المنهجية
كيف يجمع ريكون الاستخبارات، ويحسب المخاطر، ويربط النتائج بإطار MITRE ATT&CK.
قائمة الأدوات
تمر كل عملية فحص بريد إلكتروني عبر سبع أدوات مفتوحة المصدر أو سحابية، تعمل بشكل متسلسل، ويتم تطبيع نتائجها في مخطط نتائج موحّد.
- email-validator-local — تحقّق MX وكشف النطاقات المؤقتة، يعمل داخل العامل (worker) دون مكالمات خارجية.
- HIBP (Have I Been Pwned) — البحث في خروقات البيانات العامة المعروفة لمعرفة ما إذا كان البريد الإلكتروني مكشوفاً.
- leakcheck — فحص ثانوي للخروقات يغطي مصادر مكمّلة لقواعد HIBP، بما في ذلك مكتبات paste.
- epieos — اكتشاف بصمة الحساب عبر منصات Google وغيرها استناداً إلى البريد الإلكتروني.
- emailrep — درجة سمعة وإشارات سياقية (شيوع، أعمار الحساب، ادعاءات الانتحال).
- theHarvester — حصاد عناوين البريد الإلكتروني والمضيفين لنطاق الهدف من المصادر العامة.
- maigret — تعداد البصمة على ٥٠٠+ منصة اجتماعية باستخدام معرّف مشتق من البريد الإلكتروني.
تتم جدولة الأدوات في خط أنابيب واحد بانتظار صريح؛ المخرجات الفاشلة تُعزل ولا تُعطّل بقية الفحص.
نظام التقييم
تُحسب درجة المخاطر على مقياس من ٠ إلى ١٠٠ حيث ١٠٠ = لا مخاطر و٠ = مخاطر حرجة، عبر متوسط مرجَّح لكل فئة من فئات النتائج، ثم تُصنَّف في إحدى خمس درجات (A–F) تطابق المؤشّر الذي تراه في التقرير. يُعطى وزن أعلى للتعرّض للخروقات وسلامة كلمات المرور، ووزن أقل للسمعة والبصمة الاجتماعية — لأن خرقاً مؤكداً أخطر بكثير من حساب اجتماعي عام.
- A — الدرجة ٨٠–١٠٠. لا يوجد دليل عام يُمكِّن من الاستهداف بشكل ملموس.
- B — الدرجة ٦٠–٧٩. بصمة قابلة للملاحظة، دون تعرّض حرج.
- C — الدرجة ٤٠–٥٩. تعرّض حقيقي يستوجب إجراءً ملموساً.
- D — الدرجة ٢٠–٣٩. تعرّض كبير عبر عدة نواقل.
- F — الدرجة ٠–١٩. مادة خرق نشطة أو مساحة هجوم واسعة بشكل غير عادي.
الدرجات والأوزان معايَرة على سيناريوهات مرجعية ومُغطّاة باختبارات تراجع؛ لا يمكن لمسار فحص واحد أن يحرّكها.
ربط MITRE ATT&CK
كل نتيجة تمرّ عبر جدول قواعد ثابت يُخرج تقنية ATT&CK المطابقة. لا يوجد LLM في هذه الخطوة — التعيينات حتمية بنسبة ١٠٠٪ ومتوقعة.
- T1589.001 — Credentials — كلما ظهر تعرّض في الخروقات أو فشل في سلامة كلمة المرور.
- T1589.002 — Email Addresses — نتائج theHarvester التي تكشف عناوين تنظيمية مرتبطة بالنطاق.
- T1593.001 — Social Media — اكتشاف الحسابات على منصات التواصل الاجتماعي، أو ارتباطات الصور المعكوسة عبر المنصات.
- T1585.001 — Establish Accounts — ضعف مصادقة البريد الإلكتروني (DMARC / SPF / DKIM) يسمح بانتحال النطاق.
تُجمَع التقنيات المتكررة في إدخال واحد لكل فحص، بحيث لا تتضخّم خريطة ATT&CK مع تكرار النتائج.
الاحتفاظ بالبيانات
يُحتفظ بنتائج الفحص وتقارير PDF لمدة ٣٠ يوماً ثم تُحذف تلقائياً. يُمسح هدف الفحص الخام (البريد الإلكتروني / النطاق) فور اكتمال الفحص — لا يُخزَّن مع التقرير.
منطقة التخزين
تستضيف جميع التقارير المُشفّرة في us-east-1 (فرجينيا الشمالية، AWS S3). لا توجد نسخ متعددة المناطق.
استخدام الذكاء الاصطناعي
نستخدم Gemini 2.5 Pro لكتابة السرد التنفيذي للتقرير فقط. كل ما عداه — التقييم، ربط MITRE، الاقتباسات، التحقق من الصحة، توليد توصيات الإصلاح — حتمي ومُولَّد بالكامل من قواعد ثابتة وقوالب.
لا تُستخدم أي بيانات عملاء لتدريب نموذج، ولا يحتفظ مزوّد النموذج بالمدخلات لأغراض التحسين.
ما لا نفعله
- لا نُنشئ جلسات مستخدم — لا توجد كوكيز جلسات ولا حسابات لتسجيل الدخول.
- لا نُعيد توجيه البريد الإلكتروني إلى أطراف ثالثة لأغراض التسويق.
- لا نُدرّب أي نموذج على بيانات العملاء.
- لا توجد كوكيز إعادة استهداف ولا بكسلات تتبّع تابعة لشبكات الإعلانات.
- لا نقوم بأي محاولة استيلاء على الحسابات بأسلوب LinkedIn — لا نُسجّل دخولاً، ولا نطلب كلمات مرور، ولا نلمس صناديق البريد.
- لا نبيع، نؤجّر، أو نشارك تقارير العملاء مع أي طرف ثالث.
- لا نقوم بفحص أهداف لم نتحقّق من ملكية الطالب لها.
أسئلة؟
لمناقشة المنهجية أو طلب التحقّق التقني، تواصل على [email protected]