# سِياج (Siyaj) — وثيقة رؤية المنتج (Product Vision)

> منصة SaaS سعودية لإدارة الثغرات والامتثال السيبراني المستمر.
> تفحص المواقع والسيرفرات والأجهزة، تربط النتائج بلوائح NCA ECC-2 و SAMA و PDPL،
> وتقدّم تقارير وحلولاً بالعربية مع سيادة بيانات محلية.

آخر تحديث: 2026-07-02

---

## 0. هوية العلامة (Brand)

- **الاسم:** سِياج (Siyaj) — بالإنجليزية `Siyaj`.
- **المعنى:** السور/المحيط الواقي — يعكس حماية سطح الهجوم والمحيط الرقمي للمنشأة.
- **الشعار (Tagline):**
  - عربي: «سياجك الرقمي — نكتشف الثغرة قبل المخترِق».
  - إنجليزي: *Siyaj — Your digital perimeter, secured before the breach.*
- **مهام قبل الإطلاق (لم تُنفّذ بعد):**
  - التحقق من توفّر النطاقات: `siyaj.sa`, `siyaj.com`, `getsiyaj.com`.
  - فحص العلامة التجارية لدى الهيئة السعودية للملكية الفكرية (SAIP) وتجنّب التعارض مع "حصين/سِرار".
  - تصميم الشعار البصري بألوان تعكس الثقة (كحلي/أخضر).

---

## 1. الرؤية والرسالة

**الرؤية:** أن نصبح منصة الامتثال السيبراني المستمر الأولى للشركات الصغيرة والمتوسطة في السوق السعودي والخليجي.

**الرسالة:** نمنع الاختراقات قبل حدوثها عبر اكتشاف نقاط الضعف بشكل آلي ومستمر، وتحويل النتائج المعقّدة إلى خطوات حل واضحة وأدلة امتثال جاهزة للجهات الرقابية — بالعربية وبسعر في متناول الشركة المتوسطة.

**جملة التموضع:**
> "ليس أداة فحص أخرى — بل منصة الامتثال السيبراني المستمر المصمّمة أصلاً للوائح السعودية."

---

## 2. المشكلة والفرصة

### المشكلة
- لوائح **NCA ECC-2** و**SAMA CSF** و**PDPL** تفرض **إدارة ثغرات واختبار اختراق مستمرين** كضوابط إلزامية على الحكومة والمالية والصحة والاتصالات والبنية الحرجة.
- الحل الحالي أمام الشركة المتوسطة: إما **استشارة يدوية غالية** (VAPT بالمشروع)، أو **أداة أجنبية** لا تفهم الامتثال المحلي ولا تدعم العربية ولا سيادة البيانات.
- أغلب الاختراقات الكبرى تحدث عبر أساسيات مُهمَلة: ثغرة معروفة غير مرقّعة، خدمة مكشوفة، إعداد خاطئ، شهادة منتهية.

### حجم السوق
- سوق الأمن السيبراني السعودي: **~5 مليار دولار (2026) → ~7.8 مليار (2031)**، نمو سنوي مركّب ~9.4%.
- سوق MENA: **~18 مليار (2026) → ~37 مليار دولار (2034)**.
- محرّكات النمو: رؤية 2030، NEOM، إلزامية الامتثال، تصاعد هجمات الفدية.

### الفرصة
- شريحة **الشركات الصغيرة والمتوسطة (SMB / Mid-market)** المُلزَمة بالامتثال لكن غير القادرة على تحمّل مركز عمليات مُدار — **شريحة مُهمَلة من كبار اللاعبين**.

---

## 3. الجمهور المستهدف

1. **الشركات المتوسطة** في المالية/الصحة/التجارة الإلكترونية/الاتصالات الملزَمة بـ ECC-2 / PDPL.
2. **الشركات الناشئة (fintech)** الخاضعة لرقابة SAMA.
3. **مزوّدو الخدمات الأمنية الصغار (MSSPs)** كعملاء white-label.
4. **الجهات شبه الحكومية والبلديات** ذات الميزانيات المتوسطة.

خارج النطاق مبدئياً: المؤسسات العملاقة والقطاع الصناعي (OT) — ملعب Cyberani و sirar وغيرهم.

---

## 4. مصفوفة التغطية (نواقل الاختراق مقابل قدرات المنصة)

مبنية على تحليل أكبر اختراقات آخر 5 سنوات (MOVEit، Snowflake، Change Healthcare، MGM، Colonial، Equifax، M&S).

| ناقل الهجوم | نسبته في الاختراقات | تغطية المنصة | الأداة/الوحدة |
|---|---|---|---|
| ثغرة معروفة غير مرقّعة | 12–29% | ✅ كامل | Nuclei + OpenVAS + DAST |
| RDP / وصول عن بُعد مكشوف | +50% من الفدية | ✅ كامل | Nmap / naabu + كشف الخدمات |
| إعدادات خاطئة (DB مكشوفة، صلاحيات) | مرتفع | ✅ كامل | SCA + فحص السحابة |
| شهادة SSL/TLS منتهية أو ضعيفة | متكرر | ✅ كامل | testssl.sh / sslyze |
| ثغرات طرف ثالث / اعتماديات | متصاعد | ✅ كامل | Trivy + بصمة التقنيات + CVE feed |
| نقاط ضعف الأجهزة (patches ناقصة) | مرتفع | ✅ كامل | وحدة الأجهزة (Wazuh) — القسم 5.2 |
| بوابة دخول بلا MFA | ناقل الدخول #1 | ⚠️ كشف فقط | كشف البوابات المكشوفة |
| بيانات دخول مسرّبة | ~30% | ✅ كشف | طبقة الهوية والتسريبات — القسم 5.3 |
| تصيّد / هندسة اجتماعية | ~25% | ✅ محاكاة + توعية | وحدة محاكاة التصيّد (GoPhish) — القسم 5.10 |
| إعدادات سحابية خاطئة (AWS/Azure) | مرتفع (سبب Capital One) | ✅ كامل | وحدة أمن السحابة (CSPM) — القسم 5.7 |
| ثغرات في كود التطبيق | مرتفع | ✅ كامل | وحدة SAST — القسم 5.6 |
| ثغرات API (REST/GraphQL) | متصاعد | ✅ كامل | وحدة أمن API — القسم 5.8 |
| انتحال البريد (spoofing) | مرتفع | ✅ كامل | أمن البريد والنطاق — القسم 5.9 |
| ثغرات أنظمة إدارة المحتوى (WordPress) | مرتفع للـ SMB | ✅ كامل | وحدة CMS (WPScan) — القسم 5.11 |
| جاهزية ضد الفدية (Ransomware) | أخطر تهديد حالي | ✅ تقييم استباقي | وحدة جاهزية الفدية — القسم 5.15 |

**التغطية الإجمالية: ~95% من نواقل الاختراق الفعلية** بعد إضافة وحدات SAST والسحابة و API والبريد ومحاكاة التصيّد. المتبقّي (~5%) طبقات بشرية بحتة (اختبار اختراق يدوي، Red Team) نتركها عمداً.

---

## 5. مكوّنات المنصة (الوحدات)

### 5.1 وحدة سطح الهجوم الخارجي (EASM)
اكتشاف ومراقبة كل ما هو مكشوف على الإنترنت.
- **الاكتشاف:** subfinder, OWASP Amass (subdomains) → dnsx → naabu/Nmap (بورتات) → httpx (خدمات).
- **الزحف:** katana, gau, waybackurls.
- **الفحص:** Nuclei (قوالب محدّثة خلال ساعات من الإفصاح)، OWASP ZAP / Wapiti (DAST للويب)، testssl (SSL).

### 5.2 وحدة الأجهزة (Endpoint / Device Weakness) — **مضافة**
الكشف من الداخل عن نقاط ضعف الأجهزة والسيرفرات.
- **عميل خفيف (Wazuh agent)** يُركّب على الأجهزة والسيرفرات.
- يكتشف: ثغرات نظام التشغيل والتطبيقات، **التحديثات الناقصة (missing patches)**، الإعدادات غير الآمنة — ببيانات من Microsoft, Canonical, NVD.
- **وحدة SCA** (Security Configuration Assessment): فحص التقسية (hardening) والصلاحيات الخاطئة.
- **تكامل OSQuery:** استعلامات SQL عميقة على الأجهزة.
- **فحص مُصادَق (credentialed)** بـ OpenVAS للسيرفرات الداخلية.
- الميزة: تغطية **من الخارج (سطح الهجوم) ومن الداخل (الأجهزة)** — عكس أدوات EASM التي ترى الخارج فقط.

### 5.3 طبقة الهوية والتسريبات والتهديدات (Identity, Leaks & Threat Intel) — **موسّعة**
- **كشف البيانات المسرّبة:** فحص بيانات دخول الشركة/الموظفين في تسريبات معروفة و dark web (تكامل مصادر مثل HIBP / infostealer feeds).
- **كشف البوابات بلا MFA:** رصد بوابات الدخول العامة (VPN, webmail, admin panels) المكشوفة.
- **حماية العلامة (Brand Protection):** كشف الدومينات المزيّفة (typosquatting) وصفحات الانتحال المستخدمة في التصيّد.
- **استخبارات التهديدات (Threat Intelligence):** ربط الأصول بموجزات CVE النشطة وحملات الاستغلال الحالية لترتيب الأولويات.
- ملاحظة: هذه طبقة **كشف** لا **إدارة هوية**؛ نوصي بـ MFA كإجراء مكمّل.

### 5.6 وحدة فحص كود المصدر (SAST) — **مضافة**
- تحليل ثابت لكود التطبيقات لاكتشاف الثغرات قبل النشر (injection, XSS, أسرار مضمّنة، أنماط غير آمنة).
- الأدوات: **Semgrep** (متعدد اللغات) + **Gitleaks** (الأسرار).
- تكامل مع مستودعات العميل (GitHub/GitLab) وخطوط CI/CD.

### 5.7 وحدة أمن السحابة (CSPM) — **مضافة**
- فحص إعدادات AWS / Azure / GCP الخاطئة (buckets مكشوفة، صلاحيات IAM مفرطة، مجموعات أمان مفتوحة).
- معالجة السبب الجذري لاختراقات مثل Capital One (SSRF + IAM مفرط).
- الأدوات: **Prowler**, **ScoutSuite** (بدون agent، عبر API).

### 5.8 وحدة أمن API — **مضافة**
- فحص واجهات REST / GraphQL: مصادقة ضعيفة، BOLA/IDOR، كشف بيانات زائد، غياب rate limiting.
- استيراد مواصفات OpenAPI/Swagger + فحص نشط عبر ZAP وقواعد مخصّصة.

### 5.9 وحدة أمن البريد والنطاق — **مضافة**
- فحص سجلات **SPF / DKIM / DMARC** لمنع انتحال البريد (ناقل تصيّد شائع).
- فحص إعدادات DNS الخاطئة (open resolvers, zone transfer, dangling records → subdomain takeover).
- منخفض التكلفة، عالي القيمة.

### 5.10 وحدة محاكاة التصيّد والتوعية — **مضافة**
- حملات تصيّد محاكاة آمنة على موظفي العميل لقياس الوعي (بموافقة الإدارة).
- الأداة: **GoPhish** (مفتوح المصدر) + محتوى توعية.
- **يقفل الطبقة البشرية** التي كانت خارج النطاق، ويغطّي متطلب "Security Awareness" في ECC-2.

### 5.11 وحدة أنظمة إدارة المحتوى (CMS) — **مضافة**
- فحص متخصص لـ WordPress/Joomla (إضافات ضعيفة، إصدارات قديمة، مستخدمون مكشوفون).
- الأداة: **WPScan**. مهم جداً لأن غالبية مواقع الشركات المتوسطة على WordPress.

### 5.12 وحدة مخاطر الطرف الثالث (Supply Chain) — **مضافة**
- تقييم الوضع الأمني الخارجي لموردي العميل وشركائه (SSL، ثغرات مكشوفة، تسريبات).
- معالجة ناقل MOVEit (الاختراق عبر طرف ثالث أضعف).

### 5.13 وحدة الامتثال (Compliance Engine) — **ميزة التمايز الأساسية**
- ربط كل ثغرة تلقائياً بضوابط **NCA ECC-2 / SAMA CSF / PDPL / PCI-DSS**.
- لوحة حالة امتثال حية + نسبة التغطية لكل ضابط.
- توليد **أدلة جاهزة للمراجعة الرقابية (evidence-based)** — لأن اللوائح تفرض امتثالاً مستمراً لا شهادة لمرة واحدة.

### 5.14 طبقة الذكاء (AI Layer — Claude)
- **ترتيب الأولويات بالسياق:** CVSS + حساسية الأصل + قابلية الاستغلال الفعلية.
- **تقليل الإيجابيات الكاذبة** عبر التحقق المتقاطع بين أدوات متعددة.
- **توليد التقارير ثنائية اللغة** (عربي/إنجليزي): وصف الثغرة + الأثر على العمل + خطوات حل مفصّلة.
- **دردشة على النتائج:** أسئلة بالعربية حول أخطر النقاط وكيفية معالجتها.
- النماذج: Opus 4.8 (تحليل/تقارير)، Haiku 4.5 (تصنيف بالجملة)، مع Prompt Caching لقاعدة معرفة الثغرات.

### 5.15 وحدة تقييم جاهزية الفدية (Ransomware Readiness) — **مضافة**
وحدة تجميعية تعتمد على نتائج الوحدات الأخرى وتُنتج **درجة جاهزية ضد الفدية** مع خطة تحسين.

**الحقيقة التقنية:** بعد تشفير الملفات (AES+RSA) لا يوجد حل رياضي لفكّها إلا: مفتاح المهاجم (دفع — غير مُوصى به)، أو خلل نادر في الفدية (No More Ransom)، أو **الاستعادة من نسخة نظيفة**. لذلك المعركة كلها **قبل** الحدوث.

**ما تفحصه الوحدة آلياً (قبل الحدوث):**
- **نواقل الدخول:** RDP/SMB مكشوف، ثغرات حرجة قابلة للاستغلال، بيانات دخول مسرّبة، غياب MFA (من الوحدات 5.1–5.3).
- **صلابة التهيئة:** سياسة ماكرو Office، وجود EDR، تجزئة الشبكة (network segmentation).
- **الجاهزية للتعافي:** كشف وجود نسخ احتياطية غير قابلة للتعديل/غير متصلة (immutable/offline) وفق قاعدة 3-2-1.

**المخرجات:**
- درجة جاهزية (Readiness Score) + قائمة إجراءات مرتّبة بالأولوية.
- ربط بضوابط ECC-2 الخاصة بالنسخ الاحتياطي والاستجابة للحوادث.

**الحدود (صريحة):** الاستعادة الفعلية والتحقيق الجنائي (Forensics/IR) بعد الحادث = عمل بشري خارج نطاق المنتج؛ ندعم فقط تحليل السبب الجذري وإعادة التحقق من التقسية بعد المعالجة.

**قيمة تجارية:** أقوى قصة مبيعات — "أغلب الفدية تدخل من باب نكتشفه ونغلقه قبل وقوع الكارثة".

---

## 6. التمايز عن المنافسين

### 6.1 مقابل المنافسين العالميين (Tenable / Qualys / Rapid7 / Wiz)
| البُعد | المنافس العالمي | سِياج (Siyaj) |
|---|---|---|
| الامتثال | عام (غير سعودي) | **NCA ECC-2 / SAMA / PDPL أصلي** |
| اللغة | إنجليزي فقط | **عربي أولاً + ثنائي** |
| سيادة البيانات | خارج المملكة غالباً | **استضافة داخل السعودية** |
| الجمهور | مؤسسات كبيرة | **شركات صغيرة/متوسطة** |
| السعر | مؤسسي مرتفع | **مناسب للشركة المتوسطة** |
| التعقيد | يحتاج فرق متخصصة | **ذاتي الخدمة، آلي** |
| المعالجة | يكشف ولا يرشد جيداً | **خطوات حل بالذكاء + بالعربي** |

### 6.2 مقابل Cyberani والمنافسين المحليين
- **لا ننافس وجهاً لوجه:** Cyberani مدعومة من أرامكو، مرخّصة المستوى الأول NCA، تخدم المؤسسات والقطاع الصناعي (OT) والحكومة — قلعة محصّنة.
- **نحتل الأرض المتروكة:** الشركات الصغيرة والمتوسطة الملزَمة بالامتثال وغير القادرة على تحمّل خدمة مُدارة.
- **منتج مقابل خدمة:** آلي/فوري/رخيص مقابل بشري/بطيء/غالٍ.
- **مسار محتمل:** بيع white-label لمزوّدي خدمات أصغر (MSSPs)، وربما شراكة مستقبلية بدل المنافسة.

### 6.3 مقابل مضادات الفيروسات (Kaspersky وغيره)
- **فئة مختلفة تماماً:** مضاد الفيروسات = ردّ فعلي، داخل الجهاز، يمسك البرمجيات الخبيثة بعد وصولها.
- **سِياج = استباقي:** يكتشف الأبواب المفتوحة قبل وصول أي مهاجم.
- **الدليل:** MOVEit / Equifax / Snowflake / Capital One — مضاد الفيروسات لم يفعل شيئاً؛ الدخول كان عبر ثغرة ويب أو بيانات مسروقة أو خدمة مكشوفة.
- **ورقة الامتثال:** ECC-2 / SAMA يفرضان "إدارة الثغرات" كضابط **مستقل** عن مضاد الفيروسات — امتلاك مضاد فيروسات لا يعني الامتثال.
- **الخلاصة:** مكمّل لا منافس؛ نحن الطبقة فوقه.

---

## 7. الأدوات مفتوحة المصدر المعتمدة

| الطبقة | الأداة |
|---|---|
| تنسيق وتجميع النتائج | DefectDojo (backend) |
| اكتشاف الأصول | subfinder, OWASP Amass, dnsx |
| فحص البورتات | naabu, Nmap, Masscan |
| بصمة HTTP والزحف | httpx, katana, gau, waybackurls |
| فحص الثغرات (قوالب) | Nuclei |
| DAST | OWASP ZAP, Wapiti |
| ثغرات البنية (CVE) | OpenVAS / Greenbone |
| الأجهزة (endpoint) | Wazuh (agent + SCA + OSQuery) |
| الحاويات / IaC / الاعتماديات | Trivy, kube-bench |
| كشف الأسرار | Gitleaks |
| فحص كود المصدر (SAST) | Semgrep |
| فحص تطبيقات الموبايل | MobSF |
| أمن السحابة (CSPM) | Prowler, ScoutSuite |
| أنظمة إدارة المحتوى | WPScan |
| محاكاة التصيّد | GoPhish |
| SSL/TLS | testssl.sh, sslyze |
| مرجع الثغرات | NVD / CVE API |

**ما نبنيه نحن (لا يغطيه المصدر المفتوح):** طبقة SaaS متعددة المستأجرين، إثبات ملكية الأصول، محرّك التنسيق والجدولة، محرّك الامتثال السعودي، طبقة الذكاء والتقارير، لوحة التحكم التنفيذية.

---

## 8. المعمارية التقنية (ملخص)

- **Backend:** Python + FastAPI
- **Task Queue:** Celery + Redis
- **Frontend:** Next.js + TypeScript + Tailwind + shadcn/ui
- **قواعد البيانات:** PostgreSQL + Redis
- **تشغيل الأدوات:** Docker containers معزولة لكل scanner
- **تخزين التقارير:** MinIO (متوافق S3)
- **النشر:** SaaS سحابي مركزي، استضافة داخل السعودية (سيادة بيانات)
- **الذكاء:** Claude API (Opus 4.8 / Haiku 4.5) مع Prompt Caching

---

## 9. نموذج العمل والربحية

- **النموذج:** اشتراك SaaS متكرر (شهري/سنوي) بحسب عدد الأصول + مستوى الخطة.
- **الطبقات المقترحة:** Starter (SMB) / Business / Compliance (يشمل تقارير ECC-2/SAMA) / White-label (MSSP).
- **الربحية:** هوامش SaaS عالية (80%+)، تكلفة تشغيل منخفضة (محرّك مفتوح المصدر)، إيراد متكرر مدفوع بإلزامية الامتثال.
- **الحكم:** مربح كـ SaaS متخصص للشريحة المتوسطة مع زاوية الامتثال، بشرط تموضع دقيق وبناء الثقة.

---

## 10. المخاطر والتحديات

| الخطر | التخفيف |
|---|---|
| الثقة (منتج أمني جديد يطلب وصولاً لأنظمة العميل) | شهادات، شراكة محلية، حالات نجاح، سيادة بيانات |
| دورة مبيعات علائقية في السعودية | شريك/موزّع محلي، حضور في فعاليات (Black Hat MEA) |
| متطلبات ترخيص NCA للخدمات المتقدمة | استشارة قانونية مبكرة، البدء بما لا يحتاج ترخيص |
| مسؤولية قانونية عند فحص غير مُصرّح | إثبات ملكية إلزامي + موافقة موقّعة قبل أي فحص |
| المنافسة السعرية من الأدوات الأجنبية | التمايز بالامتثال والعربية لا بالسعر فقط |

---

## 11. خارطة الطريق (ملخص)

- **المرحلة 0:** الأساس القانوني (إثبات ملكية + موافقة).
- **المرحلة 1 (MVP):** تسجيل + إضافة أصل + فحص (Nmap + Nuclei) + تقرير Claude.
- **المرحلة 2:** محرّك فحص كامل (ZAP + OpenVAS + Trivy + SSL + WPScan + أمن البريد) + جدولة.
- **المرحلة 3:** وحدة الأجهزة (Wazuh) + طبقة الهوية/التسريبات/استخبارات التهديدات + تقييم جاهزية الفدية.
- **المرحلة 4:** محرّك الامتثال (ECC-2/SAMA) + لوحة تنفيذية + تقارير ثنائية اللغة.
- **المرحلة 5:** توسّع التغطية — SAST (Semgrep) + أمن السحابة CSPM (Prowler) + أمن API + محاكاة التصيّد (GoPhish) + فحص الموبايل (MobSF).
- **المرحلة 6:** مخاطر الطرف الثالث + تكاملات (Slack/Jira) + API + white-label للـ MSSPs.

---

## المصادر
- سوق الأمن السيبراني السعودي — MarketsandMarkets
- أكبر الاختراقات 2021–2026 — Amtivo / Coveware
- مقارنة Tenable/Qualys/Rapid7/Wiz — Gartner Peer Insights / Valtik
- Cyberani — الموقع الرسمي / Security MEA
- NCA ECC — nca.gov.sa / SAMA CSF — sama.gov.sa
- Wazuh — wazuh.com
