OODA循环在网络安全运营平台建立中的应用
OODA循环最早用于信息战领域,在空对空武装辩论敌对两边互相比力时,看谁能更快更好地完成“观察—调解—决策—行动”的循环程序。两边都从观察开始,观察本身、观察情况和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调解系统,做出应对决策,并接纳相应行动。
一、OODA循环网络安全应用景象假设
通过OODA循环的定义就可以看出,它同样适用于有着“对抗”特征的网络安全领域,尤其适合进入主动安全防御阶段的组织重点思量。因为主动防御阶段本身就是以实时安全分析为中心,以持续快速响应为驱动,通过表里部情报驱动的决策与行动以对抗威胁,并动态适应调解安全计谋。
我们假设场景要素包括航空母舰、战斗机、飞行员,场景是飞行员正在驾驶战斗机机动巡航作战。想象一下是不是很刺激?行动的目标呢?当然是要在战斗中取胜,凭实力取胜,干净利落的凭实力取胜。
在战场上你死活我的比力中,谁都想干掉对方取得胜利,但紧张的不是想而是如何做到?在瞬息万变的空战中取胜的要领就是:要能发现敌人,要能快速发现敌人,要能快速发现敌人的行为意图,在了解自我、了解敌人、了解情况态势的同时,作出有利于本身的调解,进行快速准确的决策,接纳针对性的行动一招制敌。
二、OODA循环网络安全运营平台建立应用
OODA循环分为观察Observe-调解Orient-决策Decide-行动Act四个阶段,我们按这四个阶段来描述它在网络安全运营平台建立中的详细应用。
2.1观察Observe阶段
观察Observe包括对对本身的观察、对敌人的观察、对情况的观察三部分,在网络安全中,对本身的观察包括资产管理、毛病管理,对敌人的观察包括各种威胁分析与检测技能应用,对情况的观察包括整体网络安全态势感知与可视化。
对本身的观察就像飞机的仪表盘,可以看到本身的飞行高度、飞行速度、所剩燃料等各种飞行状态。在网络安全中一方面是信息资产的管理,包括资产辨认盘货、资产紧张性赋值、资产管理基线与变动、资产与网络拓扑展示等;另一方面是毛病管理,包括运营平台对接毛病扫描工具、威胁情报预警、行业毛病转达、毛病风险评估与展示等。
对敌人的观察就像飞机的机载雷达,可以快速检测、定位敌人位置以及敌人的活动状态。在网络安全中对应的是各种威胁分析与检测技能,包括网络流量分析、用户行为分析、沙箱、蜜罐、威胁情报等等,并且能够通过各种关联分析规则,来提高检测的结果(深度、异常)和检测效率(快速),解决传统装备误报、漏报的问题,发现各种未知威胁。
对情况的观察就像飞机的光电分布式孔径系统,能对飞机所处的情况进行高分辨率动态成像,提供高分别率成像预警,提高战场态势感知能力。在网络安全中对应的是整体安全态势、外部攻击态势、内部安全态势、资产与风险态势的感知与展示,并提供各种监控仪表盘及自动报表陈诉。
2.2调解Orient阶段
调解阶段的条件与基础是观察阶段的结果,观察阶段越深入、越准确,调解阶段的活动就越有用。反之,如果观察阶段出现偏差与问题,调解活动也大概会出现问题。战斗过程中的调解包括战斗计谋的调解,这部分主要由飞行员(一线人员)根据情况进行调解。除此之外,还包含两个后方的调解活动,分别是后方情报中心调解、后方指挥中心的调解。
对应到网络安全中,战斗计谋的调解是事前防御措施,包括定时毛病扫描、打补丁、安全配置基线、黑白名单调解等;后方情报中心相称于威胁情报平台(TIP),包括多源威胁情报数据聚合、威胁情报多系统共享、威胁情报数据更新、威胁情报预警等;后方指挥中心相称于优化实时安全分析引擎(雷达),包括新增安全分析场景、调解安全规则与机器学习算法等。
2.3决策Decide阶段
到了决策阶段,就特别强调人际互动了,因为决策大概就是一瞬间的事情,同时决策也大概和下一个阶段的行动连在一起了。
战斗中的决策包括敌我辨认、智能决策,对应网络安全的安全观察分析、安全处置惩罚建议。安全观察分析包括事件分析与回溯、攻击链还原、攻击溯源场景化;安全处置惩罚建议包括告警/风险优先级、攻击行为预测、解决方案建议等。
2.4行动Act阶段
行动阶段包括三类活动,包括战斗、通讯与协同作战活动,好比飞机的火力控制系统、信息通讯系统、协同作战系统。战斗行动是敌我之间的活动,信息通讯和协同作战是战斗单位之间,以及战斗单位与指挥部之间的活动。
在网络安全中,火力控制系统是指安全装备联动,如SIEM与FW、IPS联动;信息通讯系统是指安全预警转达系统,包括信息预警转达(短信、邮件等)、安全运营平台与工单系统对接等。协同作战是指安全应急处置惩罚,包括应急处置惩罚、系统规复等。
三、OODA循环与网络安全运营平台关键点总结
OODA的特点是:观察阶段周期偏长,后面各阶段时间短甚至重合;越往前阶段越基础,是后一阶段的输入,越今后阶段越关键;需要人机交互,重点是动态、联动、闭环,提高整体能力。
对应到网络安全运营平台的关键词是:快:大数据平台,准:深度分析与检测,全:全面报表与要素组合。
https://i-blog.csdnimg.cn/direct/77c671ac0189404181b23a40617f876d.gif
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]