- بواسطة x32x01 ||
CTI مهم لأي واحد شغال في System Penetration Testing؟ 
النهاردة المجال بيتغير بسرعة، خصوصًا لما نتكلم عن System Penetration Testing (يعني اختبارات اختراق الأنظمة والـ endpoints). اللي خلّى الكلام ده مهم إن فيه حاجة اسمها Cyber Threat Intelligence (CTI) دخلت بقوة، وبتغير قواعد اللعبة. الــCTI مش بس بيكشف الهجوم بعد ما يحصل، لكن بقى عنده قدرات Detection & Response ذكية جدًا بفضل الـ Machine Learning والـ AI - وده بيخلي أي Pentester لازم يفهمه ويشتغل بشكل قانوني وأخلاقي عشان يقدر يتعامل مع بيئات حقيقية.
إيه هي CTI بصورة بسيطة؟
CTI (Cyber Threat Intelligence) باختصار هي منظومة بتجمع معلومات عن التهديدات: مين وراها، إزاي بتيجي، أدواتها، سلوكها، وأهم الأصول اللي مستهدفة. مش الهدف منها بس تسجيل الـ alerts، لكن تعمل proactive hunting وreal-time response وتساعد فرق الأمن تتعامل قبل ما الهجوم يعمل damage.
الأسئلة اللي أي CISO بيسألها - واللي لازم الـ Pentester يعرفها
أي مؤسسة معرضة لهجمات، وعلشان كدة الـ CISO بيسأل 3 حاجات دايمًا:
مراحل الهجوم من غير تفاصيل تقنية خطيرة
من غير ما ندخل في خطوات اختراق أو تعليمات عملية، المهم نفهم إن أي هجوم ليه مراحل عامة: reconnaissance → initial access → persistence → lateral movement → exfiltration/impact. كل مرحلة ليها ملاحظات ممكن تتراقب عن طريق CTI وEDR وSIEM.
اعتبارات مهمة لما تبقى Targeting Victim
لما الـ Pentester بيخطط للاسيناريوز (ضمن إطار قانوني وواضح)، في حاجات لازم يبقى عارفها:
Delivery mechanisms والـ Malware
في النوعيات كتير من Mechanisms (فيها fileless، فيها نماذج تانية). اللي لازم نعرفه كمختصين إن:
الفرق بين Incident Handling قبل وبعد CTI
قبل كانت الأنظمة بتعتمد كتير على الـ Signature-Based Detection وده كان ليه مشاكل كبيرة قدام:
بعد دخول CTI والـ ML/AI حصل تحول: الأنظمة بقيت بتعمل Hunt Before Alert - يعني تدور قبل ما تظهر الـ alert، وتراقب المهاجم بهدوء لجمع intel وتحليل سلوكه وإيقافه بذكاء أو إعادة توجيهه لبيئة معزولة.
أدوات وشركات في السوق
في Vendors كتير في الـ CTI وEDR، منهم أمثلة مشهورة زي Carbon Black, FireEye, Fidelis, CrowdStrike (Endgame سابقًا), LogRhythm, SentinelOne. معرفتك بيهم مفيدة لو هتشتغل تختبر أنظمة كبيرة أو تشوف بيئات حقيقية.
نصايح عملية ومهنية للـ Pentesters الجدد - ازاي تواكب التغيير
مثال كود عملي وآمن - سكربت بسيط يحسب محاولات فشل تسجيل الدخول من لوج (للدفاع)
الكود ده هدفه تعليمي للدفاع: يعد محاولات الفشل من ملف لوج علشان تساعد الفريق يحدد سلوك مشبوه. مش هيقولك تعمل bypass لأي نظام.
السكربت بسيط ومفيد لفرق الـ Incident Response لياخدوا قرارات مبنية على بيانات.
خلاصة وCall to Action
النهاردة المجال بيتغير بسرعة، خصوصًا لما نتكلم عن System Penetration Testing (يعني اختبارات اختراق الأنظمة والـ endpoints). اللي خلّى الكلام ده مهم إن فيه حاجة اسمها Cyber Threat Intelligence (CTI) دخلت بقوة، وبتغير قواعد اللعبة. الــCTI مش بس بيكشف الهجوم بعد ما يحصل، لكن بقى عنده قدرات Detection & Response ذكية جدًا بفضل الـ Machine Learning والـ AI - وده بيخلي أي Pentester لازم يفهمه ويشتغل بشكل قانوني وأخلاقي عشان يقدر يتعامل مع بيئات حقيقية.
إيه هي CTI بصورة بسيطة؟ 
CTI (Cyber Threat Intelligence) باختصار هي منظومة بتجمع معلومات عن التهديدات: مين وراها، إزاي بتيجي، أدواتها، سلوكها، وأهم الأصول اللي مستهدفة. مش الهدف منها بس تسجيل الـ alerts، لكن تعمل proactive hunting وreal-time response وتساعد فرق الأمن تتعامل قبل ما الهجوم يعمل damage.الأسئلة اللي أي CISO بيسألها - واللي لازم الـ Pentester يعرفها 
أي مؤسسة معرضة لهجمات، وعلشان كدة الـ CISO بيسأل 3 حاجات دايمًا:- مين اللي ممكن يعملنا هجوم؟ (الـ actor)
- الـ methodology أو الـ TTPs اللي ممكن يستخدمها؟
- إيه الأنظمة الـ critical اللي لازم تحميها الأول؟
مراحل الهجوم من غير تفاصيل تقنية خطيرة 
من غير ما ندخل في خطوات اختراق أو تعليمات عملية، المهم نفهم إن أي هجوم ليه مراحل عامة: reconnaissance → initial access → persistence → lateral movement → exfiltration/impact. كل مرحلة ليها ملاحظات ممكن تتراقب عن طريق CTI وEDR وSIEM.اعتبارات مهمة لما تبقى Targeting Victim 
لما الـ Pentester بيخطط للاسيناريوز (ضمن إطار قانوني وواضح)، في حاجات لازم يبقى عارفها:- Identity: مين ال victim؟ بعض الحسابات (زي Domain Admin) لو جات تبقى الخطورة عالية.
- Location: هل المستخدم On-Prem ولا Remote/VPN ولا طرف ثالث؟ المستخدمين الخارجيين غالبًا بيبقوا هدف أسهل.
ده مهم علشان تفهم الـ attack surface، مش علشان تعمل حاجة غير شرعية - الكلام ده للصالح الأمني والاختبارات المتفق عليها.
Delivery mechanisms والـ Malware 
في النوعيات كتير من Mechanisms (فيها fileless، فيها نماذج تانية). اللي لازم نعرفه كمختصين إن:- Malware development ممكن يبقى جزء من البحث الأمني داخل مختبر معزول (lab) مش للاستخدام الخارجي.
- Exploitation skills لازم تتعلمها في بيئة قانونية، عشان تفهم الثغرات وتبلغ عنها أو تصلّحها، مش علشان تسبب ضرر.
الفرق بين Incident Handling قبل وبعد CTI 
قبل كانت الأنظمة بتعتمد كتير على الـ Signature-Based Detection وده كان ليه مشاكل كبيرة قدام:- التشفير (Encryption) يخفي التفاصيل.
- الهجمات المخصصة (Tailored) بتتفادى التواقيع الجاهزة.
- هجمات الـ Ephemeral بتختفي بسرعة قبل ما تترصد.
بعد دخول CTI والـ ML/AI حصل تحول: الأنظمة بقيت بتعمل Hunt Before Alert - يعني تدور قبل ما تظهر الـ alert، وتراقب المهاجم بهدوء لجمع intel وتحليل سلوكه وإيقافه بذكاء أو إعادة توجيهه لبيئة معزولة.
أدوات وشركات في السوق 
في Vendors كتير في الـ CTI وEDR، منهم أمثلة مشهورة زي Carbon Black, FireEye, Fidelis, CrowdStrike (Endgame سابقًا), LogRhythm, SentinelOne. معرفتك بيهم مفيدة لو هتشتغل تختبر أنظمة كبيرة أو تشوف بيئات حقيقية.نصايح عملية ومهنية للـ Pentesters الجدد - ازاي تواكب التغيير 
- ادرس مبادئ الـ CTI وفهم كيفية عمل EDR/EDR telemetry لكن ممنوع تنفيذ طرق تجاوز خارج بيئة مسموح بها.
- اشتغل على مختبر شخصي (Virtual Lab) مع سيناريوهات محاكية علشان تتعلم detection & response من الطرفين - هتتعلم كيف يكشف النظام سلوك معين بدل ما تكرّر محاولة اختراق حقيقي.
- اتعلم تحليل الـ logs، الSIEM queries، وفهم الـ IOCs بطرق قانونية.
- اقرأ أبحاث ومقالات عن الـ Threat Hunting وشارك في مجتمعات أخلاقية.
- خليك قانوني - افهم العقود والـ Rules of Engagement قبل أي اختبار.
مثال كود عملي وآمن - سكربت بسيط يحسب محاولات فشل تسجيل الدخول من لوج (للدفاع) 
الكود ده هدفه تعليمي للدفاع: يعد محاولات الفشل من ملف لوج علشان تساعد الفريق يحدد سلوك مشبوه. مش هيقولك تعمل bypass لأي نظام. Python:
# failed_logins_counter.py
# سكربت بسيط لعد محاولات الفشل في ملف لوج
from collections import Counter
import re
def parse_failed_logins(logfile):
pattern = re.compile(r'Failed login for user (\w+)')
counter = Counter()
with open(logfile, 'r', encoding='utf-8') as f:
for line in f:
m = pattern.search(line)
if m:
counter[m.group(1)] += 1
return counter
if __name__ == "__main__":
logs = parse_failed_logins('auth.log')
for user, attempts in logs.most_common():
print(f"{user}: {attempts} محاولة فشل")خلاصة وCall to Action
- الـ CTI هتضل جزء أساسي من بنية الدفاع، وبتزود التحدي قدام أي Pentester شغال على System Penetration Testing.
- افتكر دايمًا: اتعلم المهارات عشان تحمي وتكشف وتصلّح، مش علشان تسبب ضرر.
- ركّز على تعلم Threat Intelligence basics, log analysis, SIEM, EDR telemetry، وكمان بناء مختبرات تجريبية قانونية علشان تطبّق اللي اتعلمته.
- لو عايز، أعمل لك سلسلة مقالات/دروس عن: فهم EDR telemetry عمليًا، تحليل SIEM queries، أو عمل مختبر افتراضي للتدريب - قلّي أي واحد تحب أبدأ بيه
التعديل الأخير: