الثقة الصفرية للمؤسسات في دول مجلس التعاون الخليجي

تزداد الهجمات السيبرانية في الخليج استهدافًا وتعقيدًا واعتمادًا على الهوية. ولم يعد الاعتماد على حماية المحيط الشبكي وحده كافيًا لحماية المستخدمين الهجينين، وتطبيقات SaaS، وأعباء العمل متعددة السُحُب. يقدّم نموذج الثقة الصفرية — «لا تثق بأحد، وتحقّق دائمًا» — مسارًا عمليًا لتقليل أثر الاختراق مع تمكين التحول الرقمي في قطر والسعودية.

الثقة الصفرية هي إستراتيجية تُلزِم المنظومة الأمنية بأن تتحقق وتُصرّح لكل طلب، وتفرض أقل امتياز ممكن (Least Privilege)، وتقوم على افتراض حدوث اختراق (Assume Breach) عبر الهوية والأجهزة والشبكات والتطبيقات والبيانات. وتُعرّفها الأطر الحديثة بثلاثة مبادئ أساسية: التحقّق الصريح، وأقل امتياز، وافتراض الاختراق. ويُقدّم معيار NIST SP 800-207 إطارًا مرجعيًا يوضح الانتقال من حدود الشبكات الثابتة إلى ضوابط تتمحور حول المستخدمين والأصول والموارد، مع إرشادات عملية للنشر المؤسسي.

• أهداف عالية القيمة: تظل الجهات الحكومية وقطاعا الطاقة والخدمات المالية من أكثر الأهداف عرضةً للهجمات المتقدمة (APT)، ما يجعل الهوية وصحة الجهاز نقاط تحكم محورية.
• الضغط التنظيمي:
• • السعودية: تُصدر الهيئة الوطنية للأمن السيبراني ضوابط ECC-2 التي تفرض حوكمة صارمة وضوابط تقنية تتقاطع مباشرةً مع مبادئ الثقة الصفرية.
  • قطر: تُبرز الأجندة الوطنية للأمن السيبراني رفع المرونة عبر القطاعات الحرِجة—بما ينسجم مع نتائج الثقة الصفرية مثل التقسيم الدقيق والتحقق المستمر.
• العمل الهجين والسحابة: يتجه السوق إلى ZTNA بدل VPN في مشاريع الوصول عن بُعد الجديدة، ما يُحسّن الأمان وتجربة المستخدم.
• مواءمة الميزانيات: يواصل إنفاق الأمن التفوق على إنفاق تقنية المعلومات إجمالًا، ما يعكس أولوية الضوابط الحديثة على مستوى الإدارة العليا.

• Microsoft Entra ID (الوصول المشروط): يقيّم Conditional Access إشارات آنية (المستخدم، الجهاز، الموقع، المخاطر) لفرض سياسات تكيفية—مثل MFA لتسجيلات الدخول عالية المخاطر، واشتراط امتثال الجهاز للتطبيقات الحساسة، وضوابط الجلسات. وهو محرك سياسات الهوية في الثقة الصفرية.
• Microsoft Defender for Endpoint (EDR): يمنح قدرات منع واكتشاف واستجابة مؤتمتة عبر أنظمة التشغيل المتعددة، ويمكّن من احتواء سريع للحوادث بما ينسجم مع مبدأ افتراض الاختراق.
• Microsoft Purview (حماية البيانات والامتثال): تصنيف البيانات ووضع التسميات، وضوابط DLP، وإدارة مخاطر الداخلين—وكلها تُخرَط ضمن ضوابط البيانات في الثقة الصفرية.

تسلسل عملي للمؤسسات في الخليج: ابدأ بالهوية (قواعد وصول مشروط أساسية + MFA مقاومة للتصيّد)، ثم تحقّق من صحة الأجهزة، ثم احمِ البيانات عبر Purview وDLP—وذلك ضمن تكامل Microsoft 365.

يوفّر Fortinet ZTNA وصولًا قائمًا على الهوية وعلى مستوى التطبيق دون كشف الشبكة، مع سياسات دقيقة لكل مستخدم وجهاز وتطبيق—تطورٌ يتجاوز أنفاق VPN الواسعة. كما يحقق تكامل NGFW + EDR + SD-WAN ضمن Security Fabric رؤية موحّدة وأتمتة عبر المركز والفروع والسحابة. كيف يُكمل Microsoft؟ تتحكم Entra في «مَن يصل إلى ماذا وتحت أي شروط»، بينما تتولّى Fortinet «كيف» تُنشأ الجلسات وتُفحص طرفًا لطرف. معًا يُفعّلان الثقة الصفرية عبر الهوية ونقطة النهاية والشبكة.

• السعودية – NCA ECC: تتقاطع ضوابط الثقة الصفرية مع مجالات ECC (الهوية والوصول، تقسيم الشبكة، أمن التطبيقات، الاستجابة للحوادث). إن تطبيق سياسات Entra مع ZTNA يدعم التدقيق والامتثال المستمر.
• قطر – الأمن السيبراني الوطني: تُعزّز الثقة الصفرية مرونة حماية البنية التحتية المعلوماتية الحرِجة عبر التقسيم، والتحقق المستمر، وحوكمة البيانات.

• تقليل أثر الاختراق: يحدّ التقسيم والامتيازات الدنيا من الحركة الجانبية عند اختراق هوية أو جهاز.
• استجابة أسرع للحوادث: تقلّل السياسات المعتمدة على الإشارات وأتمتة EDR زمن البقاء وزمن المعالجة.
• تجربة هجينة أفضل: يمنح ZTNA وصولًا دقيقًا على مستوى التطبيقات بدل نفق VPN الكامل—ما يحسّن إنتاجية المستخدمين.
• جاهزية للتدقيق: تُبسّط السجلات المركزية وإنفاذ السياسات وضوابط البيانات إثبات فعالية الضوابط أمام الجهات التنظيمية.

1. التقييم وتحديد الأولويات: قياس الهوية والأجهزة؛ تحديد التطبيقات الحساسة والبيانات ذات الأهمية. مكاسب سريعة: MFA للجميع، حظر المصادقة القديمة، البدء بقوالب الوصول المشروط.
2. تحصين الأجهزة: نشر Defender for Endpoint وتفعيل تقليل سطح الهجوم والتحقيقات المؤتمتة.
3. تحديث أسلوب الوصول: تشغيل ZTNA كطيّار لتطبيق ذي قيمة عالية والبدء في تقليص VPN حيثما أمكن.
4. حماية البيانات: تصنيف البيانات عبر Purview وتطبيق DLP في البريد وTeams وSharePoint وتمكين سياسات مخاطر الداخلين.
5. التشغيل والمراقبة: ضبط السياسات بناءً على المخاطر ودمج SIEM/SOAR لسيناريوهات الاستجابة.

• الثقة الصفرية إستراتيجية وليست منتجًا واحدًا—مرتكزة إلى التحقق الصريح، أقل امتياز، وافتراض الاختراق.
• يجمع مزيج Microsoft 365 (Entra, Defender, Purview) مع Fortinet ZTNA بين الهوية ونقطة النهاية والشبكة لبناء وضع أمني متكامل.
• تتعزّز القدرة على الامتثال في السعودية وقطر عبر الوصول القائم على الهوية، والتقسيم، وحوكمة البيانات.

هل يجب استبدال VPN فورًا؟ لا. ابدأ بطيار ZTNA لتطبيقات محددة مع تشديد سياسات VPN (MFA، صحة الجهاز)، ثم خفّض الاعتماد تدريجيًا.

ما أول ضابط عملي في الثقة الصفرية؟ تفعيل MFA المقاوم للتصيّد وخطوط أساس الوصول المشروط (حظر المصادقة القديمة، اشتراط أجهزة متوافقة للتطبيقات الحساسة).

كيف تفيد الثقة الصفرية في التدقيق؟ تُبسِّط السياسات والسجلات المركزية (هوية، جهاز، بيانات) إثبات فعالية الضوابط مقابل أطر مثل ECC.

هل الثقة الصفرية للمؤسسات الكبرى فقط؟ لا. ابدأ بالهوية وصحة الجهاز؛ ثم أضِف ZTNA وضوابط البيانات مع نضج البيئة.

اكتشف خارطة طريق ثقة صفرية مصمّمة لقطاعك مع QDS—من الهوية ونقاط النهاية إلى ZTNA وحوكمة البيانات. تواصل معنا لحجز ورشة تقييم جاهزية.