إطار الأمان الرئيسي: إطار الأمان متعدد الطبقات للتطبيقات الحديثة

إطار الأمان الرئيسي: إطار الأمان متعدد الطبقات للتطبيقات الحديثة

18/05/2026

منظمة أطباء بلا حدود

ملخص

يعد إطار العمل الأمني الرئيسي (MSF) إطارًا أمنيًا شاملاً ومتعدد اللغات ومتعدد الطبقات مصممًا لحماية التطبيقات الحديثة على جميع مستويات مجموعة التكنولوجيا. تقدم MSF، التي يتم تنفيذها في Python وTypeScript، أكثر من 350 وظيفة موزعة على 28 وحدة، تغطي كل شيء بدءًا من المصادقة والتشفير وحتى اكتشاف هجمات الويب، وتحليل الشبكات، والأمن السحابي، وحماية الذكاء الاصطناعي، ومصائد مخترقي الشبكات التكيفية، والدفاع النشط، والامتثال المؤسسي. تقدم هذه المقالة تحليلاً فنيًا مفصلاً لكل وحدة ووظيفة ونمط تصميم وآلية أمان يتم تنفيذها في الإطار.

1. مقدمة

1.1. المشكلة

تواجه التطبيقات الحديثة مجموعة متزايدة التعقيد من التهديدات. يمكن استهداف نظام واحد من خلال هجمات على طبقات متعددة في وقت واحد: حقن المطالبات في نماذج اللغة، واستغلال ثغرات الويب (XSS، SQLi، SSRF)، ومسح المنافذ، وهجمات DDoS، والتكوينات السحابية الخاطئة، والحاويات المخترقة، والتبعيات الضعيفة في سلسلة توريد البرامج، وانتهاكات الامتثال التنظيمي.

النهج التقليدي للأمن - حل كل مشكلة بأدوات معزولة - يخلق صوامع دفاعية تترك فجوات بين الطبقات. تم تصميم منظمة أطباء بلا حدود لحل هذه المشكلة من خلال تقديم منصة أمان موحدة تعمل عبر جميع طبقات التطبيق.

1.2. ما هو الإطار الأمني الرئيسي

MSF هو إطار عمل أمني مفتوح المصدر يتم تنفيذه بلغتين: Python وTypeScript. توجد كل وحدة في كلتا اللغتين بنفس الدلالات، مما يسمح للفرق متعددة اللغات باستخدام نفس مجموعة القدرات الأمنية بغض النظر عن حزمة التكنولوجيا.

يتمحور الإطار حول أربع ركائز:

  1. الوقاية: التحقق من صحة الإدخال، والتطهير، والتشفير، وتقوية التكوين
  2. الكشف: تحليل أنماط الهجوم، والشذوذات الإحصائية، وتوقيعات البرامج الضارة، والسلوك المشبوه
  3. الإجابة: التنبيهات الذاتية، الحجر الصحي، الاحتواء، الشفاء الذاتي
  4. الامتثال: التحقق التلقائي من LGPD وGDPR وHIPAA وPCI-DSS

1.3. مقاييس المشروع

  • اجتياز 243 اختبارًا آليًا (77 Python + 166 TypeScript)
  • 14 وحدة بايثون مع أكثر من 180 وظيفة
  • 14 وحدة TypeScript مع أكثر من 170 وظيفة
  • القياس عن بعد OpenTelemetry مدمج في جميع الوظائف
  • التسجيل المنظم (دبوس في TypeScript، loguru في Python)
  • ذاكرة تخزين مؤقت في الذاكرة مع إبطال تلقائي
  • محرك السياسة لقواعد الأمان القابلة للتكوين
  • ناقل الأحداث للاتصال غير المتزامن بين الوحدات

2. بنية الإطار

2.1. طبقة البنية التحتية (الأساسية)

تتكون قاعدة منظمة أطباء بلا حدود من ستة مكونات للبنية التحتية تشترك فيها جميع الوحدات الأخرى:

التكوين العام: كائن تكوين مركزي يقوم بتخزين معلمات الأمان والحدود والقوائم المسموح بها/المحظورة ومفاتيح التشفير. يمكن إعادة تحميل التكوين في الوقت الحقيقي من متغيرات البيئة دون إعادة تشغيل التطبيق.

محرك السياسات: نظام تقييم القواعد الذي يسمح لك بتحديد سياسات الأمان كبيانات منظمة. يدعم المحرك عوامل التشغيل المنطقية والشروط المركبة وإجراءات التنفيذ (السماح والرفض والتحذير والتسجيل).

حافلة الأحداث: نظام نشر/فرعي غير متزامن يسمح للوحدات بنشر الأحداث الأمنية والوحدات الأخرى بالاشتراك للرد. يتضمن ناقل الأحداث سجلاً للأحداث وقائمة انتظار للأحرف الميتة للأحداث التي فشلت معالجتها.

سجل المقاييس: نظام مقاييس يدعم العدادات (للأعداد التراكمية)، وأجهزة القياس (للقيم اللحظية)، والرسوم البيانية (للتوزيعات). تنشر جميع وظائف الاكتشاف المقاييس تلقائيًا.

مدير ذاكرة التخزين المؤقت: ذاكرة تخزين مؤقت LRU (الأقل استخدامًا مؤخرًا) مع TTL (مدة البقاء) قابلة للتكوين، وتُستخدم لتخزين نتائج التحقق باهظة الثمن وقوائم حظر IP وبصمات الجلسة والرموز المميزة الملغاة.

OpenTelemetry: التكامل الكامل مع معيار OpenTelemetry، مما يؤدي إلى إنشاء نطاقات تتبع موزعة لكل عملية أمنية. وهذا يسمح اللونربط الأحداث الأمنية بطلب التتبع في بنيات الخدمات الصغيرة.

المسجل المنظم: تسجيل منظم بتنسيق JSON مع الدبوس (TypeScript) واللوجورو (Python)، بما في ذلك السياق التلقائي مثل معرف التتبع، والخطورة، والوحدة النمطية، وبيانات تعريف الأمان.

معالجة الاستثناءات: تسلسل هرمي لاستثناءات الأمان ("SecurityError"، و"ValidationError"، و"AuthenticationError"، و"EncryptionError") الذي يسمح بالمعالجة الدقيقة لأخطاء الأمان.

2.2. طبقة الحماية

فيما يتعلق بالبنية التحتية، تنظم منظمة أطباء بلا حدود وحدات الأمان الخاصة بها في ثلاث طبقات وظيفية:

طبقة الإدخال: الويب وواجهة برمجة التطبيقات والمصادقة - حماية نقاط دخول التطبيق طبقة البنية التحتية: الشبكة، السحابة، الملف - تحمي البنية التحتية الأساسية الطبقة الذكية: الذكاء الاصطناعي، والمراقبة، والدفاع، ومصيدة العسل - الحماية بالذكاء والتكيف

3. وحدة المصادقة (المصادقة)

وحدة المصادقة هي الأكثر شمولاً في الإطار، مع 30 وظيفة في Python و7 في TypeScript. وهو يغطي دورة حياة المصادقة بأكملها: إنشاء الرمز المميز والتحقق من صحته، وإدارة الجلسة، واكتشاف الهجوم، وطرق التحقق من الهوية المتقدمة.

3.1. JWT (رموز الويب JSON)

تطبق منظمة أطباء بلا حدود نظام JWT كاملاً يتجاوز مجرد التوليد والتحقق:

  • ينشئ generate_jwt رموزًا مميزة بالموضوع، والمطالبات المخصصة، وانتهاء الصلاحية القابل للتكوين، ومصدر الإصدار. يدعم خوارزميات HS256، HS384، HS512، RS256، ES256.
  • يتحقق validate_jwt من التوقيع وانتهاء الصلاحية والمطالبات الإلزامية ويعيد الحمولة النافعة التي تم فك تشفيرها. تسمح لك المعلمة verify_exp بتعطيل التحقق من انتهاء الصلاحية لحالات محددة.
  • يضيف revoc_jwt JTI (معرف JWT) للرمز المميز إلى القائمة السوداء للإلغاء. يعد هذا أمرًا ضروريًا لتسجيل الخروج قبل انتهاء الصلاحية الطبيعية للرمز المميز.
  • يقوم rotate_jwt بالتحقق من صحة الرمز المميز القديم وإصدار رمز جديد بنفس الهوية، مما يسمح بتدوير الرمز المميز الصامت دون مقاطعة جلسة المستخدم.
  • يتحقق validate_refresh_token من صحة الرموز المميزة للتحديث مع التحقق من انتمائها إلى مستخدم محدد، مما يمنع استخدام رمز التحديث المسروق من قبل مستخدم آخر.

3.2. إدارة الجلسة

يتضمن نظام جلسات منظمة أطباء بلا حدود الحماية ضد اختطاف الجلسة:

  • تقوم الجلسة الآمنة بإنشاء جلسة تربط بين معرف_المستخدم وIP ووكيل المستخدم وبصمة الجهاز. يتيح لك ذلك اكتشاف التغييرات المشبوهة في سياق الجلسة.
  • يتحقق "التحقق من صحة_الجلسة" مما إذا كان معرف الجلسة ينتمي إلى المستخدم وما إذا كان عنوان IP الحالي يطابق عنوان IP المسجل عند إنشاء الجلسة.
  • detect_session_hijack يقارن عنوان IP الحالي ووكيل المستخدم ببيانات الجلسة التاريخية. إذا تم نقل عنوان IP إلى شبكة فرعية مختلفة أو إذا تغير وكيل المستخدم بشكل ملحوظ، فسترجع الدالة صحيحًا للإشارة إلى احتمالية الاختراق.
  • يحتفظ detect_token_replay بسجل للرموز المميزة المستخدمة بالفعل. إذا تم تقديم الرمز المميز أكثر من مرة، تكتشف الوظيفة هجوم إعادة التشغيل.

3.3. كشف هجوم المصادقة

تكتشف منظمة أطباء بلا حدود ثلاثة أنواع رئيسية من الهجمات ضد أنظمة المصادقة:

  • يراقب detect_credential_stuffing محاولات تسجيل الدخول من عنوان IP واحد مقابل حسابات مستخدمين متعددة. إذا حاول عنوان IP استخدام العديد من أسماء المستخدمين المختلفة في فترة زمنية معينة، فسيتم وضع علامة عليه على أنه حشو لبيانات الاعتماد.
  • يراقب detect_bruteforce محاولات تسجيل الدخول مقابل حساب واحد. إذا تجاوز عدد المحاولات الحد الأدنى في النافذة الزمنية، فسيتم وضع علامة على ذلك على أنه قوة غاشمة.
  • detect_impossível_travel يحسب المسافة بين موقعين متتاليين لتسجيل الدخول ويقارنها بالوقت المنقضي. إذا تجاوزت السرعة المطلوبة للتنقل بين النقاط الحدود المادية المعقولة (على سبيل المثال 900 كم/ساعة)، تكتشف الوظيفة السفر المستحيل.
  • يعمل geo_velocity_check على توسيع نطاق اكتشاف السفر المستحيل إلى مواقع متعددة، وحساب السرعة الجغرافية بين جميع نقاط تسجيل الدخول المتتالية.

3.4. المصادقة التكيفية والقائمة على المخاطر

  • يقوم adaptive_auth بضبط متطلبات المصادقة بناءً على درجة المخاطرة الخاصة بالسياق. قد يتطلب تسجيل الدخول من جهاز مألوف في موقع مألوف كلمة مرور فقط، بينما قد يتطلب تسجيل الدخول من جهاز جديد في بلد مختلف MFA إضافيًا.
  • يستخدم "المصادقة السلوكية" القياسات الحيوية السلوكية (نمط الكتابة، وحركة الماوس، وإيقاع التصفح) للتحقق من هوية المستخدم مقابل خط الأساس السلوكي المسجل.
  • يحسب risk_based_auth درجة المخاطر المركبة من عدة نقاطحسب العوامل: الموقع، والجهاز، والوقت، والسلوك، وسمعة IP، وإرجاع قرار المصادقة بمستوى الثقة.

3.5. TOTP والرموز الاحتياطية

  • يقوم generate_totp بإنشاء رموز كلمة مرور لمرة واحدة تعتمد على الوقت وفقًا لـ RFC 6238، بأرقام وفترة قابلة للتكوين.
  • يتحقق validate_totp من صحة رموز TOTP مع تفاوت انحراف الساعة (معلمة drift)، للتعويض عن عدم التزامن بين الخادم وجهاز المستخدم.
  • يتحقق verify_backup_code من رموز النسخ الاحتياطي/الاسترداد ويستهلكها، ويزيلها من القائمة الصالحة بعد استخدامها لمنع إعادة استخدامها.

3.6. WebAuthn ومفاتيح المرور

  • يقوم "passkey_auth" بالتحقق من صحة مصادقة FIDO2/WebAuthn عن طريق التحقق من توقيع التشفير الخاص بالمصادق، وبيانات المصادق، وبيانات عميل JSON.
  • يقوم webauthn_verify بإجراء فحص كامل لتأكيد WebAuthn، بما في ذلك التحقق من صحة الأصل، ومعرف RP (معرف جهة الاعتماد)، وتوقيع التشفير مقابل المفتاح العام المسجل.
  • يتحقق phishing_resistance_auth مما إذا كانت طريقة المصادقة مقاومة للتصيد الاحتيالي، وتتطلب مستوى FIDO2 2 أو أعلى مع شهادة تم التحقق منها.

3.7. أمان كلمة المرور

  • يحسب "password_entropy" إنتروبيا شانون لكلمة المرور، ويقيس تعقيدها المعلوماتي بالبت. تعتبر كلمات المرور ذات الإنتروبيا أقل من 40 بت ضعيفة.
  • يجمع detect_weak_password بين تحليل الإنتروبيا والتحقق من قوائم كلمات المرور الشائعة (rockyou، وtop 10000، وما إلى ذلك).
  • يتحقق password_breach_check من ظهور تجزئة كلمة المرور في قاعدة بيانات للانتهاكات المعروفة (هل تم Pwned وما شابه ذلك).
  • يقوم secure_password_hash بإنشاء تجزئات لكلمات المرور باستخدام ملح التشفير وتمديد المفاتيح (التكرارات)، ودعم الخوارزميات مثل PBKDF2، وbcrypt، وscrypt، وArgon2.
  • يقارن verify_password_hash كلمة المرور بتجزئة مخزنة باستخدام المقارنة الآمنة في الوقت الثابت.

3.8. بصمة الجهاز والمتصفح

  • ينشئ device_fingerprint معرفًا فريدًا للجهاز من خلال سمات مثل وكيل المستخدم ودقة الشاشة والمنطقة الزمنية واللغات والنظام الأساسي.
  • يستخدم "browser_fingerprint" تقنيات متقدمة لبصمات الأصابع استنادًا إلى خصائص العرض: تجزئة اللوحة ثنائية الأبعاد، وتجزئة WebGL، وتجزئة السياق الصوتي، وقائمة الخطوط المثبتة.
  • التحقق من صحة المقاييس الحيوية يقارن البيانات البيومترية (بصمة الإصبع، والتعرف على الوجه، وقزحية العين) مع قالب مخزن مع عتبة تشابه قابلة للتكوين.

4. وحدة التشفير (التشفير)

تطبق وحدة التشفير خوارزميات التشفير الحديثة المتماثلة وغير المتماثلة وما بعد الكم، مع التركيز على المصادقة والنزاهة.

4.1. التشفير المصادق عليه

  • يستخدم "تشفير_البيانات" التشفير المعتمد مع البيانات المرتبطة (AEAD)، ويدعم AES-256-GCM وChaCha20-Poly1305. تسمح لك البيانات المرتبطة (AAD) بربط بيانات التعريف غير المشفرة بالنص المشفر بطريقة موثوقة.
  • يقوم decrypt_data بفك التشفير الموثق، والتحقق من علامة المصادقة قبل إعادة النص العادي. إذا كانت العلامة غير متطابقة، يفشل فك التشفير، مما يمنع حشو أوراكل وهجمات معالجة النص المشفر.
  • يعمل encrypt_file وdecrypt_file على توسيع نطاق التشفير المعتمد للملفات الموجودة على القرص، وإدارة بيانات nonce وsalt والبيانات الوصفية بشكل آمن.

4.2. التشفير الهجين

  • يجمع hybrid_encrypt بين التشفير غير المتماثل (لتبادل المفاتيح) والتشفير المتماثل (للحمولة). يتم إنشاء المفتاح المتماثل بشكل عشوائي، ويستخدم لتشفير الحمولة، ثم يتم تشفيره باستخدام المفتاح العام للمستلم.
  • hybrid_decrypt يعكس العملية: يفك تشفير المفتاح المتماثل بالمفتاح الخاص ثم يفك تشفير الحمولة.

4.3. التشفير ما بعد الكمي

تطبق منظمة أطباء بلا حدود خوارزميات ما بعد الكم الموحدة بواسطة NIST:

  • يستخدم pqc_encrypt وpqc_decrypt ML-KEM (Kyber سابقًا) للتشفير الكمي المقاوم للكمبيوتر.
  • يطبق kyber_key_exchange بروتوكول تبادل مفاتيح Kyber لإنشاء المفتاح المشترك بعد الكم.
  • يستخدم "dilithium_sign" ML-DSA (المعروف سابقًا باسم Dilithium) للتوقيعات الرقمية ما بعد الكم.
  • يستخدم sphincs_sign SPHINCS+، وهو نظام توقيع يعتمد على وظائف التجزئة، كبديل عديم الحالة بعد الكم.
  • يستخدم falcon_sign نظام Falcon، وهو نظام توقيع قائم على الشبكة مع توقيعات مدمجة.

4.4. HMAC والتحقق من التوقيع

  • يُنتج generate_hmac علامة التجزئة bرمز مصادقة الرسالة المعتمد باستخدام HMAC-SHA256، أو HMAC-SHA384، أو HMAC-SHA512، أو HMAC-SHA3-256.
  • verify_hmac يقارن HMAC المحسوب مع HMAC المتوقع باستخدام مقارنة الوقت الثابت.
  • يتحقق verify_signature من التوقيعات الرقمية (Ed25519، ECDSA، RSA-PSS) مقابل رسالة ومفتاح عام.

4.5. أدوات التشفير

  • يُنشئ secure_random بايتات آمنة تشفيريًا باستخدام os.urandom() (Python) أو crypto.getRandomValues() (TypeScript).
  • يقوم secure_memory_erase باستبدال مناطق الذاكرة التي تحتوي على بيانات حساسة بالأصفار، مما يمنع البيانات من البقاء في الذاكرة بعد الاستخدام.
  • يقارن anti_timing_compare تسلسلين من البايتات في وقت ثابت، ويتكرر على كل البايتات بغض النظر عن مكان حدوث الاختلاف الأول، مما يمنع هجمات التوقيت.

5. وحدة الويب

وحدة الويب هي الأكثر شمولاً من حيث اكتشاف الهجمات، مع 30 وظيفة في Python و35 في TypeScript. ويغطي جميع فئات ثغرات الويب المدرجة في قائمة OWASP Top 10 وما بعدها.

5.1. البرمجة النصية عبر المواقع (XSS)

  • يقوم detect_xss بتحليل المدخلات لأنماط XSS بما في ذلك: علامات <script> ومعالجات الأحداث (onload وonclick وonerror) وjavascript: URIs وDOM XSS (innerHTML وdocument.write) وXSS عبر SVG/MathML. تأخذ الوظيفة مجموعة من أنماط التعبير العادي وتحسب درجة الثقة بناءً على عدد الأنماط المطابقة. severity_threshold يسمح لك بضبط حساسية الكشف.
  • يزيل sanitize_html العلامات والسمات غير المسموح بها من HTML، باستخدام قائمة مسموح بها من العلامات الآمنة (<p>، <br>، <strong>، <em>، وما إلى ذلك) والسمات الآمنة (href، src، alt، title، وما إلى ذلك). تتم إزالة العلامات غير المسموح بها بالكامل، ويتم تصفية السمات الخطيرة مثل on*.
  • يقوم sanitize_svg بتطهير SVG عن طريق إزالة العناصر الخطيرة مثل <script> و<foreignObject> و<animate> وسمات الأحداث.
  • يعمل "sanitize_markdown" على تحسين عملية تخفيض السعر عن طريق إزالة HTML الخطير المضمن مع الحفاظ على تنسيق تخفيض السعر الأصلي.
  • يزيل sanitize_css خصائص CSS الخطيرة مثل expression() وurl(javascript:) وbehavior و-moz-binding.
  • يزيل sanitize_js أنماط JavaScript الخطيرة بما في ذلك eval() وFunction() وsetTimeout/setInterval مع السلسلة وdocument.write وdocument.cookie ومعالجة DOM غير الآمنة وطرق تنفيذ التعليمات البرمجية.

5.2. حقن SQL وNoSQL

  • يكتشف detect_sqli أنماط إدخال SQL بما في ذلك: الاستعلامات المستندة إلى UNION (UNION SELECT)، والاستعلامات العمياء (AND 1=1، OR '1'='1')، والاستعلامات المستندة إلى الوقت (SLEEP()، وWAITFOR DELAY)، والاستعلامات المستندة إلى الأخطاء والمكدسة. تكتشف الوظيفة أيضًا تقنيات التهرب مثل التشفير السداسي والتعليقات (-- و/* */) وتسلسل السلسلة.
  • يكتشف detect_nósqli الحقن في قواعد بيانات NoSQL (بشكل أساسي MongoDB) لتحديد العوامل الخطرة في الإدخال: $gt، $gte، $lt، $lte، $ne، $in، $nin، $regex، $where، $exists.

5.3. تزوير الطلب من جانب الخادم (SSRF)

  • يقوم detect_ssrf بالتحقق من عناوين URL مقابل قائمة النطاقات المسموح بها وعناوين IP المحظورة. تكتشف الوظيفة تقنيات تجاوز SSRF بما في ذلك: عمليات إعادة التوجيه إلى المضيف المحلي، واستخدام إعادة ربط DNS، وعناوين URL ذات التشفير (%00، %0d%0a)، والوصول إلى نقاط نهاية البيانات الوصفية السحابية (169.254.169.254، metadata.google.internal).

5.4. تنفيذ التعليمات البرمجية عن بعد (RCE) وحقن الأوامر

  • يحدد detect_rce أنماط تنفيذ التعليمات البرمجية عن بُعد، بما في ذلك استدعاءات eval() وexec() وsystem() وpassthru() وpopen() وbackticcks ومشغلي توجيه الإخراج.
  • يكتشف detect_command_injection إدخال أوامر نظام التشغيل باستخدام عوامل تشغيل Shell: ;، |، ||، &&، علامات الظهر، $()، وعمليات إعادة التوجيه (>، >>).

5.5. إدراج الملف واجتياز المسار

  • يكتشف detect_lfi تضمين الملفات المحلية عن طريق تحديد تسلسلات اجتياز المسار (../، ..\)، والاجتياز المشفر (%2e%2e%2f)، والبروتوكولات الخطيرة (php://filter، php://input، data://، expect://).
  • يكتشف detect_rfi تضمين الملفات عن بعد عند تمرير عناوين URL الخارجية كمعلمات تضمين/تتطلب.
  • يتحقق "detect_path_traversal" مما إذا كان المسار قد تم حله ضمن "مسار_أساسي" مسموح به، ويكشف عن الاجتياز المطلق والنسبي.

5.6. حقن القالب

  • يكتشف detect_template_injection حقن القالب من جانب الخادم (SSTI) لـ Jinja2 ({{ 7*7 }}، {% for %})، EJS (<%= %>)، المقاود ({{#each}})، Pug، Twig، Moustache، ووضع عام يكتشف بناء جملة القالب الشائع.

5.7. إلغاء التسلسل وفتح إعادة التوجيه

  • يحدد detect_deserialization_attack إلغاء التسلسل غير الآمن عن طريق التحقق من الفئات المسموح بها وأنماط الأدوات المعروفة (تسلسل Java، وPython Pickle، وPHP unserialize، وYAML إلغاء التسلسل).
  • يتحقق detect_open_redirect مما إذا كان عنوان URL لإعادة التوجيه يشير إلى مضيف في القائمة البيضاء، مما يمنع عمليات إعادة التوجيه إلى النطاقات الضارة.

5.8. حماية CSRF وCORS وCSP

  • csrf_protect' وvalidate_csrf` يتحققان من رموز CSRF المميزة للطلب مقابل الرموز المميزة للجلسة باستخدام المقارنة الآمنة.
  • يتحقق validate_cors من صحة طلبات CORS عن طريق التحقق من الأصل والطرق والرؤوس مقابل القوائم المسموح بها.
  • ينشئ generate_csp رؤوس سياسة أمان المحتوى من التكوين التوجيهي (script-src، وstyle-src، وimg-src، وconnect-src، وأسلاف الإطار، وما إلى ذلك).
  • يتحقق validate_csp من صحة رأس CSP الموجود مقابل سياسة أمان محددة.
  • يُنشئ secure_headers مجموعة كاملة من رؤوس الأمان: Strict-Transport-Security، وX-Frame-Options، وX-Content-Type-Options، وX-XSS-Protection، وReferrer-Policy، وPermissions-Policy، وContent-Security-Policy.

5.9. ملفات تعريف الارتباط الآمنة وClickjacking

  • يقوم secure_cookie بإنشاء رؤوس Set-Cookie مع علامات Secure وHttpOnly وSameSite (Strict أو Lax) ونطاق المجال والمسار وعلامات الحد الأقصى للعمر.
  • يتحقق detect_clickjacking من وجود رؤوس X-Frame-Options وأسلاف إطارات CSP لاكتشاف ثغرة Clickjacking.
  • يتحقق validate_origin وvalidate_referer من صحة رؤوس Origin وReferer مقابل النطاقات المتوقعة.

5.10. خطافات الويب

  • يقوم webhook_signature بإنشاء توقيعات HMAC لحمولات webhook، بما في ذلك الطابع الزمني لمنع إعادة التشغيل.
  • يتحقق webhook_replay_protection من توقيع webhook والطابع الزمني، ويرفض الطلبات خارج الإطار الزمني الذي تم تكوينه.

6. وحدة واجهة برمجة التطبيقات

تعمل وحدة واجهة برمجة التطبيقات (API) على حماية نقاط نهاية واجهة برمجة التطبيقات (API) ضد مجموعة واسعة من الهجمات وإساءة الاستخدام.

6.1. التحقق من صحة المدخلات والتعقيم

  • يتحقق validate_json_schema من صحة البيانات مقابل تعريفات مخطط JSON باستخدام الوضع الصارم الاختياري الذي يرفض الحقول الإضافية غير المحددة في المخطط.
  • يتحقق validate_input من صحة إدخال واجهة برمجة التطبيقات مقابل قواعد النوع (سلسلة، رقم، منطقي، صفيف، كائن)، الحد الأدنى/الحد الأقصى للحجم، نمط التعبير العادي، تعداد القيم المسموح بها، والحد الأقصى لعمق التداخل (الافتراضي: 5 مستويات).
  • يقوم sanitize_json بتطهير بيانات JSON عن طريق إزالة الأنواع غير المسموح بها واقتطاع السلاسل التي تتجاوز الحد الأقصى للطول الذي تم تكوينه (الافتراضي: 10000 حرف).

6.2. الحد من المعدل

  • يطبق api_rate_limit تحديد المعدل باستخدام خوارزمية النافذة المنزلقة، مع الاحتفاظ بسجل للطوابع الزمنية للطلب لكل عميل ونقطة النهاية. عندما يتجاوز عدد الطلبات في النافذة الحد الأقصى، يتم رفض الطلب.
  • يقوم adaptive_rate_limit بضبط حدود المعدل ديناميكيًا بناءً على سلوك العميل. يتلقى العملاء الذين لديهم سجل نظيف حدودًا أكثر سخاءً، بينما يحصل العملاء ذوو الأنماط المشبوهة على حدود أكثر تقييدًا.

6.3. اكتشاف إساءة استخدام واجهة برمجة التطبيقات

  • يقوم detect_api_abuse بتحليل أنماط الطلب للكشف عن: الكشط (الطلبات التسلسلية للعديد من الموارد)، والتعداد (محاولات المعرفات التسلسلية)، والتشويش (الطلبات ذات الحمولات المشوهة المختلفة)، والأتمتة الضارة (التردد العالي مع الأنماط العادية).
  • يحدد detect_shadow_api نقاط النهاية غير الموثقة التي تستقبل حركة المرور من خلال مقارنة نقاط النهاية التي تم الوصول إليها بقائمة واجهات برمجة التطبيقات الموثقة.

6.4. ترخيص مستوى الكائن المعطل (BOLA/IDOR)

  • يتحقق detect_bola مما إذا كان المستخدم مصرحًا له بالوصول إلى المورد المطلوب، ويقارن resource_id مع owner_map الذي يعين الموارد لأصحابها. إذا لم يكن المستخدم هو المالك وليس لديه أذونات مفوضة، فسترجع الدالة صحيحًا.

6.5. المصادقة المكسورة والتخصيص الجماعي

  • يتحقق detect_broken_auth من وجود وصلاحية رمز المصادقة المميز، والنطاقات التي تتطلبها نقطة النهاية، والمراسلات بين الرمز المميز والمستخدم المطلوب.
  • يتحقق detect_mass_signment مما إذا كان إدخال واجهة برمجة التطبيقات يحتوي على حقول غير موجودة في النموذج (model_fields) أو الموجودة في قائمة الحقول للقراءة فقط (readonly_fields)، مما يمنع المهاجمين من تعديل الحقول المحمية مثل is_admin أو role أو balance.

6.6. أمن GraphQL

  • graphql_ Deep_limit يحلل عمق استعلامات GraphQL، ويرفض الاستعلامات التي تتجاوز الحد الذي تم تكوينه (الافتراضي: 10 مستويات). وهذا يمنع الهجمات التيالتكرارات المتكررة التي يمكن أن تسبب رفض الخدمة.
  • يحسب "تحليل_تكلفة_graphql" التكلفة الحسابية لاستعلام GraphQL بناءً على مدى تعقيد كل حقل (يمكن تكوينه عبر "خريطة_التعقيد") ومستوى التداخل. يتم رفض الاستعلامات التي تزيد تكلفتها عن الحد (الافتراضي: 1000).
  • يقوم graphql_abuse_detection بتحليل استعلامات متعددة في نافذة زمنية لاكتشاف تدفق الاستعلامات وإساءة استخدام الاستبطان (الاستعلامات التي تستغل المخطط لتعيين واجهة برمجة التطبيقات) وأنماط إساءة الاستخدام المتكررة.

6.7. gRPC وأمن WebSocket

  • يتحقق grpc_security_validation من أمان طلبات gRPC عن طريق التحقق من البيانات التعريفية والرؤوس الإلزامية ومعلومات TLS (مجموعة التشفير والبروتوكول وشهادة النظير).
  • يقوم secure_websocket بتكوين اتصالات WebSocket الآمنة مع التحقق من صحة الأصل والبروتوكولات الفرعية المسموح بها.
  • يوفر "websocket_origin_validation" و"websocket_flood_protection" الحماية من اتصالات WebSocket الضارة وفيضان الاتصالات.

6.8. إدارة مفاتيح API

  • يُنشئ api_key_rotation مفاتيح واجهة برمجة تطبيقات جديدة ذات تجزئة آمنة (SHA3-256)، وبادئة يمكن تحديدها، وتاريخ انتهاء صلاحية قابل للتكوين.
  • يقوم api_key_validation بالتحقق من صحة مفاتيح API مقابل سجل المفاتيح المعروفة، والتحقق من النطاقات، وانتهاء الصلاحية، وحدود المعدلات الفردية.

7. وحدة الذكاء الاصطناعي (AI).

تعد وحدة الذكاء الاصطناعي واحدة من أكثر وحدات منظمة أطباء بلا حدود ابتكارًا، حيث توفر حماية كاملة للتطبيقات التي تستخدم نماذج اللغات الكبيرة (LLMs).

7.1. الحقن الفوري والحماية من الهروب من السجن

  • يحلل detect_prompt_injection المطالبات لأنماط الحقن مثل "تجاهل التعليمات السابقة"، و"نسيان كل القواعد"، و"النظام:"، و"أنت الآن"، و"تجاهل كل التعليمات السابقة"، و"تجاوز تعليمات النظام"، و"تجاوز الأمان"، و"تصرف كما لو كنت كذلك"، و"تظاهر بأنك كذلك"، و"من الآن فصاعدًا أنت كذلك"، و"وضع المطور:"، وأنماط الترميز التي تحاول محاكاة تعليمات النظام. تستخدم الوظيفة أكثر من 20 نمطًا من أنماط التعبير العادي وتحسب درجة الثقة بناءً على عدد التطابقات وطول المطالبة.
  • يكتشف detect_jailbreak محاولات كسر الحماية التي تهدف على وجه التحديد إلى تجاوز قيود أمان LLM، بما في ذلك: وضع DAN، و"افعل أي شيء الآن"، و"تعطيل الأمان"، و"الوضع غير المقيد"، و"بدون أي قيود"، و"تجاهل إرشادات السلامة الخاصة بك"، و"ليس عليك اتباع قواعدك"، و"لعب الأدوار على أنها غير مقيدة"، و"السيناريو الافتراضي حيث يمكنك"، و"في هذا الكون البديل"، وأنماط "للأغراض التعليمية فقط" المستخدمة كمبرر للتجاوز.

7.2. حماية البيانات الحساسة

  • يقوم detect_sensitive_leak بمسح النص بحثًا عن البيانات الحساسة بما في ذلك: SSN/CPF، وأرقام بطاقات الائتمان (مع التحقق من صحة المجموع الاختباري Luhn)، ورسائل البريد الإلكتروني، وأرقام الهواتف، ومفاتيح واجهة برمجة التطبيقات (AWS، وGCP، وGitHub، ومعايير Stripe)، وكلمات المرور، ورموز JWT، والمفاتيح الخاصة (رؤوس PEM)، وعناوين محفظة العملة المشفرة.
  • يكتشف detect_prompt_leak محاولات استخراج موجه نظام LLM من خلال مقارنة محتويات موجه المستخدم مع موجه النظام باستخدام تشابه النص. إذا كان المستخدم يحاول إعادة إنتاج أو استنتاج أجزاء من موجه النظام، فإن الوظيفة تضع علامة عليه.
  • يقوم detect_data_exfilteration بتحليل مخرجات LLM للبيانات الحساسة التي ربما تم تضمينها في الاستجابة عن غير قصد.

7.3. التعقيم

  • يزيل sanitize_prompt الأنماط المحظورة من موجه المستخدم ويفرض حدًا للطول.
  • يقوم sanitize_llm_output بإزالة البرامج النصية ومعالجات الأحداث والبيانات الحساسة من مخرجات LLM، مع تطبيق الاقتطاع إذا لزم الأمر.
  • يقوم ai_memory_sanitizer بتعقيم إدخالات ذاكرة الذكاء الاصطناعي بناءً على سياسة الاحتفاظ، وإزالة البيانات الحساسة والإدخالات منتهية الصلاحية.

7.4. كشف إساءة استخدام النموذج والوكيل

  • يقوم detect_model_abuse بتحليل أنماط الطلب للكشف عن إساءة استخدام النموذج: التكرار المفرط (يتم إرسال نفس المطالبة عدة مرات)، ومعدل الطلب المرتفع (أعلى من 30/دقيقة)، والتعقيد غير الطبيعي (الاستعلامات العميقة أو الطويلة جدًا). يتم حساب درجة إساءة الاستخدام كمجموعة مرجحة من مطابقة الأنماط والتكرار والمعدل والتعقيد.
  • يراقب detect_agent_abuse سلوك وكلاء الذكاء الاصطناعي عن طريق التحقق مما إذا كانت الإجراءات التي تم تنفيذها ضمن السياسات المحددة (الإجراءات المسموح بها، حدود المكالمات، قيود الوصول).

7.5. LLM جدار الحماية ومحرك السياسة

  • يقوم llm_firewall بتقييم الإدخال مقابل مجموعة من قواعد جدار الحماية LLM مع إجراءات قابلة للتكوين (حظر، تحذير، تسجيل). تحدد كل قاعدة نمطًا وشرطًا وإجراءً.
  • يتم تقييم ai_policy_engineكل من مطالبة LLM ومخرجاتها مقابل مجموعة من السياسات الأمنية، بما في ذلك: حظر إنشاء تعليمات برمجية ضارة، وحظر الكشف عن المعلومات الشخصية، ومتطلبات مصادر المطالبات الواقعية، والقيود الخاصة بالمجال.

7.6. خرقة والهلوسة

  • يتحقق rag_source_validation من مصداقية المصادر المستخدمة في أنظمة RAG (إنشاء الاسترجاع المعزز)، والتحقق مما إذا كانت نطاقات المصدر مدرجة في القائمة الموثوقة وتطبيق قواعد التحقق من الصحة مثل التحقق من التاريخ والمؤلف والسمعة.
  • يقوم "خطر_الهلوسة" بتقييم خطر الهلوسة في مخرجات LLM من خلال تحليل: درجات الثقة المنخفضة، والبيانات التي لم يتم التحقق منها، والتناقضات الواقعية، وأنماط اللغة التي تشير إلى عدم اليقين.

7.7. الدرابزين والتحقق من صحة استدعاء الأداة

  • يطبق ai_output_guard حواجز الحماية وقواعد التنقيح على مخرجات LLM، وإزالة المحتوى المحظور وتنقيح البيانات الحساسة.
  • يتحقق tool_call_validation من صحة استدعاءات الأداة (استدعاء الوظائف) عن طريق التحقق مما إذا كانت الأداة مدرجة في القائمة المسموح بها وما إذا كانت الوسائط تتوافق مع المخطط المتوقع.
  • `multi_agent_isolation' يتحقق من صحة سياسات العزل والاتصال بين وكلاء الذكاء الاصطناعي المتعددين، مما يمنع وكيلًا واحدًا من اختراق وكيل آخر.

7.8. المراقبة

  • يراقب ai_token_monitor استخدام رموز LLM مقابل الحدود المحددة (لكل طلب، لكل دقيقة، لكل يوم، لكل تكلفة)، ويولد تنبيهات عند الاقتراب من الحدود أو تجاوزها.
  • يراقب ai_behavior_monitor سلوك الذكاء الاصطناعي بحثًا عن الانحرافات عن خط الأساس المحدد، أو اكتشاف التغييرات في أنماط الاستجابة، أو الأخطاء المتزايدة، أو السلوك غير المتوقع.

8. وحدة الشبكة

توفر وحدة الشبكة اكتشافًا للتهديدات على مستوى الشبكة، وتغطي كل شيء بدءًا من فحص المنافذ وحتى اتصالات الأوامر والتحكم.

8.1. كشف المسح

  • يقوم detect_port_scan بتحليل الاتصالات من عنوان IP المصدر لاكتشاف عمليات فحص المنافذ. تقوم الوظيفة بحساب المنافذ الفريدة التي تم الوصول إليها، وحساب معدل الاتصال (الاتصالات في الثانية)، وتحليل أنماط إشارة TCP (تدفق SYN، وأنماط SYN-RST). تتضمن أنواع الفحص المكتشفة ما يلي: فحص SYN، وفحص FIN، وفحص XMAS، وفحص NULL، ومسح UDP. يتيح لك الحد القابل للتكوين ضبط الحساسية (الافتراضي: 20 منفذًا فرديًا في 60 ثانية).
  • يقوم detect_dns_tunneling بتحليل استعلامات DNS لاكتشاف النفق، وحساب إنتروبيا شانون للنطاقات الفرعية (تحتوي البيانات المشفرة في استعلامات DNS على إنتروبيا عالية)، وقياس متوسط ​​حجم النطاقات الفرعية، وحساب تكرار الاستعلامات لمجال معين.

8.2. كشف الشذوذ المروري

  • detect_traffic_anomaly يقارن مقاييس حركة المرور الحالية (البايت في الثانية، الحزم في الثانية، الاتصالات في الثانية، توزيع البروتوكول) مع خط الأساس التاريخي باستخدام درجة z الثابتة. يتم وضع علامة على الانحرافات فوق الحد (الافتراضي: 2.0 انحرافات معيارية) على أنها حالات شاذة.
  • يكتشف detect_ddos هجمات رفض الخدمة الموزعة من خلال تحليل الزيادات في البايتات/الحزم في الثانية مقابل خط الأساس، مع حد قابل للتكوين ونافذة زمنية.

8.3. اكتشاف الوكيل و VPN و Tor

  • يتحقق detect_proxy من رؤوس HTTP التي تشير إلى الوكيل (X-Forwarded-For، وVia، وX-Real-IP، وForwarded) ويحلل الأنماط السلوكية لاتصالات الوكيل.
  • يقوم detect_vpn بالتحقق من عنوان IP المصدر مقابل قاعدة بيانات لعناوين IP المعروفة لموفر VPN.
  • يتحقق detect_tor مما إذا كان عنوان IP ينتمي إلى شبكة Tor من خلال مقارنته بقوائم العقد وعقد الخروج من شبكة Tor.

8.4. التحقق من صحة الملكية الفكرية والمجال

  • validate_ip يتحقق من صحة عناوين IPv4 مقابل النطاقات والكتل المسموح بها باستخدام مطابقة CIDR. يدعم تدوين CIDR (على سبيل المثال 192.168.1.0/24) والنطاقات الفردية.
  • يتحقق validate_domain من صحة النطاقات عن طريق التحقق من TLD مقابل القائمة المسموح بها (على سبيل المثال فقط .com، .org، .br) والنطاق الكامل مقابل القائمة المحظورة.

8.5. كشف الانتحال والتسمم ARP

  • يقوم detect_spoofing بتحليل بيانات الحزمة مقابل المصادر المتوقعة وهيكل الشبكة لاكتشاف انتحال IP، والتحقق مما إذا كان عنوان IP المصدر متوافقًا مع المسار المتوقع.
  • يقارن detect_arp_poisoning جدول ARP الحالي بتعيينات IP إلى MAC المتوقعة، ويكتشف متى يستجيب عنوان MAC لعناوين IP متعددة أو عندما يتغير التعيين بشكل غير متوقع.

8.6. بصمة TLS

  • ينشئ tls_fingerprint بصمة TLS من المصافحة (مجموعات التشفير، والامتدادات، والمنحنيات الإهليلجية، وتنسيقات النقاط) ويقارن بينهاإلى قاعدة بيانات لبصمات الأصابع المعروفة للتعرف على العميل.
  • يُنشئ ja3_fingerprint تجزئة JA3 خاصة بـ TLS ClientHello، وهو معيار صناعي لتحديد عملاء TLS بناءً على معلمات التفاوض.

8.7. منارة والكشف عن C2

  • يكتشف beaconing_detection سلوك الإشارة (الاتصال الدوري مع القيادة والتحكم) من خلال تحليل انتظام الفواصل الزمنية بين الاتصالات. تشير الاتصالات ذات الفواصل الزمنية المنتظمة جدًا (ارتعاش منخفض) وارتباط الفترات العالية إلى وجود إشارة.
  • يحلل "command_and_control_detection" أنماط حركة المرور مقابل المؤشرات المعروفة لـ C2: الاتصال بنطاقات DGA (خوارزمية إنشاء المجال)، وحركة المرور على المنافذ غير القياسية، وأنماط الإشارات، واستخدام بروتوكولات الأنفاق (DNS، ICMP، HTTP).

8.8. الحركة الجانبية وتحليل الشبكة

  • يكتشف "الكشف عن الحركة الجانبية" الحركة الجانبية من خلال تحليل أنماط الوصول بين المضيفين على الشبكة: الوصول إلى المضيفين الذين لا يصل إليهم المستخدم عادةً، واستخدام بروتوكولات الإدارة عن بعد (RDP، SSH، WMI) للمضيفين غير العاديين، ونشر الوصول في نمط رسم بياني.
  • يقوم "تحليل_الشبكة_بالشبكة" بتحليل إنتروبيا حزم الشبكة للكشف عن حركة المرور المشفرة أو المشفرة (تشير الإنتروبيا العالية إلى بيانات عشوائية أو مشفرة).
  • يحلل تحليل_سلوك_حركة المرور سلوك حركة المرور مقابل خطوط الأساس المحددة في نافذة زمنية، ويكشف عن التغييرات في نمط الاتصال.
  • يكتشف "protocol_anomaly_detection" الحالات الشاذة في البروتوكولات من خلال مقارنة بيانات البروتوكول بالمواصفات المتوقعة (الحقول المطلوبة، والقيم الصالحة، وتسلسل الرسائل).

9. الوحدة السحابية

تحمي الوحدة السحابية البنى التحتية السحابية على AWS وGCP وAzure، وتغطي الحاويات وKubernetes والتخزين وIAM وIaC وسلسلة التوريد.

9.1. أمن الحاويات

  • يتحقق validate_dockerfile من صحة ملفات Dockerfiles مقابل أفضل الممارسات الأمنية: لا تستخدم علامة latest، ولا تعمل كجذر، وقم بتضمين HEALTHCHECK، ولا تقم بتضمين أسرار مضمنة، واستخدم الحد الأدنى من الصور الأساسية (alpine، distroless)، ولا تكشف عن المنافذ غير الضرورية.
  • يكتشف detect_container_escape متجهات هروب الحاوية المحتملة عن طريق التحقق من: الوضع المميز، والإمكانيات الخطيرة (SYS_ADMIN، SYS_PTRACE، NET_ADMIN)، وتركيب مسار المضيف الحساس (/، /etc، /proc، /sys)، ونقص ملفات تعريف seccomp/AppArmor، ومشاركة مساحة اسم المضيف.
  • يقوم "runtime_container_protection" بتحليل أحداث الحاوية في وقت التشغيل مقابل قواعد التهديد وتنفيذ إجراءات تلقائية (حظر، تنبيه، عزل، إنهاء، تسجيل).
  • يقوم container_image_scan بفحص طبقات صور الحاوية بحثًا عن الثغرات الأمنية المعروفة (CVEs) والتحقق من توقيعات الصور (Cosign، Notary).

9.2. أمن كوبرنيتيس

  • يتحقق validate_k8s_rbac من صحة تكوينات Kubernetes RBAC مقابل مبادئ الامتيازات الأقل: اكتشاف ClusterRoles باستخدام أحرف البدل (*)، وحسابات الخدمة ذات الأذونات المفرطة، والارتباطات التي تمنح الوصول إلى الأسرار، والأدوار التي تسمح بـ exec في الكبسولات.
  • validate_kubernetes_manifest يتحقق من صحة بيانات Kubernetes مقابل سياسات أمان pod وسياسات الشبكة: اكتشاف البودات التي تعمل كجذر، بدون حدود للموارد، مع hostNetwork/hostPID/hostIPC، بدون readOnlyRootFilesystem، وبدون SecurityContext.
  • يكتشف runtime_k8s_anomaly السلوك الشاذ في أحداث وقت تشغيل Kubernetes: إنشاء حاويات في مساحات أسماء غير عادية، وتغييرات في RBAC، والوصول إلى الأسرار غير القياسية، والتواصل بين الكبسولات التي لا تتواصل عادةً.

9.3. التخزين وIAM

  • يكتشف detect_public_bucket مجموعات التخزين السحابية التي يمكن الوصول إليها بشكل عام عن طريق التحقق من: سياسات الحاوية مع أساسية: "*"، وقوائم ACL العامة، وتعطيل حظر الوصول العام، وتكوينات موقع الويب التي تكشف المجموعة.
  • يتحقق validate_s3_permissions من صحة أذونات حاوية S3 مقابل متطلبات الأمان: التحقق من عدم وجود أذونات كتابة عامة، وتمكين التشفير، وتنشيط الإصدار، وتكوين التسجيل.
  • تعمل validate_iam_policy على التحقق من صحة سياسات IAM مقابل قوائم الإجراءات المسموح بها والمحظورة، واكتشاف الأذونات الزائدة: الإجراءات ذات أحرف البدل (s3:*، *)، والوصول إلى موارد جميع الخدمات، وغياب شروط التقييد.

9.4. البنية التحتية كرمز

  • يقوم validate_terraform بالتحقق من صحة خطط Terraform مقابل سياسات الأمان: اكتشاف الموارد مع تعطيل التشفير، ومجموعات الأمان ذات قواعد الدخول المفتوحة (0.0.0.0/0)، والمجموعات العامة، وقواعد البيانات غير المدعومة، والموارد دون تحديد العلامات.
  • يكتشف detect_cloud_misconfig التكوينات الخاطئة للبنية التحتية السحابية من خلال مقارنة التكوين الحالي مع خط الأمان الأساسي لكل موفر (AWS، وGCP، وAzure).

9.5. الأسرار وسلسلة التوريد

  • يتحقق validate_secrets_manager من صحة تكوين مدير الأسرار: تمكين التدوير التلقائي، والتشفير غير النشط مع KMS، وسياسات الوصول المقيدة، وتمكين تسجيل الوصول.
  • يقوم supply_chain_validation بالتحقق من صحة تبعيات البرامج مقابل المصادر الموثوقة وقواعد بيانات الثغرات الأمنية، واكتشاف الحزم من مصادر لم يتم التحقق منها، والإصدارات ذات التهديدات الشائعة المعروفة، والتبعيات ذات التراخيص المقيدة.
  • يقوم sbom_generator بإنشاء قائمة مواد البرنامج بتنسيقات SPDX أو CycloneDX، مع إدراج جميع المكونات بالاسم والإصدار والنوع والتراخيص والتجزئة.
  • يقوم dependency_audit بتدقيق التبعيات مقابل قاعدة بيانات الثغرات الأمنية باستخدام مرشح الخطورة.
  • يكتشف detect_typósquatting هجمات typósquatting من خلال مقارنة أسماء الحزم بالحزم المعروفة باستخدام تشابه السلسلة (Levenshtein، مبادلة الأحرف، الواصلة).

9.6. النتيجة والهوية

  • يحسب cloud_security_score درجة أمان السحابة الإجمالية استنادًا إلى معايير CIS والأوزان القابلة للتكوين حسب الفئة (IAM، والتخزين، والشبكة، والتسجيل، والتشفير).
  • workload_identity_validation يتحقق من صحة تكوين هوية عبء العمل (IRSA على AWS، وWorkload Identity على GKE، و Managed Identity على Azure).
  • يتحقق "التحقق من صحة الحوسبة السرية" من صحة شهادة الحوسبة السرية لـ TEEs (Intel SGX/TDX وAMD SEV-SNP وAWS Nitro Enclaves وAzure CVM).

10. وحدة المراقبة

توفر وحدة المراقبة إمكانات متقدمة للكشف والارتباط والاستجابة للحوادث.

10.1. تسجيل مقاوم للعبث

  • ينشئ secure_log إدخالات سجل آمنة ذات تكامل تشفيري باستخدام سلسلة التجزئة: يتضمن كل إدخال تجزئة الإدخال السابق، مما يجعل من المستحيل تغيير الإدخالات السابقة دون إبطال السلسلة بأكملها.
  • يتحقق tamperproof_logs من سلامة سلسلة السجلات من خلال التحقق من أن كل تجزئة تشير بشكل صحيح إلى الإدخال السابق.

10.2. التهديف الإحصائي

  • يحسب anomaly_score درجة الشذوذ باستخدام درجة z الإحصائية: بالنسبة لكل مقياس، يتم حساب عدد الانحرافات المعيارية التي تمثلها القيمة الحالية عن المتوسط التاريخي. يتم دمج الدرجات الفردية مع الأوزان القابلة للتكوين لإنتاج درجة مركبة.
  • تحسب threat_score درجة التهديد المكونة من الأحداث الأمنية والاستخباراتية المتعلقة بالتهديدات، مع الترجيح حسب الخطورة وأهمية الهدف والثقة في مصدر المعلومات الاستخبارية.
  • risk_score يحسب درجة المخاطرة لمستخدم معين بناءً على الأحداث الأخيرة والسياق الحالي والتاريخ (متوسط ​​المخاطر السابق، عدد الحوادث، الأيام منذ آخر حادث).

10.3. الارتباط والتنبيهات

  • يربط correlate_events الأحداث الأمنية ضمن نافذة زمنية باستخدام قواعد الارتباط المحددة من قبل المستخدم. على سبيل المثال: "إذا كانت هناك 3 أحداث تسجيل دخول فاشلة من نفس عنوان IP متبوعة بحدث نجاح، فاربطها كقوة غاشمة محتملة".
  • يقوم realtime_alert بتقييم الأحداث وفقًا لقواعد التنبيه وإنشاء تنبيهات في الوقت الفعلي باستخدام إشعارات قابلة للتكوين (البريد الإلكتروني، Slack، PagerDuty، webhook).
  • ينفذ "التنبيه_التكيفي" التنبيهات التكيفية مع منع إجهاد التنبيه: إذا تجاوز عدد التنبيهات في الساعة خط الأساس، يقوم النظام بتجميع التنبيهات المماثلة ويقلل تكرار الإشعارات.

10.4. تحليل الهجوم

  • يقوم "تحليل_مسار_الهجوم" بتحليل مسارات الهجوم المحتملة عبر الشبكة استنادًا إلى الأحداث الأمنية وهيكل الشبكة، وتحديد تسلسل الإجراءات التي يمكن للمهاجم استخدامها للوصول إلى هدف بالغ الأهمية.
  • ينشئ threat_graph رسمًا بيانيًا للمعرفة بالتهديدات من الأحداث والكيانات (المستخدمين والمضيفين والتطبيقات) والعلاقات (التي تم الوصول إليها أو اختراقها أو التواصل معها).
  • يقوم "attack_chain_mapping" بتعيين الأحداث الأمنية وفقًا لإطار عمل MITRE ATT&CK (التقنيات والتكتيكات) وسلسلة Cyber ​​Kill Chain (الاستطلاع، والتسليح، والتوصيل، والاستغلال، والتثبيت، والتحكم في C2، والإجراءات على الأهداف).

10.5. التحليل السلوكي وUEBA

  • يحلل "التحليل السلوكي" سلوك المستخدم مقابل خطوط الأساس المحددة: أوقات تسجيل الدخول النموذجية، والمواقع المشتركة، وحجم الأحداث في الساعة، وأنواع الإجراءات النموذجية.
  • يتم تنفيذ "تحليل_ueba".تحليلات سلوك المستخدم والكيان التي تقارن سلوك المستخدم مع مجموعة النظراء (مجموعة من المستخدمين الذين لديهم ملف تعريف مماثل)، والكشف عن الانحرافات الإحصائية.
  • يكتشف detect_account_takeover محاولات الاستيلاء على الحساب بناءً على مؤشرات سلوكية: تسجيل دخول غير معروف لجهاز، وموقع غير عادي، ووقت غير معتاد، وتغيير كلمة المرور متبوعًا بنقل البيانات، والوصول إلى موارد غير قياسية.

10.6. الاستجابة الذاتية والطب الشرعي

  • ينفذ autonomous_response استجابة مستقلة للحوادث استنادًا إلى خطورة التهديد وقواعد الاستجابة: حظر عنوان IP، وتعطيل الحساب، وعزل المضيف، وإلغاء الرموز المميزة، والتصعيد إلى فريق الأمان.
  • تُنشئ "لقطة_الطب الشرعي" لقطة جنائية لحالة النظام مع سلسلة من الأدلة، بما في ذلك تجزئة التشفير لجميع العناصر المجمعة.
  • ينشئ "الخط الزمني_للحادثة" مخططًا زمنيًا للحوادث من الأحداث الأمنية، مع الترتيب حسب الطابع الزمني والتجميع حسب مرحلة الهجوم.
  • يقوم "الفرز المستقل" بإجراء فرز مستقل للتنبيهات باستخدام قواعد الفرز وبيانات الإثراء (معلومات التهديد، وسياق المستخدم، والسجل الإيجابي الزائف).

11. وحدة الدفاع النشط (دفاعي)

تطبق الوحدة الدفاعية آليات دفاع نشطة تحمي إطار العمل ووقت تشغيل التطبيق نفسه.

11.1. مكافحة التصحيح ومكافحة العبث

  • يتيح runtime_self_protection آليات الحماية الذاتية في وقت التشغيل: فحوصات التكامل الدورية، واكتشاف تصحيح الأخطاء، والمراقبة المستمرة لحالة العملية.
  • يكتشف anti_debugging_detection محاولات تصحيح الأخطاء النشطة عن طريق التحقق من: حالة ptrace (إذا كان يتم تتبع العملية)، وإشارات مصحح الأخطاء في البيئة (متغيرات البيئة، وملفات تصحيح الأخطاء)، والحالات الشاذة في وقت التشغيل (تشير فترات التوقف المؤقت غير المتوقعة إلى نقاط التوقف).
  • يتحقق anti_tampering من السلامة الثنائية من خلال مقارنة تجزئات التشفير (SHA-256، SHA3-256) مع القيم المتوقعة. إذا تم تغيير التجزئة، فقد تم تعديل الثنائي.
  • يتحقق memory_integrity_check من سلامة مناطق الذاكرة من خلال مقارنة الحالة الحالية بالحالة المتوقعة والتحقق من توقيعات المناطق الحرجة.
  • يتحقق process_integrity_check من تكامل العملية بما في ذلك: الوحدات المحملة (اكتشاف ملفات DLL غير المصرح بها)، وبلد سلسلة العمليات (اكتشاف ما إذا كانت العملية قد بدأت بواسطة أصل غير متوقع)، وأذونات العملية.

11.2. التحقق من صحة التمهيد والثنائي

  • يتحقق code_signing_validation من صحة شهادة توقيع التعليمات البرمجية الثنائية مقابل مخزن الشهادات الموثوقة ويتحقق من عدم إبطال الشهادة.
  • يتحقق binary_integrity_validation من سلامة الثنائي لكل قسم (.text، .data، .rsrc، .reloc) عن طريق حساب التجزئات الفردية لكل قسم ومقارنتها بالتجزئات المتوقعة.
  • يتحقق secure_boot_validation من صحة سلسلة التمهيد الآمنة عن طريق التحقق من قياسات TPM (وحدة النظام الأساسي الموثوق بها) وقيم PCRs (سجلات تكوين النظام الأساسي) التي تسجل كل مرحلة تمهيد.
  • يتحقق secure_update_validation من صحة حزم التحديث عن طريق التحقق من: توقيع تشفير الحزمة، وتكامل المحتوى، والإصدار (منع هجمات الرجوع إلى إصدار سابق)، وقناة التوزيع.

11.3. تقنيات الكشف المتقدمة

  • يكتشف anti_hook_detection ربط الوظائف في الذاكرة عن طريق التحقق من: ربط IAT (تعديل جدول عناوين الاستيراد)، والربط المضمن (تعديل التعليمات الأولى للوظيفة)، وربط SSDT (تعديل جدول واصف خدمة النظام في النواة).
  • يكتشف anti_injection_detection إدخال التعليمات البرمجية في مساحة ذاكرة العملية عن طريق التحقق من: الوحدات المحملة بدون توقيع، والمكتبات المحملة من مسارات مشبوهة، وتواقيع تقنيات الحقن المعروفة (تفريغ العملية، وحقن DLL، وتحميل DLL العاكس).
  • يكتشف anti_rootkit_detection مؤشرات الجذور الخفية من خلال تحليل: استدعاءات النظام التي تعرض نتائج غير متناسقة، ووحدات kernel غير الموقعة، والعمليات المخفية (العمليات التي تظهر في قائمة عمليات kernel ولكن ليس في قائمة نظام التشغيل).
  • يكتشف anti_vm_detection التنفيذ في بيئة افتراضية عن طريق التحقق من: معلومات الأجهزة التي تشير إلى الجهاز الظاهري (الشركة المصنعة لنظام BIOS، وطراز المعالج، وعنوان MAC)، وعمليات التحقق من التوقيت (التعليمات التي يتم تنفيذها بشكل أبطأ في الأجهزة الافتراضية)، وعناصر الجهاز الافتراضي (الملفات والخدمات وبرامج التشغيل الخاصة بـ VMware وVirtualBox وHyper-V).
  • مكافحة_المحاكاة_الكشفيةيكتشف بيئات المحاكاة عن طريق التحقق من: توفر واجهات برمجة التطبيقات (APIs) التي لا تنفذها المحاكيات غالبًا، وتوقيت العمليات (المحاكيات أبطأ)، والتحقق من البيئة (عدد العمليات، ومساحة القرص، وذاكرة الوصول العشوائي).

11.4. الهدف المتحرك والشفاء الذاتي

  • ينفذ moving_target_runtime الدفاع عن الهدف المتحرك من خلال تدوير نقاط نهاية الخدمة، وتخطيط الذاكرة بشكل عشوائي، وتغيير أوقات الاستجابة لجعل استغلال الثغرات الأمنية أكثر صعوبة.
  • يقوم dynamic_attack_surface بضبط سطح الهجوم ديناميكيًا بناءً على مستوى التهديد: عند المستوى المنخفض، تكون جميع نقاط النهاية متاحة؛ وعلى المستوى المتوسط، يتم تعطيل نقاط النهاية غير الأساسية؛ وعلى المستوى العالي، تظل نقاط النهاية الحرجة فقط نشطة.
  • يقوم runtime_policy_engine بتقييم وتطبيق سياسات الأمان في وقت التشغيل باستخدام وضع التنفيذ القابل للتكوين (التدقيق، والتحذير، والفرض).
  • يكتشف "self_healing_security" الحوادث الأمنية ويتعافى منها تلقائيًا: إذا تعرضت الخدمة للاختراق، فيمكن للنظام إعادة تشغيل الخدمة واستعادة التكوين الأصلي وإخطار الموظفين.
  • ينفذ adaptive_threat_response استجابة تكيفية للتهديدات بناءً على خصائص التهديد وأدلة الاستجابة المحددة مسبقًا.
  • يحتوي "الاحتواء_المستقل" على تهديدات نشطة بشكل مستقل باستخدام قواعد الاحتواء وبنية الشبكة: عزل الأجهزة المضيفة المخترقة وحظر اتصال C2 وتقسيم الشبكة للحد من الانتشار.

12. وحدة مصيدة الجذب

تطبق وحدة مصيدة الجذب تقنيات الخداع لجذب المهاجمين وكشفهم وتحليلهم.

12.1. الخدمات الوهمية

  • ينشر fake_admin_panel لوحة إدارة مزيفة واقعية مع مسارات تسجيل الدخول ولوحة المعلومات وإدارة المستخدم وإعدادات النظام. يتم تسجيل كافة التفاعلات للتحليل.
  • تقوم fake_database بإنشاء قاعدة بيانات مزيفة بمخطط واقعي (المستخدم، الطلب، جداول الدفع) وأمثلة للسجلات التي تبدو شرعية ولكنها وهمية تمامًا.
  • ينشر fake_api واجهة برمجة تطبيقات REST مزيفة بنقاط نهاية واقعية (/api/users، /api/orders، /api/ Payments) والتي تعرض حمولات مقنعة ولكنها وهمية.
  • ينشئ fake_filesystem نظام ملفات مزيفًا ببنية دليل معقولة (/etc، /var/log، /home/user، /opt/app) وملفات ذات محتوى واقعي.
  • تنشر fake_ssh_service خدمة SSH زائفة تقبل الاتصالات وتعرض شعارًا واقعيًا وتسجل جميع محاولات المصادقة والأوامر المنفذة.
  • تنشر fake_rdp_service خدمة RDP زائفة لاكتشاف وتتبع هجمات سطح المكتب البعيد.
  • ينشر fake_kubernetes_cluster واجهة برمجة تطبيقات وهمية لمجموعة Kubernetes لجذب المهاجمين الذين يركزون على الحاويات من خلال الرد على الاستعلامات الخاصة بالبودات والخدمات وعمليات النشر والأسرار.
  • يقوم fake_s3_bucket بإنشاء حاوية S3 مزيفة تحتوي على كائنات واقعية (المستندات والتكوينات والنسخ الاحتياطية) وسياسات الوصول التي تبدو مشروعة.
  • تنشر fake_login_page صفحة تسجيل دخول مقنعة بعلامة تجارية قابلة للتخصيص لالتقاط محاولات إرسال بيانات الاعتماد.
  • ينشر fake_debug_panel لوحة تصحيح/تطوير زائفة تظهر وكأنها تكشف معلومات النظام الداخلية (متغيرات البيئة، وإعدادات قاعدة البيانات، والسجلات).

12.2. رموز العسل والخداع

  • يقوم fake_secrets بإنشاء وإدارة أسرار زائفة (مفاتيح واجهة برمجة التطبيقات، والرموز المميزة لقاعدة البيانات، وبيانات اعتماد SSH) التي تنبه عند استخدامها خارج السياقات المسموح بها.
  • يُنشئ "honeytoken_generation" رموزًا مميزة يمكن تتبعها من أنواع مختلفة (عناوين URL، ومفاتيح واجهة برمجة التطبيقات، وبيانات الاعتماد، والملفات) التي تؤدي إلى تشغيل التنبيهات عند الوصول إليها.
  • يقوم "honeycredential_detection" بفحص بيانات الاعتماد المقدمة مقابل قاعدة بيانات رموز العسل المعروفة، ويكشف متى يستخدم المهاجم بيانات اعتماد مزيفة.
  • يسجل deceptive_routes المسارات الخادعة التي تبدو وكأنها نقاط نهاية شرعية لواجهة برمجة التطبيقات ولكنها تؤدي إلى تنبيهات عند الوصول إليها.
  • يُنشئ "decoy_endpoints" قائمة بنقاط نهاية API الخادعة التي تحاكي نقاط نهاية الخدمة الحقيقية.
  • تُنشئ "الاستجابات_الخادعة" استجابات خادعة مناسبة للسياق بناءً على الطلب والملف الشخصي للمهاجم، مما يحافظ على مشاركة المهاجم أثناء جمع المعلومات.

12.3. التحليل والتكيف

  • يقوم adaptive_honeypot بضبط تكوين مصيدة الجذب ديناميكيًا استنادًا إلى حركة المرور الملحوظة ومستوى التهديد: إذا كان المهاجم يستغل ثغرات الويب، فإن مصيدة الجذب تزيد من سطح خدمات الويب؛ إذا كان يقوم بمسح الأبواب، فإنه يفتح المزيد من الأبواب المزيفة.
  • `attacker_behavior_tracKing يتتبع ويحلل أنماط سلوك المهاجم خلال جلسة مصيدة الجذب: الأوامر المنفذة، والملفات التي تم الوصول إليها، ومحاولة الحصول على بيانات الاعتماد، والوقت المستغرق في كل خدمة.
  • يقوم "adaptive_deception" بضبط أساليب الخداع ديناميكيًا استنادًا إلى ملف تعريف المهاجم (النص البرمجي، المهاجم الآلي، APT) ومقاييس الفعالية (مدة بقاء المهاجم، وعدد الإجراءات التي قام بها).
  • ينفذ moving_target_defense الدفاع عن الهدف المتحرك في سياق مصائد مخترقي الشبكات، وتكوينات الخدمة المتناوبة (المنافذ، واللافتات، والاستجابات) لجعل أخذ بصمات البيئة أكثر صعوبة.

13. وحدة الملف (ملف)

تحمي وحدة الملف من التهديدات التي تحملها الملفات: التحميلات الضارة، والمستندات التي تحتوي على وحدات ماكرو، وملفات PDF مع JavaScript، والملفات متعددة اللغات، والقنابل المضغوطة، والبرامج الضارة.

13.1. التحقق من صحة التحميل

  • يتحقق secure_upload من صحة عمليات تحميل الملفات ويعالجها بشكل آمن على طبقات متعددة: يتحقق من الامتداد مقابل القائمة المسموح بها، ويتحقق من صحة نوع MIME عبر البايتات السحرية، ويتحقق من الحد الأقصى للحجم، ويفحص المحتوى بحثًا عن البرامج الضارة.
  • يتحقق validate_extension من وجود امتداد الملف في قائمة الامتدادات المسموح بها.
  • يتحقق validate_mime من صحة نوع MIME للملف باستخدام اكتشاف البايت السحري (توقيعات تنسيق الملف في البايتات الأولى)، مما يمنع انتحال الامتداد (على سبيل المثال، ملف .jpg وهو في الواقع ملف قابل للتنفيذ).

13.2. كشف التهديدات في الملفات

  • يكتشف detect_polyglot_file ما إذا كان الملف يحتوي على توقيعات تنسيقات ملفات متعددة، مما يشير إلى هجوم ملف متعدد اللغات (ملف صالح بتنسيقين أو أكثر في وقت واحد، مثل ملف GIF الذي يكون أيضًا صالحًا لجافا سكريبت).
  • يكتشف detect_zip_bomb القنابل المضغوطة من خلال تحليل نسبة الضغط والحجم غير المضغوط المعلن. يتم وضع علامة على النسبة التي تزيد عن 100:1 أو الحجم غير المضغوط الذي يزيد عن 1 جيجابايت على أنها قنبلة مضغوطة محتملة.
  • يكتشف detect_office_macro وحدات ماكرو VBA في مستندات Office (Word .doc/.docx، وExcel .xls/.xlsx، وPowerPoint .ppt/.pptx) التي يمكنها تنفيذ تعليمات برمجية ضارة عند فتح المستند.
  • يكتشف detect_pdf_javascript JavaScript المضمن في ملفات PDF التي يمكنها تنفيذ إجراءات ضارة مثل تنزيل البرامج الضارة أو التصيد الاحتيالي.
  • يكتشف detect_executable_payload الحمولات القابلة للتنفيذ المضمنة في الملفات غير القابلة للتنفيذ (على سبيل المثال، ملف PDF يحتوي على رأس PE قابل للتنفيذ في Windows).
  • يكتشف detect_embedded_script البرامج النصية المضمنة في الملفات: JavaScript في PDF، وVBScript في مستندات Office، وPowerShell في الملفات النصية، وبرامج Python النصية في ملفات البيانات.

13.3. فحص البرامج الضارة

  • يقوم برنامج malware_scan بفحص الملفات بحثًا عن البرامج الضارة باستخدام مطابقة التوقيع (المقارنة بتوقيعات البرامج الضارة المعروفة) وقواعد YARA (مطابقة الأنماط المتقدمة مع الشروط المعقدة).
  • يقوم yara_scan بفحص الملفات باستخدام قواعد YARA مع دعم مساحة الاسم لتنظيم القواعد حسب الفئة (البرامج الضارة، والاستغلال، والمشبوهة، وما إلى ذلك).
  • يقوم heuristic_scan بإجراء تحليل إرشادي لاكتشاف السلوك المشبوه في الملفات التي لا تتطابق مع التوقيعات المعروفة ولكن لها خصائص تشير إلى وجود برامج ضارة (التعتيم، ومكافحة التصحيح، والتعبئة).

13.4. التحليل المتقدم

  • يحسب "تحليل الإنتروبيا" إنتروبيا شانون لبيانات ملف الكتلة لاكتشاف التشفير أو الضغط. تعتبر الملفات ذات الإنتروبيا أعلى من 7.5 بت لكل بايت عشوائية للغاية (تدل على التشفير أو التعبئة).
  • يكتشف برنامج "detect_steganography" إخفاء المعلومات في ملفات الصور باستخدام تقنيات متعددة: تحليل LSB (البت الأقل أهمية)، واكتشاف البيانات الملحقة، وتحليل كتلة الإنتروبيا، وتحليل الرسم البياني للألوان.
  • يكتشف detect_obfuscation المحتوى المبهم في الملفات باستخدام تقنيات متعددة: الكشف عن سلسلة Base64، والتشفير السداسي، وتسلسل السلسلة، والإنتروبيا العالية في أقسام معينة، وأنماط تدفق التحكم المبهمة.

13.5. التعقيم والحجر الصحي

  • يقوم sanitize_filename بتطهير أسماء الملفات عن طريق إزالة الأحرف الخطيرة (/، \، ..، :، *، ?، "، <، >، |) وتسلسلات اجتياز المسار.
  • ينقل quarantine_file الملفات الضارة إلى دليل عزل مع تتبع البيانات الوصفية (سبب العزل، الطابع الزمني، تجزئة الملف، القائم بالتحميل).
  • ينفذ sandbox_execute الملفات في بيئة وضع الحماية لتحليل السلوك ومراقبة: مكالمات النظام والوصول إلى الشبكة وتعديل الملفات وإنشاء العمليات الفرعية.
  • secure_tempfiينشئ le ملفات مؤقتة آمنة ذات أذونات مقيدة (للقراءة/الكتابة فقط من قبل المالك) والحذف الذاتي الاختياري عند الإغلاق.
  • يتحقق immutable_storage_check من سلامة الملفات الموجودة على وحدة التخزين غير القابلة للتغيير من خلال مقارنة التجزئة الحالية بالتجزئة المتوقعة.

14. وحدة المؤسسة

تتحقق وحدة المؤسسة من الامتثال للوائح حماية البيانات وأمن المعلومات.

14.1. الامتثال التنظيمي

  • يتحقق "lgpd_check" من الامتثال لقانون حماية البيانات العام (LGPD، القانون رقم 13,709/2018) في البرازيل: موافقة المالك، وتعيين DPO (مسؤول البيانات)، وحقوق المالكين (الوصول، والتصحيح، والحذف، وقابلية النقل)، وتسجيل عمليات المعالجة، وتقرير التأثير على حماية البيانات الشخصية، وإخطار ANPD بالحوادث.
  • يتحقق gdpr_check من الامتثال للائحة العامة لحماية البيانات (GDPR، لائحة الاتحاد الأوروبي 2016/679): الأساس القانوني للمعالجة، وتعيين مسؤول حماية البيانات، وتقليل البيانات، وتحديد الغرض، والدقة، وحدود التخزين، والنزاهة والسرية، والحق في النسيان، وإمكانية نقل البيانات، والإخطار بالانتهاكات في غضون 72 ساعة.
  • يتحقق `hipaa_check' من الامتثال لقانون قابلية نقل التأمين الصحي والمساءلة (HIPAA) الأمريكي: تشفير PHI (المعلومات الصحية المحمية) أثناء التخزين وأثناء النقل، وعناصر التحكم في الوصول (تعريف المستخدم الفريد، والوصول في حالات الطوارئ، وتسجيل الخروج التلقائي)، وضوابط التدقيق (سجلات التدقيق، وضوابط السلامة)، وسلامة بيانات PHI.
  • يتحقق pci_check من الامتثال لمعايير أمان بيانات صناعة بطاقات الدفع (PCI-DSS): تشفير بيانات البطاقة أثناء النقل وأثناء الراحة، وتجزئة الشبكة (فصل بيئة البطاقة)، ​​والتحكم في الوصول (الحاجة إلى المعرفة، والمعرفات الفريدة، وMFA)، ومراقبة الشبكة والأنظمة، واختبار الأمان المنتظم.

14.2. التقارير ولوحة المعلومات

  • يُنشئ "تقرير_الامتثال" تقريرًا شاملاً عن الامتثال من نتائج فحص متعددة، بما في ذلك: ملخص تنفيذي، والفجوات المحددة، وتوصيات الإصلاح، والجدول الزمني للامتثال، والنتيجة حسب الفئة.
  • يُنشئ realtime_security_dashboard لوحة معلومات أمان في الوقت الفعلي تعرض: مقاييس الأمان (التهديدات المكتشفة، وعمليات الحظر، والإيجابيات الخاطئة)، والتنبيهات النشطة، والاتجاهات التاريخية، ودرجة المخاطر الإجمالية.

14.3. التدقيق والسياسة

  • يُنشئ "audit_trail" مسار تدقيق غير قابل للتغيير من الأحداث الأمنية وإجراءات المستخدم وتغييرات البيانات، بما في ذلك: من فعل ماذا ومتى وأين وما هو التأثير.
  • يقوم policy_as_code بتقييم وتطبيق سياسات الأمان المحددة كرمز، مما يسمح بتعيين الإصدارات والمراجعة والاختبار التلقائي لسياسات الأمان.

14.4. متعدد المستأجرين ومتعدد المناطق

  • يقوم "عزل_المستأجر" بفحص وتطبيق عزل المستأجر في بيئة متعددة المستأجرين: فصل البيانات، وعزل الشبكة، والتحكم في الوصول بين المستأجرين، ومنع تسرب المعلومات بين المستأجرين.
  • يقوم multi_region_security بتقييم الوضع الأمني ​​متعدد المناطق والامتثال لموضع البيانات: التحقق من بقاء البيانات من مناطق معينة في المنطقة، والتشفير المتسق بين المناطق، والامتثال للوائح المحلية في كل منطقة.

15. وحدة التكامل

توفر وحدة التكامل محولات لأطر العمل والأنظمة الأساسية الشائعة.

15.1. أطر ويب بايثون

  • ينشئ fastapi_security_dependency تبعية أمان لـ FastAPI باستخدام OAuth2، والتحقق من صحة JWT، وتحديد المعدل، وحماية الإدخال.
  • ينشئ django_security_middleware برنامجًا وسيطًا أمنيًا لـ Django باستخدام CSP وCSRF ورؤوس الأمان وحماية المدخلات.
  • يقوم flask_security_extension بإنشاء ملحق أمان لـ Flask مع أغلفة الأمان وطلب الحماية والتحقق من صحة الإدخال.
  • يقوم celery_security_monitor بإنشاء مراقبة أمنية لمهام Celery مع التحقق من صحة الوسيطة، وتحديد المعدل لكل مهمة، وتسجيل التدقيق.
  • يطبق sqlalchemy_query_protection الحماية على استعلامات SQLAlchemy مع الأمان على مستوى الصف، وتصفية الأذونات، ومنع إدخال الاستعلام.

15.2. أطر ويب TypeScript

  • يقوم expressSecurityMiddleware بإنشاء برامج وسيطة أمنية لـ Express.js مع حماية المدخلات، وتحديد المعدل، وCORS، وCSRF، ورؤوس الأمان.
  • يقوم fastifySecurityMiddleware بإنشاء برامج وسيطة أمنية لـ Fastify مع خطافات التحقق من الصحة، وتحديد المعدل، وحماية الحمولة.
  • يقوم nestjsSecurityModule بإنشاء وحدة أمان لـ NestJS مع حراس المصادقة، واعتراضات التحقق من الصحة، ومصممي التفويض.
  • يقوم nextjsSecurityHeaders بتكوين رؤوس الأمان لـ Next.js (CSP، وHSTS، وX-Frame-Options، وX-Content-Type-Options، وReferrer-Policy، وPermissions-Policy).

15.3. الحافة ووقت التشغيل

  • يقوم cloudflareEdgeProtection بتكوين حماية الحافة على Cloudflare باستخدام قواعد WAF، وتحديد المعدل، وإدارة الروبوتات، وعمال الأمان المخصصين.
  • يقوم denoSecurityPlugin بإنشاء مكون إضافي للأمان لـ Deno مع التحكم في الأذونات (القراءة والكتابة والشبكة والبيئة والتشغيل) ووضع الحماية.
  • يقوم bunSecurityPlugin بإنشاء مكون إضافي للأمان لـ Bun مع تحسين الأمان والتحكم في الوصول إلى واجهات برمجة تطبيقات النظام.
  • يقوم browserRuntimeProtection بتكوين حماية وقت تشغيل المتصفح من خلال قيود CSP وiframe sandbox وAPI.
  • يقوم serviceWorkerSecurity بتكوين أمان عمال الخدمة بنطاق مقيد وأذونات محدودة والتحقق من صحة الأصل.
  • يقوم wasmSecurityRuntime بإنشاء وقت تشغيل أمني لـ WebAssembly مع حدود الذاكرة (الأولي، والحد الأقصى، والمشترك) وقيود syscalls.

15.4. خط الأنابيب والمحرك

  • ينشئ async_threat_pipeline مسارًا غير متزامن للكشف عن التهديدات باستخدام معالجات قابلة للتكوين (التحقق من الصحة والكشف والتسجيل والتنبيهات) وقنوات الإخراج (السجل والمقاييس وخطاف الويب).
  • يقوم yara_realtime_engine بإنشاء محرك مسح YARA في الوقت الفعلي مع مراقبة الملفات (مراقبة الدليل) ومطابقة القواعد بشكل مستمر.
  • يُنشئ ai_threat_classifier مُصنف تهديدات الذكاء الاصطناعي باستخدام نموذج مُدرب وعتبة ثقة لاتخاذ القرارات الآلية.
  • يُنشئ secure_cli_runtime وقت تشغيل آمن لواجهة سطر الأوامر (CLI) مع تحسين الإدخال والتحقق من صحة الوسيطة ومهلة التنفيذ.
  • يقوم python_runtime_guard بإنشاء حارس وقت تشغيل Python مع القائمة البيضاء للاستيراد (يمكن استيراد الوحدات المسموح بها فقط) ووضع الحماية (قيود الوصول إلى نظام الملفات والشبكة والنظام).

16. القياس عن بعد وإمكانية الملاحظة

تقوم منظمة أطباء بلا حدود بدمج إمكانية المراقبة في جميع عملياتها، وذلك باتباع الركائز الثلاث لقابلية المراقبة: السجلات والمقاييس والتتبعات.

16.1. السجلات المنظمة

تستخدم جميع الوحدات التسجيل المنظم بتنسيق JSON. يتضمن كل إدخال سجل ما يلي:

  • الطابع الزمني: التاريخ والوقت ISO 8601
  • "المستوى": الخطورة (التصحيح، المعلومات، التحذير، الخطأ، الحرج)
  • module: اسم الوحدة التي أنشأت السجل
  • traceId: معرف تتبع OpenTelemetry للارتباط
  • السياق: البيانات الوصفية الخاصة بالعملية (على سبيل المثال، المكتشفة، والثقة، والخطورة، والتطابقات)

16.2. المقاييس

يدعم سجل المقاييس ثلاثة أنواع من المقاييس:

  • العدادات: قيم تراكمية تتزايد فقط. أمثلة: jwt_validations، xss_detections، sqli_detections، port_scan_detections، ddos_detections، فحص_البرامج الضارة.
  • المقاييس: قيم لحظية قابلة للزيادة أو النقصان. أمثلة: الجلسات_النشيطة، نسبة_ضرب_ذاكرة التخزين المؤقت.
  • الرسوم البيانية: توزيعات القيم. أمثلة: درجات_الشذوذ، ودرجات_التهديدات، واكتشاف_زمن الاستجابة_ms.

يمكن أن يتضمن كل مقياس تصنيفات (علامات) للأبعاد الإضافية، مثل "الوحدة النمطية"، و"الخطورة"، و"المكتشفة"، و"مزود_السحابة".

16.3. التتبع الموزع

يقوم كل دور أمان بإنشاء نطاق OpenTelemetry مع:

  • اسم العملية (على سبيل المثال: msf.web.detect_xss)
  • السمات: معلمات الإدخال، والنتيجة، والمدة
  • الأحداث: معالم هامة أثناء التنفيذ
  • الحالة: موافق أو خطأ في الوصف

يتم تصدير الامتدادات إلى الواجهات الخلفية المتوافقة مع OpenTelemetry (Jaeger وZipkin وAWS X-Ray وGoogle Cloud Trace وAzure Application Insights).

16.4. حافلة الحدث

يسمح ناقل الأحداث بالاتصال غير المتزامن بين الوحدات:

  • النشر: يمكن لأي وحدة نشر الأحداث حسب النوع، ودرجة الخطورة، والرسالة، والبيانات الوصفية.
  • الاشتراك: يمكن للوحدات الاشتراك في أنواع معينة من الأحداث وتنفيذ الإجراءات عند نشر الأحداث.
  • التاريخ: يحتفظ ناقل الأحداث بسجل لأحداث N الأخيرة للتشاور.
  • قائمة انتظار الرسائل الميتة: يتم نقل الأحداث التي تفشل في معالجتها إلى قائمة انتظار الرسائل الميتة لإعادة معالجتها لاحقًا.

17. أنماط التصميم والمبادئ الهندسية

17.1. الأنماط المستخدمة

  • Singleton: لمكونات البنية التحتية (PolicyEngine، وMetricsRegistry، وEventBus، وCacheManager).
  • Factory: لإنشاء كائنات نتائج موحدة (DetectionResult، ValidationResult، ScanResult).
  • الاستراتيجية: لخوارزميات الكشف القابلة للتبديل (أنماط اكتشاف مختلفة لـ XSS وSQLi وما إلى ذلك).
  • مراقب:إلى ناقل الأحداث، حيث تقوم الوحدات بمراقبة الأحداث التي تنشرها الوحدات الأخرى.
  • سلسلة المسؤولية: لخطوط التحقق من الصحة حيث يمكن لكل خطوة تمرير الإدخال أو رفضه.
  • Decorator: لإضافة ميزات الأمان إلى الوظائف الموجودة (التسجيل، والمقاييس، والتتبع).

17.2. مبادئ الأمن

  • الدفاع في العمق: طبقات متعددة من الحماية بحيث إذا فشلت إحدى هذه الطبقات، تستمر الطبقات الأخرى في العمل.
  • الامتياز الأقل: تعمل كل وظيفة ووحدة مع الحد الأدنى من الأذونات اللازمة.
  • فشل آمن: في حالة حدوث خطأ داخلي، تعرض الوظائف نتائج ترفض الوصول (فشل مغلق).
  • المقارنة الآمنة: تستخدم جميع المقارنات السرية مقارنة زمنية ثابتة لمنع هجمات التوقيت.
  • تطهير المدخلات: يتم التعامل مع جميع المدخلات على أنها غير موثوقة ويتم تطهيرها قبل المعالجة.
  • التسجيل الأمني: يتم تسجيل جميع العمليات الأمنية للتدقيق واكتشاف الحوادث.

18. الاستنتاج

يمثل إطار العمل الأمني الرئيسي نهجًا شاملاً وموحدًا لأمن التطبيقات الحديثة. مع أكثر من 350 وظيفة موزعة على 28 وحدة، تغطي منظمة أطباء بلا حدود مجموعة كاملة من التهديدات التي تواجهها التطبيقات اليوم: بدءًا من هجمات الويب التقليدية (XSS وSQLi وSSRF) وحتى التهديدات الناشئة (الحقن الفوري في LLMs وهجمات سلسلة التوريد وهروب الحاويات).

يتيح التنفيذ المزدوج في Python وTypeScript للفرق متعددة اللغات الاستفادة من نفس مجموعة إمكانات الأمان، بينما يضمن التكامل مع OpenTelemetry والتسجيل المنظم وحافلة الأحداث أن تكون جميع عمليات الأمان قابلة للملاحظة والتدقيق.

تضيف وحدات الدفاع النشطة (مكافحة التصحيح، ومكافحة التلاعب، والشفاء الذاتي) ومصائد الجذب التكيفية طبقات من الحماية الاستباقية التي تتجاوز الاكتشاف التفاعلي، بينما تقوم وحدة امتثال المؤسسة بأتمتة فحص LGPD وGDPR وHIPAA وPCI-DSS.

إطار العمل مفتوح المصدر، وقابل للتوسيع عبر Policy Engine وEvent Bus، وهو مصمم ليتطور مع مشهد التهديدات. يتم اختبار كل وظيفة تلقائيًا (اجتياز 243 اختبارًا)، وتوثيقها باستخدام سلاسل المستندات وJSDoc، وتجهيزها بالقياس عن بعد لعملية الإنتاج.

المراجع

  • أفضل 10 OWASP: https://owasp.org/www-project-top-ten/
  • إطار عمل MITRE ATT&CK: https://attack.mitre.org/
  • إطار عمل الأمن السيبراني NIST: https://www.nist.gov/cyberframework
  • تشفير ما بعد الكم من NIST: https://csrc.nist.gov/projects/post-quantum-cryptography
  • RFC 6238 - TOTP: https://datatracker.ietf.org/doc/html/rfc6238
  • RFC 7519 - JWT: https://datatracker.ietf.org/doc/html/rfc7519
  • معايير رابطة الدول المستقلة: https://www.cisecurity.org/cis-benchmarks
  • LGPD (القانون رقم 13,709/2018): https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
  • اللائحة العامة لحماية البيانات (لائحة الاتحاد الأوروبي 2016/679): https://eur-lex.europa.eu/eli/reg/2016/679/oj
  • HIPAA: https://www.hhs.gov/hipaa/index.html
  • PCI-DSS: https://www.pcisecuritystandards.org/