🚀 أصبحت CloudSek أول شركة للأمن السيبراني من أصل هندي تتلقى استثمارات منها ولاية أمريكية صندوق
🚀 أصبحت CloudSek أول شركة هندية للأمن السيبراني تدخل في شراكة مع المكتب الخاص
🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
جميع المشاركات

ما هو إطار عمل MITRE ATT&CK؟

يعد MITRE ATT&CK Framework قاعدة معرفية للأمن السيبراني تحدد تكتيكات وتقنيات المهاجم الحقيقي للمساعدة في اكتشاف التهديدات والاستجابة لها.
تم كتابته بواسطة
افتتاحية كلاودسك
تم النشر في
Friday, April 17, 2026
تم التحديث بتاريخ
April 16, 2026

الوجبات السريعة الرئيسية:

  • يعد MITRE ATT&CK Framework قاعدة معارف للأمن السيبراني متاحة للجمهور تشرح كيف يخطط المهاجمون الحقيقيون للهجمات الإلكترونية وينفذونها ويحافظون عليها.
  • وهي توثق سلوك المهاجم من خلال تقسيم الهجمات إلى تكتيكات (هدف المهاجم) وتقنيات (الأساليب المستخدمة لتحقيق هذا الهدف)، بناءً على الحوادث الحقيقية.
  • تم تطوير الإطار وصيانته من قبل شركة MITRE Corporation، باستخدام أبحاث التهديدات المحدثة باستمرار وبيانات الهجوم المرصودة.
  • تستخدم فرق الأمان MITRE ATT&CK لفهم سلوك المهاجم وتحسين قدرات الكشف والاستجابة وتحديد الثغرات في عناصر التحكم الأمنية الحالية.

نظرة عامة على إطار عمل MITRE ATT&CK

ينطبق إطار MITRE ATT&CK على مجموعة واسعة من بيئات الحوسبة، بما في ذلك أنظمة تكنولوجيا المعلومات للمؤسسات والمنصات السحابية والأجهزة المحمولة وأنظمة التحكم الصناعية. تسمح هذه التغطية عبر البيئة باستخدام بنية مرجعية واحدة بغض النظر عن مكان حدوث نشاط المهاجم.

باستخدام إطار عمل موحد، يمكن للمؤسسات تحليل التهديدات التي تنتقل بين التقنيات دون تبديل النماذج أو المصطلحات. هذا الاتساق مهم بشكل خاص في الهجمات الحديثة التي تعبر البيئات المحلية والسحابية والتشغيلية.

تضمن الأبحاث المستمرة التي أجرتها شركة MITRE Corporation استمرار إطار العمل في عكس نشاط المهاجمين الناشئين عبر الصناعات والمنصات المختلفة. ومع توسع التغطية، يظل الإطار قابلاً للتطبيق على كل من البنية التحتية التقليدية والحديثة.

كيف يعمل إطار عمل MITRE ATT&CK؟

how mitre attack framework works

يعمل MITRE ATT&CK عن طريق تقسيم حوادث التسلل الحقيقية إلى إجراءات مهاجم منفصلة يمكن دراستها بشكل مستقل. يتم توثيق كل إجراء باستخدام بنية متسقة بحيث يمكن التعرف على السلوك المماثل عبر الهجمات غير ذات الصلة.

ثم يتم وضع هذه الإجراءات بالنسبة لبعضها البعض بناءً على كيفية تقدم المهاجمين أثناء التسلل. يكشف هذا الترتيب عن أنماط حركة المهاجم واتخاذ القرار والتصعيد بمرور الوقت.

بمجرد تنظيمها، تشكل أنماط السلوك هذه نظامًا مرجعيًا يدعم التحليل الأعمق في المراحل اللاحقة من عمليات الأمان. تعتمد الأقسام اللاحقة على هذا الهيكل لشرح التصنيف والتصور والاستخدام العملي.

ما هي مصفوفات MITRE ATT&CK؟

يستخدم MITRE ATT&CK Framework مصفوفات متعددة لتنظيم سلوك المهاجم حسب البيئة، مما يسمح بتحليل التقنيات في السياق الذي يتم فيه استخدامها فعليًا.

what are mitre attack matrices

مصفوفة ATT&CK للمؤسسات

تتضمن مصفوفة ATT&CK الخاصة بالمؤسسات تقنيات يستخدمها المهاجمون ضد بيئات تكنولوجيا المعلومات الخاصة بالشركات، مثل الوصول إلى بيانات الاعتماد والحركة الجانبية وتنفيذ الأوامر وتسريب البيانات. تستهدف هذه السلوكيات عادةً أنظمة التشغيل وخدمات الهوية وأنظمة البريد الإلكتروني وتطبيقات المؤسسات.

مصفوفة ATT&CK السحابية

تقوم Cloud ATT&CK Matrix بتوثيق التقنيات التي تستغل البنى الخاصة بالسحابة، بما في ذلك إساءة استخدام الهويات السحابية، وتصاعد الأذونات، وإساءة استخدام الخدمة، والتلاعب في مستوى التحكم. يعكس النشاط هنا كيفية عمل المهاجمين داخل موفري الخدمات السحابية بدلاً من الشبكات التقليدية.

مصفوفة ATT&CK المحمولة

يلتقط Mobile ATT&CK Matrix التقنيات المستخدمة لاختراق الهواتف الذكية والأجهزة اللوحية، بما في ذلك الهجمات القائمة على التطبيقات، واستغلال الأجهزة، ونشاط المراقبة، والمثابرة على أنظمة تشغيل الأجهزة المحمولة. تمثل هذه السلوكيات قيود الأمان ونماذج الحماية الفريدة لمنصات الأجهزة المحمولة.

مصفوفة ATT&CK لأنظمة التحكم الصناعية (ICS)

يحتوي ICS ATT&CK Matrix على تقنيات مرتبطة ببيئات التكنولوجيا الصناعية والتشغيلية، مثل التلاعب بمنطق التحكم وتعطيل العمليات الفيزيائية والتداخل مع أنظمة السلامة. تركز السلوكيات في هذه المصفوفة على الموثوقية والتوافر والتأثير المادي بدلاً من سرقة البيانات.

ما هي تكتيكات ATT&CK؟

ضمن إطار MITRE ATT&CK، تحدد التكتيكات الأهداف الفنية التي يسعى إليها الخصوم مع تقدم التدخل، موضحة لماذا يظهر سلوك مهاجم محدد في كل مرحلة.

  • الاستطلاع: غالبًا ما يبدأ نشاط الهجوم بجمع المعلومات، حيث يحدد الخصوم الأهداف المحتملة أو الخدمات المكشوفة أو المستخدمين قبل الانخراط مباشرة.
  • تطوير الموارد: بمجرد تحديد الأهداف، يستعد المهاجمون من خلال الحصول على البنية التحتية مثل المجالات أو الخوادم أو الحسابات التي ستدعم العمليات اللاحقة.
  • الوصول الأولي: يتبع ذلك الدخول إلى البيئة باستخدام أساليب مثل التصيد الاحتيالي أو الاستغلال أو إساءة استخدام العلاقات الموثوقة لتأسيس موطئ قدم.
  • التنفيذ: بعد الوصول، يتم تشغيل التعليمات البرمجية الضارة لتنشيط الحمولات أو بدء التفاعل المباشر مع الأنظمة المخترقة.
  • الثبات: يصبح الوصول المستمر أولوية، مما يدفع المهاجمين إلى إنشاء آليات تنجو من عمليات إعادة التشغيل أو التحديثات أو تغييرات بيانات الاعتماد.
  • تصعيد الامتياز: ومع التواجد المستقر، تتجه الجهود نحو الحصول على أذونات أعلى للوصول إلى الأنظمة المقيدة أو الموارد الحساسة.
  • التهرب الدفاعي: وحتى لا يتم اكتشافهم، يقوم المهاجمون بتكييف سلوكهم لتجاوز عناصر التحكم في الأمان أو إخفاء النشاط أو تعطيل آليات المراقبة.
  • الوصول إلى بيانات الاعتماد: تسمح سرقة مواد المصادقة بالوصول على نطاق أوسع وتدعم الحركة عبر الأنظمة دون إثارة الشك الفوري.
  • الاكتشاف: يصبح فهم البيئة الداخلية أمرًا ضروريًا، بما في ذلك تخطيط الشبكة وأدوار النظام وعلاقات المستخدم.
  • الحركة الجانبية: يتنقل المهاجمون بين الأنظمة لتوسيع نطاق التحكم داخل البيئة، متسلحًا بالمعرفة وبيانات الاعتماد.
  • المجموعة: يتحول الاهتمام بعد ذلك إلى جمع البيانات القيمة مثل المستندات أو قواعد البيانات أو معلومات الملكية.
  • القيادة والتحكم: يتيح الاتصال المستمر بالبنية التحتية التي يتحكم فيها المهاجم التنسيق والمهام ونقل البيانات.
  • عملية الاستخراج: يتم نقل البيانات المجمعة خارج البيئة استعدادًا للأهداف النهائية أو تحقيق الدخل.
  • التأثير: تتوج بعض الهجمات بتعطيل الأنظمة والبيانات أو تدميرها أو التلاعب بها لتحقيق أهداف استراتيجية أو تشغيلية.

ما هي تقنيات ATT&CK؟

تُظهر تقنيات ATT&CK كيفية قيام المهاجمين بتنفيذ الإجراءات داخل البيئة بعد تحديد ما يريدون تحقيقه.

  • الإجراءات المباشرة: تغطي التقنيات نشاط المهاجم الملموس مثل تشغيل الأوامر أو سرقة بيانات الاعتماد أو الوصول إلى الأنظمة البعيدة أو نقل البيانات أثناء الاختراق.
  • خيارات متعددة: يمكن تحقيق نفس هدف المهاجم باستخدام تقنيات مختلفة، وهو ما يفسر سبب تغيير الخصوم للأساليب عندما تمنع الدفاعات نهجًا معينًا.
  • تعتمد على البيئة: يتأثر اختيار التقنية بأنظمة التشغيل ونماذج الهوية والبنية التحتية، مما يجعل الهجمات تبدو مختلفة عبر بيئات المؤسسات والسحابة والأجهزة المحمولة.
  • السلوك أولاً: تركز تقنيات ATT&CK على السلوك الذي يمكن ملاحظته بدلاً من البرامج الضارة أو الأدوات، مما يسمح بالتعرف على النشاط حتى عندما يقوم المهاجمون بتدوير الحمولات أو البرامج النصية.
  • محاذاة الكشف: يتم ربط سجلات الأمان والتنبيهات والقياس عن بُعد بشكل طبيعي بالتقنيات، مما يجعلها الأساس لهندسة الكشف والبحث عن التهديدات.
  • الأنماط الشائعة: يسلط الاستخدام المتكرر لنفس الأساليب عبر الحوادث غير ذات الصلة الضوء على السلوكيات التي تستمر عبر مجموعات التهديد والحملات.

ما هي تقنيات ATT&CK الفرعية؟

توجد تقنيات ATT&CK الفرعية لإظهار كيف يتغير سلوك المهاجم نفسه في التنفيذ اعتمادًا على الوصول والبيئة والقيود الفنية.

  • متغيرات التنفيذ: يمكن تنفيذ نفس إجراء المهاجم بطرق متعددة، مثل تفريغ بيانات الاعتماد من الذاكرة مقابل استخراجها من ملفات النظام، على الرغم من بقاء التقنية الأوسع دون تغيير.
  • تفاصيل عملية: تلتقط التقنيات الفرعية الاختلافات منخفضة المستوى التي تهم أثناء التحقيقات، خاصة عندما ينتج نشاط مماثل آثارًا مختلفة للنظام.
  • تأثير المنصة: غالبًا ما يحدد تصميم نظام التشغيل والأذونات وعناصر التحكم في الأمان الاختلاف الذي يمكن للمهاجم استخدامه بشكل واقعي.
  • دقة الكشف: قد تحدد الاكتشافات الواسعة التقنية، لكن الاكتشافات الدقيقة تتوافق عادةً مع تقنية فرعية محددة يتم ملاحظتها في السجلات أو القياس عن بُعد.
  • أنماط السلوك: يمكن أن يشير الاعتماد المتكرر على تقنية فرعية معينة إلى تفضيل المهاجم أو التشغيل الآلي أو النضج بدلاً من الاختيار العشوائي.
  • وضوح التحقيق: تساعد التقنيات الفرعية المحللين على فهم كيفية حدوث الإجراء بالضبط، مما يقلل الغموض أثناء الاستجابة للحوادث.

ما هي تقنية MITRE ATT&CK T1595 (المسح النشط)؟

تشير تقنية MITRE ATT&CK T1595 إلى المهاجمين الذين يرسلون حركة مرور الشبكة بنشاط إلى الأنظمة المستهدفة لتحديد المضيفين والخدمات والتطبيقات المكشوفة قبل محاولة الوصول. يندرج هذا النشاط ضمن مرحلة الاستطلاع، حيث يقلل الخصوم من عدم اليقين ويحددون نقاط دخول قابلة للتطبيق.

يتضمن T1595 مسح كتل IP (T1595.001) ومسح الثغرات الأمنية (T1595.002) ومسح قائمة الكلمات (T1595.003)، والتي تكشف بشكل جماعي عن البنية التحتية الحية والخدمات التي يمكن الوصول إليها ونقاط الضعف المحتملة. غالبًا ما تكشف الردود من هذه التحقيقات لافتات الخدمة أو إصدارات البرامج أو التكوينات الخاطئة أو المسارات المخفية التي توجه قرارات الاستغلال اللاحقة.

يولد المسح النشط تفاعلًا مباشرًا مع الأنظمة المستهدفة ويظهر بشكل متكرر في سجلات جدار الحماية وتنبيهات IDS/IPS وقياس WAF عن بُعد وسجلات التدفق السحابي. في دراسة واسعة النطاق لحركة المرور السحابية، تمت ملاحظة 64٪ من عناوين IP التي تم فحصها مرة واحدة فقط على مدار أربعة أشهر، مما يسلط الضوء على مدى سرعة دوران البنية التحتية للمسح ولماذا يجب أن يعتمد الاكتشاف على الأنماط السلوكية بدلاً من سمعة IP الثابتة.

ما هو متصفح MITRE ATT&CK؟

يعد MITRE ATT&CK Navigator أداة تصور مصممة للعمل مباشرة مع إطار MITRE ATT&CK ومصفوفاته. إنه يمكّن الفرق من تمثيل سلوك المهاجم والتغطية الدفاعية ونتائج التحليل في نفس البنية المستخدمة من قبل ATT&CK.

يمكن تراكب بيانات الأمان مثل الاكتشافات أو نشاط الخصم أو الهجمات المحاكاة على تكتيكات وتقنيات وتقنيات ATT & CK الفرعية. يساعد التمثيل المرئي الفرق على تحديد فجوات التغطية والتداخلات والأولويات بشكل أكثر فعالية من مراجعة السجلات الأولية أو الجداول.

يتم استخدام Navigator على نطاق واسع أثناء نمذجة التهديدات وتمارين الفريق الأرجواني ومراجعات الأمان. تدعم طرق العرض ذات الطبقات التواصل الواضح للوضع الأمني لكل من الفرق الفنية والقيادة باستخدام سلوك المهاجم كنقطة مرجعية.

لماذا يعتبر إطار MITRE ATT&CK مهمًا للأمن السيبراني؟

يعد MITRE ATT&CK Framework مهمًا لأنه يساعد المؤسسات على فهم الهجمات من خلال سلوك المهاجم بدلاً من الأدوات أو التنبيهات المعزولة.

التركيز على السلوك

تتغير أدوات الهجوم والبنية التحتية بشكل متكرر، لكن إجراءات المهاجم تظل متسقة عبر الحملات. يسمح التركيز على السلوك بتحديد التهديدات حتى عند تدوير البرامج الضارة أو المؤشرات.

رؤية ما بعد الاختراق

تنجح العديد من الهجمات بعد الوصول الأولي دون أن يتم اكتشافها على الفور. تعمل ATT&CK على تحسين الرؤية لما يحدث داخل البيئة بمجرد وجود المهاجم بالفعل.

فجوات التغطية

غالبًا ما توجد ضوابط الأمان دون وضوح بشأن ما تحمي منه بالفعل. يؤدي تعيين الدفاعات إلى ATT&CK إلى تسليط الضوء على سلوكيات المهاجم التي تتم مراقبتها والتي تظل مكشوفة.

دفاع قابل للقياس

من الصعب تقييم النضج الأمني بدون مرجع مشترك. يوفر ATT&CK طريقة منظمة لقياس عمق الكشف وقدرة الاستجابة بمرور الوقت.

اللغة المشتركة

غالبًا ما تصف الفرق المختلفة نفس نشاط التهديد بطرق مختلفة. تنشئ ATT&CK مفردات مشتركة تجمع المحللين والمهندسين والقيادة حول نفس السلوكيات.

كيف تستخدم فرق الأمن إطار MITRE ATT&CK؟

تستخدم فرق الأمان MITRE ATT&CK Framework لتطبيق المعرفة بسلوك المهاجم عبر الاكتشاف والاستجابة والاختبار والتخطيط الأمني الاستراتيجي.

رسم خرائط الكشف

تتوافق السجلات والتنبيهات مع تقنيات ATT&CK لإظهار إجراءات المهاجم المرئية في البيئة. تصبح التغطية قابلة للقياس عندما ترتبط الاكتشافات بالسلوكيات بدلاً من الأدوات الفردية.

هندسة الكشف

يوجه ATT&CK إنشاء منطق اكتشاف جديد من خلال تسليط الضوء على سلوكيات المهاجم الشائعة التي يجب ملاحظتها. يستخدمه المهندسون لتحديد أولويات الاكتشافات التي تغطي التهديدات المتعددة بأقل قدر من التداخل.

صيد التهديدات

يستخدم الصيادون ATT&CK للبحث عن سلوك المهاجم الذي قد يكون موجودًا دون تشغيل التنبيهات. يركز هذا النهج التحقيقات على أنماط السلوك بدلاً من المؤشرات المعروفة.

الاستجابة للحوادث

يوفر ATT&CK هيكلًا لتتبع تقدم المهاجم أثناء التحقيق. يستخدم المستجيبون التكتيكات والتقنيات لفهم مكان وجود المهاجم وما قد يحدث بعد ذلك.

تحليل التغطية

تتم مقارنة عناصر التحكم الأمنية بـ ATT&CK لتحديد النقاط العمياء السلوكية. تصبح الثغرات واضحة عندما تفتقر إجراءات المهاجم الشائعة إلى القدرة على المراقبة أو الاستجابة.

الفريق الأرجواني

تستخدم الفرق الهجومية والدفاعية ATT&CK كمرجع مشترك أثناء الهجمات المحاكاة. تركز التمارين على التحقق من صحة الاكتشاف والاستجابة ضد سلوك المهاجم الواقعي.

محاكاة الخصم

تقوم الفرق الحمراء بنمذجة التهديدات في العالم الحقيقي من خلال إعادة تشغيل تقنيات ATT&CK المرتبطة بالخصوم المعروفين. تتحسن الجاهزية الدفاعية عندما يعكس الاختبار سلوك الهجوم الفعلي.

التحقق من التحكم

تساعد ATT&CK في التحقق مما إذا كانت أدوات الأمان تكتشف السلوكيات التي تدعي تغطيتها. يركز التحقق من الصحة على النتائج بدلاً من قوائم ميزات البائع.

التواصل بشأن المخاطر

تترجم ATT&CK النتائج التقنية إلى لغة تركز على المهاجم يمكن للقيادة فهمها. تتحول مناقشات الوضع الأمني من مقاييس الأدوات إلى المخاطر السلوكية.

من يجب أن يستخدم إطار MITRE ATT&CK؟

يتم استخدام MITRE ATT&CK Framework من قبل مجموعة واسعة من الأدوار التي تحتاج إلى فهم سلوك المهاجم أو اكتشافه أو توصيله.

محللو SOC

يستخدم محللو العمليات الأمنية ATT&CK لتفسير التنبيهات والتحقيقات من خلال سلوك المهاجم. توفر التكتيكات والتقنيات سياقًا يساعد في تحديد أولويات إجراءات الاستجابة.

صائدو التهديدات

يعتمد الصيادون على ATT&CK لتوجيه عمليات البحث الاستباقية عن السلوك الضار الذي قد لا يؤدي إلى تشغيل التنبيهات. يقلل الصيد الذي يركز على السلوك من الاعتماد على المؤشرات والتوقيعات.

مهندسو الكشف

يستخدم مهندسو الكشف ATT&CK لتصميم منطق الكشف المرتبط بإجراءات المهاجم الحقيقي والتحقق من صحته. يمكن توسيع التغطية بشكل منهجي بدلاً من إضافة تنبيهات معزولة.

المستجيبون للحوادث

يستخدم المستجيبون ATT&CK لتتبع تقدم المهاجم أثناء وقوع حادث نشط. يساعد فهم الخطوات التالية المحتملة على احتواء التهديدات بشكل أسرع.

الفرق الحمراء

تشير الفرق الهجومية إلى ATT&CK لمحاكاة سلوك المهاجم الواقعي أثناء الاختبار. تصبح التمارين أكثر قيمة عندما تتماشى مع تقنيات العالم الحقيقي.

قادة الأمن

يستخدم المديرون والمديرون التنفيذيون ATT&CK لفهم المخاطر من الناحية السلوكية. يصبح التواصل مع الوضع الأمني أسهل دون الاعتماد على المقاييس الخاصة بالأداة.

سايبر كيل تشين مقابل MITRE ATT&CK

يتم استخدام كل من Cyber Kill Chain وإطار MITRE ATT&CK لفهم كيفية تطور الهجمات الإلكترونية، ولكنها تختلف اختلافًا جوهريًا في البنية والعمق والغرض الدفاعي.

Aspect Cyber Kill Chain MITRE ATT&CK
Core Purpose Describes a high-level sequence of attack stages to stop threats early Documents detailed attacker behavior across the entire intrusion lifecycle
Structure Linear and sequential Matrix-based and non-linear
Primary Focus Prevention, especially before initial compromise Detection, response, and analysis before and after compromise
Level of Detail Broad stages with limited granularity Deep granularity using tactics, techniques, and sub-techniques
Attack Progression Assumes attacks follow a fixed order Allows attackers to move between behaviors in flexible paths
Behavior Coverage Identifies when an attack is happening Explains what attackers do and how they do it
Post-Compromise Visibility Limited insight after initial access Strong coverage of lateral movement, persistence, and impact
Defensive Usage Strategic modeling and high-level communication Operational use for detection engineering, threat hunting, and incident response
Adaptability Less flexible against modern, multi-stage attacks Designed to adapt to evolving attacker behavior
Common Users Executives, risk planners, security architects SOC teams, threat hunters, detection engineers, incident responders

أفكار نهائية

يعد MITRE ATT&CK Framework مهمًا لأنه يشرح التهديدات الإلكترونية من خلال سلوك المهاجم بدلاً من الأدوات أو البرامج الضارة أو التنبيهات. يساعد هذا المنظور المؤسسات على فهم كيفية تطور الهجمات فعليًا في البيئات الحقيقية.

يسمح استخدام ATT&CK لفرق الأمان بتحسين الاكتشاف والاستجابة والاختبار والتواصل باستخدام مرجع سلوكي مشترك. مع استمرار تطور التهديدات، يظل الفهم القائم على السلوك أحد أكثر الطرق الموثوقة لتقييم دفاعات الأمن السيبراني وتعزيزها.

جدولة عرض تجريبي
المشاركات ذات الصلة
How Platforms Track Leaked Credentials in Data Breaches?
Platforms track leaked credentials by scanning breach data, dark web sources, and malware logs, then verifying them with automated analysis.
What is External Threat Intelligence Monitoring?
External threat intelligence monitoring is the continuous tracking of external cyber threats, exposures, and attacker activity in real time.
What is External Threat Intelligence?
External threat intelligence identifies cyber risks outside systems, monitors threats, and detects data leaks to improve security visibility.

ابدأ العرض التوضيحي الخاص بك الآن!

جدولة عرض تجريبي
إصدار تجريبي مجاني لمدة 7 أيام
لا توجد التزامات
قيمة مضمونة بنسبة 100%

مقالات قاعدة المعارف ذات الصلة

لم يتم العثور على أية عناصر.