OODA循環在網路安全運營平台建設中的應用
來自專欄微言小偏見
OODA循環最早用於信息戰領域,在空對空武裝衝突敵對雙方互相較量時,看誰能更快更好地完成「觀察—調整—決策—行動」的循環程序。
雙方都從觀察開始,觀察自己、觀察環境和敵人。基於觀察,獲取相關的外部信息,根據感知到的外部威脅,及時調整系統,做出應對決策,並採取相應行動。
一、OODA循環網路安全應用情景假設
通過OODA循環的定義就可以看出,它同樣適用於有著「對抗」特徵的網路安全領域,尤其適合進入主動安全防禦階段的組織重點考慮。因為主動防禦階段本身就是以實時安全分析為中心,以持續快速響應為驅動,通過內外部情報驅動的決策與行動以對抗威脅,並動態適應調整安全策略。
我們假設場景要素包括航空母艦、戰鬥機、飛行員,場景是飛行員正在駕駛戰鬥機機動巡航作戰。想像一下是不是很刺激?行動的目標呢?當然是要在戰鬥中取勝,憑實力取勝,乾淨利落的憑實力取勝。
在戰場上你死活我的較量中,誰都想幹掉對方取得勝利,但重要的不是想而是如何做到?在瞬息萬變的空戰中取勝的要領就是:要能發現敵人,要能快速發現敵人,要能快速發現敵人的行為意圖,在了解自我、了解敵人、了解環境態勢的同時,作出有利於自己的調整,進行快速準確的決策,採取針對性的行動一招制敵。
二、OODA循環網路安全運營平台建設應用
OODA循環分為觀察Oberve-調整Orient-決策Decide-行動Act四個階段,我們按這四個階段來描述它在網路安全運營平台建設中的具體應用。
2.1觀察Oberve階段
觀察Oberve包括對對自己的觀察、對敵人的觀察、對環境的觀察三部分,在網路安全中,對自己的觀察包括資產管理、漏洞管理,對敵人的觀察包括各種威脅分析與檢測技術應用,對環境的觀察包括整體網路安全態勢感知與可視化。
對自己的觀察就像飛機的儀錶盤,可以看到自己的飛行高度、飛行速度、所剩燃料等各種飛行狀態。在網路安全中一方面是信息資產的管理,包括資產識別盤點、資產重要性賦值、資產管理基線與變動、資產與網路拓撲展示等;另一方面是漏洞管理,包括運營平台對接漏洞掃描工具、威脅情報預警、行業漏洞通報、漏洞風險評估與展示等。
對敵人的觀察就像飛機的機載雷達,可以快速檢測、定位敵人位置以及敵人的活動狀態。在網路安全中對應的是各種威脅分析與檢測技術,包括網路流量分析、用戶行為分析、沙箱、蜜罐、威脅情報等等,並且能夠通過各種關聯分析規則,來提高檢測的效果(深度、異常)和檢測效率(快速),解決傳統設備誤報、漏報的問題,發現各種未知威脅。
對環境的觀察就像飛機的光電分散式孔徑系統,能對飛機所處的環境進行高解析度動態成像,提供高分別率成像預警,提高戰場態勢感知能力。在網路安全中對應的是整體安全態勢、外部攻擊態勢、內部安全態勢、資產與風險態勢的感知與展示,並提供各種監控儀錶盤及自動報表報告。
2.2調整Orient階段
調整階段的前提與基礎是觀察階段的成果,觀察階段越深入、越精確,調整階段的活動就越有效。反之,如果觀察階段出現偏差與問題,調整活動也可能會出現問題。戰鬥過程中的調整包括戰鬥策略的調整,這部分主要由飛行員(一線人員)根據情況進行調整。除此之外,還包含兩個後方的調整活動,分別是後方情報中心調整、後方指揮中心的調整。
對應到網路安全中,戰鬥策略的調整是事前防禦措施,包括定時漏洞掃描、打補丁、安全配置基線、黑白名單調整等;後方情報中心相當於威脅情報平台(TIP),包括多源威脅情報數據聚合、威脅情報多系統共享、威脅情報數據更新、威脅情報預警等;後方指揮中心相當於優化實時安全分析引擎(雷達),包括新增安全分析場景、調整安全規則與機器學習演算法等。
2.3決策Decide階段
到了決策階段,就特彆強調人際互動了,因為決策可能就是一瞬間的事情,同時決策也可能和下一個階段的行動連在一起了。
戰鬥中的決策包括敵我識別、智能決策,對應網路安全的安全調查分析、安全處置建議。安全調查分析包括事件分析與回溯、攻擊鏈還原、攻擊溯源場景化;安全處置建議包括告警/風險優先順序、攻擊行為預測、解決方案建議等。
2.4行動Act階段
行動階段包括三類活動,包括戰鬥、通訊與協同作戰活動,好比飛機的火力控制系統、信息通訊系統、協同作戰系統。戰鬥行動是敵我之間的活動,信息通訊和協同作戰是戰鬥單元之間,以及戰鬥單元與指揮部之間的活動。
在網路安全中,火力控制系統是指安全設備聯動,如SIEM與FW、IPS聯動;信息通訊系統是指安全預警通報系統,包括信息預警通報(簡訊、郵件等)、安全運營平台與工單系統對接等。協同作戰是指安全應急處置,包括應急處理、系統恢復等。
三、OODA循環與網路安全運營平台關鍵點總結
OODA的特點是:觀察階段周期偏長,後面各階段時間短甚至重合;越往前階段越基礎,是後一階段的輸入,越往後階段越關鍵;需要人機交互,重點是動態、聯動、閉環,提高整體能力。
對應到網路安全運營平台的關鍵詞是:快:大數據平台,准:深度分析與檢測,全:全面報表與要素組合。
如果覺得內容不錯,歡迎關注微信公共號(ID:WeYanXPJ)獲得後續更新;如需閱讀以前文章,請在公共號後台查看歷史消息。
推薦閱讀:
※HTTPs入門, 圖解SSL從回車到握手
※Tor是誰開發的,這玩意兒真的安全?
※WAF自動化FUZZ腳本
※深度好文:詳解信息安全專業
※Chrome廣告插件暗藏挖礦代碼,可使電腦瞬間卡死