
تتمحور معظم نقاشات الأمن في المؤسسات السعودية حول المحيط الشبكي — جدار الحماية، IPS، نقطة النهاية. ما يُقلَّل من شأنه هو سطح الهجوم الذي يقع فوق طبقة الشبكة: تطبيقات الويب والواجهات البرمجية وبوابات العملاء وواجهات SaaS التي هي مواجهة للإنترنت وتُشكّل الهدف الأساسي للمهاجمين الذين اكتشفوا أن المحيط الشبكي بات أصعب اختراقاً مباشرةً.
هجمات تطبيقات الويب تنجح لأن حركة بياناتها تبدو شرعية. حمولة حقن SQL تصل عبر HTTPS على المنفذ 443 — نفس المنفذ الذي يُهيَّأ جدار حمايتك للسماح به. هجوم Cross-Site Scripting يُسلَّم عبر حقل نموذج بناه مطوروك لقبول مُدخلات المستخدم. لا شيء من هذه الهجمات يُشغّل قاعدة في جدار الحماية على طبقة الشبكة، لأنها ليست تهديدات لطبقة الشبكة. بل تهديدات لطبقة التطبيق، وتتطلب ضابطاً لطبقة التطبيق: جدار حماية تطبيقات الويب (WAF).
يحتفظ مشروع OWASP بالتصنيف الصناعي الحاسم لمخاطر أمان تطبيقات الويب، مُحدَّثاً بناءً على بيانات ثغرات العالم الحقيقي من مئات الآلاف من التطبيقات [1]. يغطي OWASP Top 10 الحالي — في إصداره 2021 الذي يظل المرجع الفعلي — فئات المخاطر التي تهيمن على أنماط اختراق تطبيقات الويب عالمياً:
التحكم المكسور في الوصول — المخاطرة الأعلى تصنيفاً. المستخدمون يصلون إلى موارد أو يؤدون إجراءات تتجاوز صلاحياتهم.
الإخفاقات التشفيرية — بيانات حساسة مكشوفة بسبب تشفير غير كافٍ. في ظل PDPL، لهذه الفئة انعكاسات تنظيمية مباشرة في المملكة [2].
الحقن — SQL injection وحقن أوامر OS وحقن LDAP. رغم عقود من الوعي، وجدت بيانات اختبار الاختراق لدى Claranet لعام 2024 ثغرات الحقن في نسبة كبيرة من التطبيقات المُختبَرة [3].
التصميم غير الآمن — نقاط ضعف معمارية مدمجة في التطبيقات في مرحلة التصميم.
سوء تهيئة الأمن — الثغرة الأكثر شيوعاً في الممارسة. بيانات اعتماد افتراضية، رسائل خطأ مفصّلة، ميزات غير ضرورية مُفعَّلة، عناوين أمان مفقودة.
المكوّنات الضعيفة والقديمة — مكتبات وأطر عمل وتبعيات تابعة لجهات ثالثة بـCVE معروفة تظل غير مُصحَّحة في الإنتاج. وجدت بيانات Claranet لعام 2024 أكثر من 1,000 حالة لمكتبات JavaScript قديمة عبر التطبيقات المُختبَرة في سنة واحدة [3].
إخفاقات المصادقة والتعريف — حشو بيانات الاعتماد، القوة الغاشمة، نقاط ضعف إدارة الجلسة.
إخفاقات السجل والمراقبة الأمنية — تسجيل غير كافٍ يترك الهجمات غير مكتشفة وغير مُحقَّق فيها.
يعالج WAF غالبية هذه الفئات على طبقة التطبيق — فحص حركة HTTP/HTTPS في كلا الاتجاهين، تطبيق قواعد قائمة على التوقيع لأنماط الهجوم المعروفة، وفرض نماذج أمان إيجابية تحجب الحركة غير المتوافقة مع السلوك المتوقع للتطبيق.
النطاق الفرعي 2-4 من الضوابط الأساسية للأمن السيبراني (ECC) يتناول أمان تطبيقات الويب ويشترط حماية تطبيقات الويب المواجهة للإنترنت من مخاطر الإنترنت [4]. للمنظمات التي تشغّل تطبيقات مواجهة للإنترنت — وهو الآن يشمل تقريباً كل مؤسسة سعودية لديها بوابة عملاء أو بوابة دفع أو تكامل مع شركاء — هذا الضابط في نطاق التطبيق.
تشترط ضوابط الأمن السيبراني للأنظمة الحرجة (CSCC)، التي تنطبق على المنظمات التي تشغّل البنية التحتية الوطنية الحرجة، صراحةً حماية WAF لتطبيقات الأنظمة الحرجة المواجهة للإنترنت [5]. للبنوك السعودية وشركات الطاقة والمنظمات الصحية والجهات الحكومية ومشغّلي الاتصالات، CSCC في النطاق إلى جانب ECC.
التداعية العملية أن المنظمات التي تقترب من مراجعة NCA ECC التالية أو تقييم SAMA دون WAF منشور ومُهيَّأ ستواجه فجوة في ضوابط حماية تطبيقات الويب.
WAF محلي (جهاز مادي أو افتراضي). مُنشَر في مركز البيانات أو على الحافة. Fortinet FortiWeb هو منصة WAF المحلية التي تنشرها بناة الأنظمة للمؤسسات السعودية — مُدمَج مع منظومة Fortinet Security Fabric الأشمل للرؤية المترابطة بين أحداث طبقة الشبكة وطبقة التطبيق. يبني كشف التهديدات القائم على التعلم الآلي في FortiWeb نموذجاً أمنياً إيجابياً لكل تطبيق محمي.
WAF السحابي / WAF المتكامل مع CDN. مُنشَر أمام التطبيقات المواجهة للإنترنت على طبقة CDN أو الحافة السحابية. مناسب للتطبيقات المستضافة على Azure أو AWS أو منصات SaaS.
WAF المُدار. يُنشَر WAF ويُشغَّل من قِبَل بناة الأنظمة — تُضبَط القواعد، تُحقَّق الإيجابيات الكاذبة، تُطبَّق CVE جديدة، ويُوصَّل تدفق أحداث WAF بـSOC المُدار للتنبيه المترابط.
WAF مُنشَر في الوضع الافتراضي يُقدّم حماية أساسية وخانة اختيار للامتثال. لا يُقدّم حماية مُحسَّنة للتطبيقات المحددة خلفه. WAF مُنشَر في وضع الحجب غير المُضبَط ينتج إرهاق التنبيهات من الإيجابيات الكاذبة، وكثيراً ما يُعاد تشغيله في وضع الكشف لوقف الاضطراب التشغيلي — مما يُفشل غرضه.
WAF مُضبَط في وضع الحجب شفاف تشغيلياً، يحجب الهجمات الفعلية، وينتج حجماً قابلاً للإدارة من التنبيهات يستطيع SOC التصرف بناءً عليه.
تُعزّز NCA ECC 2:2024 المُحدَّثة متطلبات الأمن السيبراني على المستوى الوطني [7]. اتجاه التطور متّسق: حماية تطبيقات مواجهة الإنترنت تحظى باهتمام تنظيمي متزايد، وليس أقل، مع نمو الاقتصاد الرقمي السعودي.
تصمّم وتنشر وتشغّل بناة الأنظمة بيئات WAF للمؤسسات السعودية — محلياً مع FortiWeb، سحابياً مع Azure WAF أو Cloudflare، أو تركيبات هجينة بناءً على بنية التطبيق. تبدأ مشاريع WAF لدينا عادةً بجرد التطبيقات — تحديد جميع التطبيقات المواجهة للإنترنت والواجهات البرمجية ونقاط التكامل — تليها تصميم بنية نشر WAF، والتهيئة المرحلية بوضع التعلم ثم وضع الحجب المُضبَط، وتكامل اختياري مع SOC المُدار من بناة الأنظمة لمراقبة أحداث WAF على مدار الساعة.
إذا كانت مؤسستك تشغّل تطبيقات ويب مواجهة للإنترنت وليس لديها WAF منشور ومُدار بفاعلية، فضابطك في النطاق الفرعي 2-4 من NCA ECC مفتوح. احجز تقييماً مجانياً لأمن تطبيقات الويب مع بناة الأنظمة.
[1] OWASP Foundation، "OWASP Top Ten Web Application Security Risks." https://owasp.org/www-project-top-ten/
[2] الهيئة السعودية للبيانات والذكاء الاصطناعي (SDAIA)، نظام حماية البيانات الشخصية (PDPL). https://sdaia.gov.sa/en/SDAIA/about/Pages/PersonalDataProtectionLaw.aspx
[3] Claranet Cyber Security، "أبرز ثغرات تطبيقات الويب التي اكتُشفت في 2024"، يناير 2025. https://www.claranet.com/us/blog/2025-01-07-claranet%E2%80%99s-top-10-web-application-vulnerabilities-found-2024
[4] الهيئة الوطنية للأمن السيبراني (المملكة العربية السعودية)، الضوابط الأساسية للأمن السيبراني (ECC – 1:2018)، النطاق الفرعي 2-4 حماية تطبيقات الويب. https://nca.gov.sa/ecc-en.pdf
[5] الهيئة الوطنية للأمن السيبراني (المملكة العربية السعودية)، ضوابط الأمن السيبراني للأنظمة الحرجة (CSCC – 1:2019). https://cdn.nca.gov.sa/api/public/cms/files/f15af01c-dc59-4281-95e2-03a770655937_Critical-Systems-Cybersecurity-Controls.pdf
[6] البنك المركزي السعودي (SAMA)، إطار الأمن السيبراني، الإصدار 1.0، مايو 2017. https://www.sama.gov.sa/en-US/RulesInstructions/CyberSecurity/Cyber%20Security%20Framework.pdf
[7] الهيئة الوطنية للأمن السيبراني (المملكة العربية السعودية)، الضوابط الأساسية للأمن السيبراني (ECC 2:2024). https://nca.gov.sa/en/regulatory-documents/controls-list/ecc/

تعد منطقة الشرق الأوسط ثاني أعلى منطقة عالمياً من حيث تكلفة اختراق البيانات، حيث بلغ متوسط تكلفة الحادثة الواحدة 27 مليون ريال سعودي في عام 2025. ورغم...

إسناد الأمن يشكّل وضع المخاطر لديك لسنوات. قائمة تحقّق عملية لاختيار مزوّد خدمات الأمن المُدارة — من قدرة مركز العمليات على مدار الساعة واتفاقيات الا...

كيف يدمج SASE الشبكات والأمن في خدمة واحدة تُقدَّم من السحابة. المكوّنات الأساسية الخمسة، وسبب ظهور النموذج، وكيف تنتقل إليه على مراحل.