用户名
Email
论坛
潜水/灌水快乐,沉淀知识,认识更多同行。
ToB圈子
加入IT圈,遇到更多同好之人。
朋友圈
看朋友圈动态,了解ToB世界。
ToB门户
了解全球最新的ToB事件
博客
Blog
排行榜
Ranklist
文库
业界最专业的IT文库,上传资料也可以赚钱
下载
分享
Share
导读
Guide
相册
Album
记录
Doing
应用中心
帖子
本版
文章
帖子
ToB圈子
用户
免费入驻
产品入驻
解决方案入驻
公司入驻
案例入驻
登录
·
注册
只需一步,快速开始
账号登录
立即注册
找回密码
用户名
自动登录
找回密码
密码
登录
立即注册
首页
找靠谱产品
找解决方案
找靠谱公司
找案例
找对的人
专家智库
悬赏任务
圈子
SAAS
IT评测·应用市场-qidao123.com技术社区
»
论坛
›
物联网
›
物联网
›
OODA循环在网络安全运营平台建立中的应用 ...
OODA循环在网络安全运营平台建立中的应用
曹旭辉
论坛元老
|
2025-1-20 17:13:01
|
显示全部楼层
|
阅读模式
楼主
主题
1799
|
帖子
1799
|
积分
5397
OODA循环最早用于信息战领域,在空对空武装辩论敌对两边互相比力时,看谁能更快更好地完成“观察—调解—决策—行动”的循环程序。
两边都从观察开始,观察本身、观察情况和敌人。基于观察,获取相关的外部信息,根据感知到的外部威胁,及时调解系统,做出应对决策,并接纳相应行动。
一、OODA循环网络安全应用景象假设
通过OODA循环的定义就可以看出,它同样适用于有着“对抗”特征的网络安全领域,尤其适合进入主动安全防御阶段的组织重点思量。因为主动防御阶段本身就是以实时安全分析为中心,以持续快速响应为驱动,通过表里部情报驱动的决策与行动以对抗威胁,并动态适应调解安全计谋。
我们假设场景要素包括航空母舰、战斗机、飞行员,场景是飞行员正在驾驶战斗机机动巡航作战。想象一下是不是很刺激?行动的目标呢?当然是要在战斗中取胜,凭实力取胜,干净利落的凭实力取胜。
在战场上你死活我的比力中,谁都想干掉对方取得胜利,但紧张的不是想而是如何做到?在瞬息万变的空战中取胜的要领就是:要能发现敌人,要能快速发现敌人,要能快速发现敌人的行为意图,在了解自我、了解敌人、了解情况态势的同时,作出有利于本身的调解,进行快速准确的决策,接纳针对性的行动一招制敌。
二、OODA循环网络安全运营平台建立应用
OODA循环分为观察Observe-调解Orient-决策Decide-行动Act四个阶段,我们按这四个阶段来描述它在网络安全运营平台建立中的详细应用。
2.1观察Observe阶段
观察Observe包括对对本身的观察、对敌人的观察、对情况的观察三部分,在网络安全中,对本身的观察包括资产管理、毛病管理,对敌人的观察包括各种威胁分析与检测技能应用,对情况的观察包括整体网络安全态势感知与可视化。
对本身的观察就像飞机的仪表盘,可以看到本身的飞行高度、飞行速度、所剩燃料等各种飞行状态。在网络安全中一方面是信息资产的管理,包括资产辨认盘货、资产紧张性赋值、资产管理基线与变动、资产与网络拓扑展示等;另一方面是毛病管理,包括运营平台对接毛病扫描工具、威胁情报预警、行业毛病转达、毛病风险评估与展示等。
对敌人的观察就像飞机的机载雷达,可以快速检测、定位敌人位置以及敌人的活动状态。在网络安全中对应的是各种威胁分析与检测技能,包括网络流量分析、用户行为分析、沙箱、蜜罐、威胁情报等等,并且能够通过各种关联分析规则,来提高检测的结果(深度、异常)和检测效率(快速),解决传统装备误报、漏报的问题,发现各种未知威胁。
对情况的观察就像飞机的光电分布式孔径系统,能对飞机所处的情况进行高分辨率动态成像,提供高分别率成像预警,提高战场态势感知能力。在网络安全中对应的是整体安全态势、外部攻击态势、内部安全态势、资产与风险态势的感知与展示,并提供各种监控仪表盘及自动报表陈诉。
2.2调解Orient阶段
调解阶段的条件与基础是观察阶段的结果,观察阶段越深入、越准确,调解阶段的活动就越有用。反之,如果观察阶段出现偏差与问题,调解活动也大概会出现问题。战斗过程中的调解包括战斗计谋的调解,这部分主要由飞行员(一线人员)根据情况进行调解。除此之外,还包含两个后方的调解活动,分别是后方情报中心调解、后方指挥中心的调解。
对应到网络安全中,战斗计谋的调解是事前防御措施,包括定时毛病扫描、打补丁、安全配置基线、黑白名单调解等;后方情报中心相称于威胁情报平台(TIP),包括多源威胁情报数据聚合、威胁情报多系统共享、威胁情报数据更新、威胁情报预警等;后方指挥中心相称于优化实时安全分析引擎(雷达),包括新增安全分析场景、调解安全规则与机器学习算法等。
2.3决策Decide阶段
到了决策阶段,就特别强调人际互动了,因为决策大概就是一瞬间的事情,同时决策也大概和下一个阶段的行动连在一起了。
战斗中的决策包括敌我辨认、智能决策,对应网络安全的安全观察分析、安全处置惩罚建议。安全观察分析包括事件分析与回溯、攻击链还原、攻击溯源场景化;安全处置惩罚建议包括告警/风险优先级、攻击行为预测、解决方案建议等。
2.4行动Act阶段
行动阶段包括三类活动,包括战斗、通讯与协同作战活动,好比飞机的火力控制系统、信息通讯系统、协同作战系统。战斗行动是敌我之间的活动,信息通讯和协同作战是战斗单位之间,以及战斗单位与指挥部之间的活动。
在网络安全中,火力控制系统是指安全装备联动,如SIEM与FW、IPS联动;信息通讯系统是指安全预警转达系统,包括信息预警转达(短信、邮件等)、安全运营平台与工单系统对接等。协同作战是指安全应急处置惩罚,包括应急处置惩罚、系统规复等。
三、OODA循环与网络安全运营平台关键点总结
OODA的特点是:观察阶段周期偏长,后面各阶段时间短甚至重合;越往前阶段越基础,是后一阶段的输入,越今后阶段越关键;需要人机交互,重点是动态、联动、闭环,提高整体能力。
对应到网络安全运营平台的关键词是:快:大数据平台,准:深度分析与检测,全:全面报表与要素组合。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
立即注册
x
回复
举报
0 个回复
倒序浏览
返回列表
快速回复
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
or
立即注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
发新帖
回复
曹旭辉
论坛元老
这个人很懒什么都没写!
楼主热帖
网络安全应急响应 - 03 - 日志分析与内 ...
Redis - 介绍与使用场景
Nmap抓包分析与绕过Windows防火墙 ...
Mysql 的Innodb引擎和Myisam数据结构和 ...
一招教你如何高效批量导入与更新数据 ...
【docker系列】docker API管理接口增加 ...
聊聊Spring事务控制策略以及@Transacti ...
用代码收集每天热点内容信息,并发送到 ...
微服务架构演进
ArcToolBox-ArcGIS分析工具中英文对照 ...
标签云
集成商
AI
运维
CIO
存储
服务器
浏览过的版块
Java
IOS
登录参与点评抽奖加入IT实名职场社区
下次自动登录
忘记密码?点此找回!
登陆
新用户注册
用其它账号登录:
关闭
快速回复
返回顶部
返回列表