية الجديدة للأمن السيبراني في سيدي عبد الله ومدارس الهندسة القائمة.
ليست المشكلة في التوظيف. المشكلة هي تحويل الموظفين الجدد إلى محللين قادرين على قراءة تنبيه SIEM وربطه بتقنية عدو والتوصية بخطوة احتواء. هذه هي الفجوة التي بُني إطار عمل MITRE ATT&CK لسدّها.
يمنح ATT&CK المحلل ثلاثة أشياء لا توفرها شهادة موردٍ محدد وحدها: مفردات مشتركة (T1078 «Valid Accounts» يعني الشيء نفسه في بنك جزائري وعند مصنع سيارات ألماني)، وخريطة كشف (إذا كنتَ أعمى عن T1003 dump لبيانات الاعتماد فستفوِّت معظم مقدمات برامج الفدية)، وطريقة منظمة لقياس تغطية SOC — ما تسميه MITRE تقييم SOC.
منهج الستة أسابيع الذي يمكن لأي قائد SOC جزائري تشغيله
هدف هذا المنهج ليس إنتاج خبير معتمد خلال ستة أسابيع. هدفه إنتاج محلل قادر على استيعاب تنبيه SIEM حقيقي، ووسمه بمعرّف تقنية ATT&CK الصحيح، والرجوع إلى إرشادات الكشف والتخفيف الموثقة، وكتابة ملاحظة فرز مفيدة.
الأسبوع 1 — أساسيات ATT&CK. تسجيل المحلل في تدريب ATT&CK Fundamentals المجاني من MITRE، الذي يغطي التكتيكات والتقنيات والإجراءات ومصادر البيانات ومتصفح المصفوفة. الواجب: فتح مصفوفة ATT&CK Enterprise، اختيار ثلاث تقنيات أي كان، ورسم مخطط من صفحة واحدة يُظهر كيف تتسلسل في هجوم واقعي.
الأسبوع 2 — الربط مع SIEM لديكم. أخذ أكثر خمس قواعد كشف نشاطاً في SIEM أو EDR، وربط كل واحدة بمعرّف تقنية ATT&CK. إذا تعذّر ربط قاعدة بشكل نظيف، فهذه علامة على أنها إمّا عامة جداً («PowerShell مشبوه») أو ضيقة جداً (مطابقة IOC محددة). يمتلك المحلل الآن وثيقة ربط حيّة.
الأسبوع 3 — Atomic Red Team في sandbox. يوفر مشروع Atomic Red Team المفتوح المصدر التابع لـ Red Canary مئات الاختبارات الصغيرة المفهرسة بحسب ATT&CK. أنشئ جهازاً افتراضياً معزولاً بنظام Windows 10/11، واختر عشرة اختبارات ذرية عبر ثلاثة تكتيكات (Execution، Persistence، Defense Evasion)، وشغّلها وتأكد من أن أدوات SOC لديكم تطلق تنبيهاً فعلاً. حيث لا تفعل، يسجّل المحلل فجوة كشف.
الأسبوع 4 — التحويل من Threat Intelligence إلى ATT&CK. اختر ثلاثة تقارير اختراق حديثة من مدونات الموردين (Unit 42، Mandiant، Group-IB، Kaspersky). لكل تقرير، يستخرج المحلل تقنيات ATT&CK المذكورة ويبني «طبقة» صغيرة لفاعل التهديد في ATT&CK Navigator المجاني. هذه هي المهارة التي تتيح للمحلل الإجابة عن سؤال «هل نحن مغطون ضد Scattered Spider؟» بإجابة أفضل من التخمين.
الأسبوع 5 — تطبيق SOC Assessment. يعلّم مساق ATT&CK SOC Assessments من MAD20 عملية مضغوطة وقابلة للتكرار لتقييم تغطية SOC مقابل ATT&CK. حتى دون شراء الشهادة، فإن المعاينات المجانية إضافة إلى منهجية MITRE المنشورة تمنح فريق SOC الجزائري طريقة قابلة للدفاع عنها لإبلاغ CISO عن التغطية كنسبة مئوية من التقنيات المرصودة أو المرصودة جزئياً أو العمياء.
الأسبوع 6 — المشروع الختامي: كتابة قاعدة كشف. يختار المحلل تقنية ضعيفة التغطية، ويكتب قاعدة كشف (Sigma أو KQL أو Splunk SPL)، ويختبرها ضد اختبار Atomic Red Team من الأسبوع 3، ويوثّق القاعدة ومعدل الإيجابيات الكاذبة والفجوة المتبقية.
في نهاية الأسابيع الستة، يكون المحلل قد لمس كل طبقة من الإطار وأنتج ثلاثة مخرجات قابلة لإعادة الاستخدام: ربط القواعد بالتقنيات، ولقطة تغطية ATT&CK، وقاعدة كشف جديدة. هذا محلل SOC مبتدئ قابل للدفاع عنه.
إعلان
ربط ذلك بالبنية التحتية القائمة في الجزائر
لا يحتاج قادة SOC الجزائريون إلى اختراع ذلك من الصفر. ثلاث روافع محلية تسهّل تشغيل المنهج.
- ISC2 Algeria وOWASP Algiers. ينظم فرع ISC2 El Djazair وOWASP Algiers مجموعات دراسة مجتمعية. تندمج نوادي قراءة ATT&CK بشكل طبيعي في تقويم CTF واللقاءات القائم.
- المدرسة الوطنية للأمن السيبراني، سيدي عبد الله. برامج الهندسة والدكتوراه في المدرسة أكاديمية بطبيعتها، لذا يمكن لـ SOC المؤسسية عرض تربصات تستوعب الطلبة المتقدمين في عمل كشف حقيقي — وهو عملياً مشروع ختامي ATT&CK حيّ.
- 285 ألف مقعد تكوين مهني في 2026. يشمل مخطط التكوين المهني الموسّع للجزائر مسارات أمن سيبراني. ينبغي على قادة SOC الضغط على مراكز CFPA في الجزائر العاصمة ووهران وقسنطينة لإضافة وحدة ATT&CK Fundamentals، لأن الطلاب المسجلين سيكونون محللي Tier-1 الذين سيوظفونهم في 2027.
ماذا يجب أن يتوقع المديرون أن يتغير
ثلاثة أمور تتحسن بوضوح بعد أن يمر فريق SOC بهذا المنهج.
أولاً، جودة التذاكر. تتوقف ملاحظات الإغلاق عن قول «تم الحظر بواسطة AV، مغلق» وتبدأ بقول «T1566.001 spearphishing attachment، محمِّل من نوع Emotet، تم الحظر عند endpoint؛ فحص persistence نظيف.» هذا تقدم قابل للقياس.
ثانياً، الإبلاغ إلى CISO. بدلاً من مقاييس الحجم («أغلقنا 1,200 تنبيه هذا الشهر»)، يستطيع SOC الإبلاغ عن اتجاهات تغطية ATT&CK — نسبة التقنيات الشائعة التي يستطيع SOC رصدها، مع خطة ملموسة للتقنيات العمياء. يفهم CISO والمدققون وأعضاء المجلس هذه اللغة.
ثالثاً، الاحتفاظ بالموظفين. يكتسب المحللون الذين يتعلمون ATT&CK مهارة قابلة للنقل ومعترف بها دولياً. على المدى القصير، هذا يجعلهم أصعب في الاستبقاء، لكنه يجعل SOC أيضاً أكثر جاذبية للمحللين الكبار الذين يعاني أصحاب العمل الجزائريون من توظيفهم. المقايضة هي الصحيحة.
أين يترك ذلك قادة SOC الجزائريين
ATT&CK مجاني ومحايد تجاه الموردين ولغة التواصل العالمية لهندسة الكشف. لا يوجد سبب لأن لا يستخدمه SOC جزائري — عمومي أو خاص، الجزائر العاصمة أو وهران، بنك أو وزارة — بطلاقة بحلول نهاية 2026. المنهج أعلاه نقطة انطلاق جاهزة؛ لا يتطلب ميزانية جديدة أو موردين جدد أو سفراً. يتطلب قائد SOC يحجز ستة أسابيع في تقويم التدريب ويلتزم بها.
الأسئلة الشائعة
هل يحتاج محللو SOC لدينا إلى شهادة مدفوعة لاستخدام MITRE ATT&CK؟
لا. الإطار نفسه مجاني، وتنشر MITRE تدريب ATT&CK Fundamentals بدون رسوم. توفر MAD20 شهادات مدفوعة (ATT&CK SOC Assessments، CTI، Threat Hunting) للمحللين الذين يريدون اعتماداً رسمياً، لكن يمكن لـ SOC جزائري تحقيق إتقان تشغيلي كامل بالاعتماد فقط على المحتوى المجاني وAtomic Red Team والموارد المجتمعية مثل ISC2 Algeria وOWASP Algiers.
كيف يتوافق ATT&CK مع شهادات مثل CISSP أو CEH التي يقدّرها أصحاب العمل الجزائريون بالفعل؟
ATT&CK مكمّل، لا منافس. يغطي CISSP الحوكمة والبنية؛ ويغطي CEH الأدوات الهجومية. لا يعطي أي منهما المحلل لغة مشتركة لوصف ما تلتقطه قاعدة الكشف فعلياً. عملياً، يدرج مدراء التوظيف في البنوك والاتصالات الجزائرية بشكل متزايد إتقان ATT&CK جنباً إلى جنب مع CISSP أو CEH كمهارة مفضلة، لأن هذا ما يتطلبه العمل اليومي في SOC.
هل تستطيع المدرسة الوطنية للأمن السيبراني في سيدي عبد الله دمج ATT&CK في منهجها؟
ينبغي ذلك، ولا يوجد حاجز تقني. يُدرَّس ATT&CK بالفعل كإطار مرجعي في معظم برامج الماجستير الدولية في الأمن السيبراني. إضافة وحدة مخصصة في سيدي عبد الله، إضافة إلى تربصات ختامية قائمة على ATT&CK مع مراكز SOC جزائرية، ستمنح الخريجين مهارة تشغيلية تتطابق مباشرة مع احتياجات أصحاب العمل من اليوم الأول.
المصادر والقراءات الإضافية
- إطار MITRE ATT&CK — الموقع الرسمي
- موارد تدريب MITRE ATT&CK
- MAD20 — تدريبات وشهادات MITRE ATT&CK
- Atomic Red Team — GitHub Red Canary
- بناء مهارات سيبرانية واقعية مع MITRE ATT&CK — Training Industry
- الجزائر تفرض وحدات أمن سيبراني في القطاع العمومي — Ecofin Agency
- الجزائر تعتزم استحداث 285 ألف مقعد تكوين مهني جديد في 2026 — Ecofin Agency
- الأمن السيبراني: صعود الجزائر كمركز استراتيجي — Systelium
- فرع ISC2 Algeria — ISC2 Community
- فرع OWASP Algiers
🔗 مقالات ذات صلة
برامج شهادات الأمن السيبراني في الجزائر: بناء قوى عاملة دفاعية محترفة
شهادات الأمن السيبراني في الجزائر: من المدرسة الوطنية الجديدة إلى مسار CISSP
رهان TemTem على التطبيق الشامل: هل تستطيع ثاني منصة نقل تشاركي في الجزائر كسر المعادلة؟
أمن سلسلة توريد البرمجيات في الجزائر: خمس ممارسات تجعلها اختراق Trivy ملحّة
