مقدمة
من بين النماذج المفاهيميّة التي ساعدت المختصّين في فهم وتفكيك الهجمات الإلكترونية هو نموذج سلسلة القتل الإلكتروني – Cyber Kill Chain، الذي طوّرته شركة Lockheed Martin الأمريكية.
يهدف هذا النموذج إلى تحليل مراحل الهجوم الإلكتروني خطوة بخطوة، مما يساعد فرق الأمن على اكتشاف الهجوم في مراحله المبكّرة والتصدي له قبل أن يُحدث ضررًا فعليًا.
مفهوم سلسلة القتل الإلكتروني
سلسلة القتل الإلكتروني هي إطار (Framework) يصف المراحل أو الخطوات التي يقوم المُهاجم باتخاذها منذ لحظة التخطيط للهجوم حتى تحقيق هدفه.
الفكرة مستوحاة من المجال العسكري، حيث تُستخدم عبارة “Kill Chain” في وصف المراحل المتتابعة لتنفيذ هجوم عسكري ناجح — من جمع المعلومات إلى القضاء على الهدف.
في عالم الأمن السيبراني، تُستخدم هذه السلسلة بنفس الطريقة لفهم كيف يفكر القراصنة، وما الخطوات التي يتبعونها لاختراق الأنظمة، مما يتيح للمدافعين فرصة قطع السلسلة في أي مرحلة وإيقاف الهجوم.
المراحل السبع في سلسلة القتل الإلكتروني

طوّرت شركة لوكهيد مارتن هذا النموذج في عام 2011، ويشمل سبع مراحل رئيسية تمثّل دورة حياة الهجوم الإلكتروني.
فيما يلي شرح مبسّط لكل مرحلة مع أمثلة عملية:
1. الاستطلاع (Reconnaissance)
في هذه المرحلة، يبدأ المهاجم بجمع المعلومات عن الهدف:
- ما نوع الشركة أو النظام؟
- من الموظفون؟
- ما البرامج المُستخدمة؟
- ما نقاط الضعف المحتملة؟
الهدف: بناء صورة واضحة عن الهدف لتحديد أفضل وسيلة للاختراق.
مثال: يقوم المهاجم بالبحث في مواقع التواصل الاجتماعي أو الإنترنت المظلم أو حتى مواقع الشركات للحصول على معلومات عن خوادم البريد الإلكتروني أو عناوين IP.
2. التسليح (Weaponization)
بعد أن يجمع المهاجم المعلومات الكافية، يبدأ في إعداد “السلاح الإلكتروني”، مثل:
- فايروس مخصّص (Malware)
- ملف ملوّث (PDF أو Word)
- موقع مزيف لاختراق المستخدمين
الهدف: تجهيز وسيلة الهجوم المناسبة للثغرة أو الضحية المحدّدة.
مثال: إنشاء ملف Excel يحتوي على كود خبيث يُفعّل عند فتحه.
3. التسليم (Delivery)
في هذه المرحلة، يتم إرسال السلاح الإلكتروني إلى الهدف.
طرق التسليم متنوعة وتشمل:
- البريد الإلكتروني الاحتيالي (Phishing)
- روابط خبيثة
- أجهزة USB
- استغلال الثغرات في المواقع
الهدف: إيصال الأداة الضارة إلى جهاز الضحية.
مثال: إرسال بريد إلكتروني يبدو من مدير الشركة يحتوي على “تقرير مالي” لكنه في الواقع ملف خبيث.
4. الاستغلال (Exploitation)
بعد وصول السلاح إلى النظام المُستهدف، تبدأ عملية استغلال الثغرات الأمنية.
عند فتح الملف أو الرابط، يتم تفعيل الكود الضار الذي يستغل ثغرة في النظام أو التطبيق.
الهدف: تنفيذ كود خبيث يمنح المهاجم سيطرة جزئية على الجهاز.
مثال: ملف Word يحتوي على ماكرو خبيث يقوم بتفعيل برنامج تجسس فور فتحه.
5. التثبيت (Installation)
في هذه المرحلة، يسعى المهاجم إلى ترسيخ وجوده داخل النظام عن طريق تثبيت برامج خبيثة أو أدوات تحكُّم (Backdoors).
الهدف: ضمان الوصول المستمر إلى النظام حتى بعد إعادة التشغيل أو التحديث.
مثال: تثبيت برنامج خفي يسمح للمهاجم بالتحكم بالجهاز عن بُعد.
6. القيادة والتحكم (Command and Control)
بعد التثبيت، يحتاج المهاجم إلى التواصل مع النظام المصاب للتحكم به أو سرقة البيانات.
يتم ذلك عبر قنوات اتصال سريّة بين جهاز الضحية وخوادم المهاجم (C2 Servers).
الهدف: إرسال الأوامر واستقبال المعلومات المسروقة.
مثال: برمجية خبيثة تتصل بخادم خارجي كل ساعة لتلقي أوامر جديدة.
7. تحقيق الأهداف (Actions on Objectives)
وأخيرًا، بعد أن يسيطر المهاجم على النظام، يبدأ في تحقيق هدفه الأساسي:
- سرقة بيانات مالية أو معلومات حساسة
- تدمير أو تشفير الملفات (كما في هجمات الفدية)
- التجسّس أو تعطيل الخدمات
الهدف: تنفيذ الغرض النهائي للهجوم الإلكتروني.
مثال: تشفير ملفات الشركة والمطالبة بفدية مالية لفك التشفير.
كيف يمكن إيقاف الهجوم في كل مرحلة؟
من أهم مزايا سلسلة القتل الإلكتروني أنها تساعد فرق الأمن على تحديد النقاط التي يمكن فيها إيقاف الهجوم قبل أن يصل إلى مراحله المتقدّمة.
| المرحلة | وسيلة الدفاع الممكنة |
|---|---|
| الاستطلاع | مراقبة محاولات الوصول للمواقع العامة والحد من تسريب المعلومات |
| التسليح | تحليل الملفات في بيئات معزولة (Sandbox) قبل فتحها |
| التسليم | استخدام فلاتر البريد الإلكتروني وتدريب الموظفين على كشف الاحتيال |
| الاستغلال | تحديث الأنظمة وسد الثغرات بانتظام |
| التثبيت | مراقبة عمليات النظام واكتشاف السلوك غير الطبيعي |
| القيادة والتحكم | حجب الاتصالات الخارجية المشبوهة |
| تحقيق الأهداف | تشفير البيانات الحساسة ومراقبة التحميلات الكبيرة |
لماذا تُعتبر السلسلة مهمة؟
- تُساعد على التفكير الاستباقي: بدلاً من الانتظار حتى وقوع الهجوم، يمكن للمؤسسات مراقبة المراحل الأولى.
- تحسين التواصل بين فرق الأمن: من خلال إطار موحّد يشرح كيف تحدث الهجمات.
- تدعم التدريب والتوعية الأمنية: فهي طريقة مرئية وسهلة الفهم لتوضيح كيف تبدأ الهجمات وتنتهي.
- تربط الأمن بالتحليل الاستخباراتي: أي أن فهم نية المهاجمين وأساليبهم يساعد على الدفاع بشكل أذكى.
الانتقادات والتطورات
على الرغم من فاعلية نموذج Cyber Kill Chain، إلا أنه واجه بعض الانتقادات، منها:
- تركيزه على الهجمات الخارجية فقط وليس الداخلية.
- عدم تغطيته للهجمات الحديثة التي تستخدم الذكاء الاصطناعي أو سلاسل الإمداد البرمجية.
- عدم تمثيله الكامل لدورة حياة الهجمات المعقّدة متعددة الأطراف.
لهذا ظهرت نماذج مطوّرة مثل:
- MITRE ATT&CK Framework: يصف تفاصيل دقيقة لتقنيات المهاجمين في مراحل مختلفة.
- Unified Kill Chain: يجمع بين Kill Chain وMITRE لتغطية كل أنواع التهديدات.
مثال عملي: هجوم فدية باستخدام سلسلة القتل الإلكتروني
| المرحلة | الوصف |
|---|---|
| الاستطلاع | المهاجم جمع عناوين البريد لموظفي شركة مالية |
| التسليح | أنشأ ملف PDF يحتوي على كود خبيث |
| التسليم | أرسل الملف عبر بريد احتيالي يبدو رسميًا |
| الاستغلال | أحد الموظفين فتح الملف فتم استغلال ثغرة |
| التثبيت | الفيروس ثبّت نفسه كبرنامج نظامي |
| القيادة والتحكم | بدأ التواصل مع خادم المهاجم |
| تحقيق الأهداف | تم تشفير ملفات الشركة ومطالبة الإدارة بفدية مالية |
نصائح أمنية
- تدريب الموظفين على كشف رسائل البريد الاحتيالية.
- تحديث الأنظمة والتطبيقات بانتظام.
- استخدام جدران حماية متقدّمة (Next-Gen Firewalls).
- مراقبة الشبكات داخليًا للكشف المبكّر عن الأنشطة غير الطبيعية.
- إنشاء خطّة استجابة للحوادث (Incident Response Plan).
- استخدام نسخ احتياطية مشفرة للبيانات المهمة.
الخلاصة
إن سلسلة القتل الإلكتروني ليست مجرد مفهوم تقني، بل هي أداة تفكير استراتيجية تساعد المؤسسات على فهم طريقة تفكير المهاجمين، والتخطيط للدفاع بشكل أكثر ذكاءً وفعالية.
من خلال تحليل كل مرحلة في الهجوم، يمكن تقليل المخاطر بشكل كبير، وتجنُّب الخسائر قبل وقوعها.


رد واحد على “سلسلة القتل الإلكترونية (Cyber Kill Chain)”
[…] Cyber Kill Chain من شركة Lockheed Martinيوضّح مراحل الهجوم (من الاستطلاع حتى التنفيذ). […]