إطار MITRE ATT&CK هو قاعدة معرفة عالمية وموثّقة لسلوك المهاجمين الحقيقي، منظّمة على شكل tactics (الأهداف) و techniques (الأساليب). في عالم الـ presales لا تبيع المصفوفة نفسها، بل تبيع القدرة على تحويلها إلى لغة مشتركة تقيس تغطية الكشف وتكشف الفجوات. هي الأداة التي تنقل الحوار مع العميل من شراء صناديق منتجات إلى قياس النضج الأمني بشكل موضوعي.

• 1ATT&CK ليس منتجاً بل قاعدة معرفة مجانية ومفتوحة من MITRE؛ هذا يجعلها أرضية محايدة للنقاش مع العميل، فلا تبدو وكأنك تبيع رؤية مورّد واحد بل معياراً صناعياً متّفقاً عليه.
• 2البنية tactics ثم techniques ثم sub-techniques تجيب على سؤالين يطرحهما كل عميل: لماذا يفعل المهاجم هذا (الهدف) وكيف ينفّذه بالضبط (الأسلوب)، وهو ما يحوّل التهديد المجرّد إلى خطوات قابلة للكشف.
• 3أقوى مخرج تبيعه هو الـ ATT&CK Navigator heatmap: خريطة حرارية تُظهر بصرياً أين يملك العميل كشفاً وأين توجد فجوات، وهي شريحة واحدة تقنع المدير المالي قبل المهندس.
• 4كل technique تُربط بمصادر بيانات (Data Sources) محددة كـ process creation و network traffic؛ هذا يبرّر للعميل لماذا يحتاج EDR و logging معيّنين، فالتغطية تتبع البيانات لا الأمنيات.
• 5ATT&CK يقود حوار النضج (maturity): العميل المبتدئ يطمح لتغطية الـ tactics الأكثر شيوعاً، والناضج ينتقل لمحاكاة خصوم محددين (adversary emulation) وقياس الكشف عبر purple teaming.

• معمارياً، ATT&CK ليس مصفوفة واحدة بل ثلاث: Enterprise (أنظمة التشغيل والسحابة)، Mobile، و ICS للأنظمة الصناعية. في الخليج هذا التمييز حاسم: عميل في الطاقة أو المياه (شركات مثل قطاع OT في السعودية) يحتاج مصفوفة ICS تحديداً، وعرض مصفوفة Enterprise له يكشف ضعف فهمك لبيئته.
• في المقارنة بين الأطر: ATT&CK يصف ما يفعله الخصم بعد الاختراق (post-compromise behavior)، بينما Cyber Kill Chain من Lockheed Martin خطّية وتركّز على المراحل المبكرة، و D3FEND (أيضاً من MITRE) يقابلها بالإجراءات الدفاعية. البائع الناضج لا يفاضل بل يشرح أنها طبقات متكاملة: Kill Chain للقصة التنفيذية، ATT&CK لقياس الكشف التفصيلي، D3FEND لربط الضوابط.
• في السياق التنظيمي الخليجي، اربط ATT&CK بأطر الامتثال المحلية لتضاعف القيمة: في السعودية ضوابط NCA الأساسية (ECC) ومتطلبات SAMA للقطاع المالي تطلب قدرات detection و response دون أن تحدد تقنياً كيف. ATT&CK يصبح الجسر الذي يترجم بند الامتثال إلى تغطية كشف ملموسة وقابلة للقياس، وهذه زاوية بيع قوية جداً مع جهات منظّمة في رؤية 2030.