OODA循環在網路安全運營平台建設中的應用

來自專欄微言小偏見

OODA循環最早用於信息戰領域，在空對空武裝衝突敵對雙方互相較量時，看誰能更快更好地完成「觀察—調整—決策—行動」的循環程序。

雙方都從觀察開始，觀察自己、觀察環境和敵人。基於觀察，獲取相關的外部信息，根據感知到的外部威脅，及時調整系統，做出應對決策，並採取相應行動。

一、OODA循環網路安全應用情景假設

通過OODA循環的定義就可以看出，它同樣適用於有著「對抗」特徵的網路安全領域，尤其適合進入主動安全防禦階段的組織重點考慮。因為主動防禦階段本身就是以實時安全分析為中心，以持續快速響應為驅動，通過內外部情報驅動的決策與行動以對抗威脅，並動態適應調整安全策略。

我們假設場景要素包括航空母艦、戰鬥機、飛行員，場景是飛行員正在駕駛戰鬥機機動巡航作戰。想像一下是不是很刺激？行動的目標呢？當然是要在戰鬥中取勝，憑實力取勝，乾淨利落的憑實力取勝。

在戰場上你死活我的較量中，誰都想幹掉對方取得勝利，但重要的不是想而是如何做到？在瞬息萬變的空戰中取勝的要領就是：要能發現敵人，要能快速發現敵人，要能快速發現敵人的行為意圖，在了解自我、了解敵人、了解環境態勢的同時，作出有利於自己的調整，進行快速準確的決策，採取針對性的行動一招制敵。

二、OODA循環網路安全運營平台建設應用

OODA循環分為觀察Oberve-調整Orient-決策Decide-行動Act四個階段，我們按這四個階段來描述它在網路安全運營平台建設中的具體應用。

2.1觀察Oberve階段

觀察Oberve包括對對自己的觀察、對敵人的觀察、對環境的觀察三部分，在網路安全中，對自己的觀察包括資產管理、漏洞管理，對敵人的觀察包括各種威脅分析與檢測技術應用，對環境的觀察包括整體網路安全態勢感知與可視化。

對自己的觀察就像飛機的儀錶盤，可以看到自己的飛行高度、飛行速度、所剩燃料等各種飛行狀態。在網路安全中一方面是信息資產的管理，包括資產識別盤點、資產重要性賦值、資產管理基線與變動、資產與網路拓撲展示等；另一方面是漏洞管理，包括運營平台對接漏洞掃描工具、威脅情報預警、行業漏洞通報、漏洞風險評估與展示等。

對敵人的觀察就像飛機的機載雷達，可以快速檢測、定位敵人位置以及敵人的活動狀態。在網路安全中對應的是各種威脅分析與檢測技術，包括網路流量分析、用戶行為分析、沙箱、蜜罐、威脅情報等等，並且能夠通過各種關聯分析規則，來提高檢測的效果（深度、異常）和檢測效率（快速），解決傳統設備誤報、漏報的問題，發現各種未知威脅。

對環境的觀察就像飛機的光電分散式孔徑系統，能對飛機所處的環境進行高解析度動態成像，提供高分別率成像預警，提高戰場態勢感知能力。在網路安全中對應的是整體安全態勢、外部攻擊態勢、內部安全態勢、資產與風險態勢的感知與展示，並提供各種監控儀錶盤及自動報表報告。

2.2調整Orient階段

調整階段的前提與基礎是觀察階段的成果，觀察階段越深入、越精確，調整階段的活動就越有效。反之，如果觀察階段出現偏差與問題，調整活動也可能會出現問題。戰鬥過程中的調整包括戰鬥策略的調整，這部分主要由飛行員（一線人員）根據情況進行調整。除此之外，還包含兩個後方的調整活動，分別是後方情報中心調整、後方指揮中心的調整。

對應到網路安全中，戰鬥策略的調整是事前防禦措施，包括定時漏洞掃描、打補丁、安全配置基線、黑白名單調整等；後方情報中心相當於威脅情報平台（TIP），包括多源威脅情報數據聚合、威脅情報多系統共享、威脅情報數據更新、威脅情報預警等；後方指揮中心相當於優化實時安全分析引擎（雷達），包括新增安全分析場景、調整安全規則與機器學習演算法等。

2.3決策Decide階段

到了決策階段，就特彆強調人際互動了，因為決策可能就是一瞬間的事情，同時決策也可能和下一個階段的行動連在一起了。

戰鬥中的決策包括敵我識別、智能決策，對應網路安全的安全調查分析、安全處置建議。安全調查分析包括事件分析與回溯、攻擊鏈還原、攻擊溯源場景化；安全處置建議包括告警/風險優先順序、攻擊行為預測、解決方案建議等。

2.4行動Act階段

行動階段包括三類活動，包括戰鬥、通訊與協同作戰活動，好比飛機的火力控制系統、信息通訊系統、協同作戰系統。戰鬥行動是敵我之間的活動，信息通訊和協同作戰是戰鬥單元之間，以及戰鬥單元與指揮部之間的活動。

在網路安全中，火力控制系統是指安全設備聯動，如SIEM與FW、IPS聯動；信息通訊系統是指安全預警通報系統，包括信息預警通報（簡訊、郵件等）、安全運營平台與工單系統對接等。協同作戰是指安全應急處置，包括應急處理、系統恢復等。

三、OODA循環與網路安全運營平台關鍵點總結

OODA的特點是：觀察階段周期偏長，後面各階段時間短甚至重合；越往前階段越基礎，是後一階段的輸入，越往後階段越關鍵；需要人機交互，重點是動態、聯動、閉環，提高整體能力。

對應到網路安全運營平台的關鍵詞是：快：大數據平台，准：深度分析與檢測，全：全面報表與要素組合。

如果覺得內容不錯，歡迎關注微信公共號（ID：WeYanXPJ）獲得後續更新；如需閱讀以前文章，請在公共號後台查看歷史消息。