靈活運用OODA模型,增強主動安全防御能力

OODA循環最早用于信息戰領域,在空對空武裝沖突敵對雙方互相較量時,看誰能更快更好地完成“觀察—調整—決策—行動”的循環程序。

雙方都從觀察開始,觀察自己、觀察環境和敵人。基于觀察,獲取相關的外部信息,根據感知到的外部威脅,及時調整系統,做出應對決策,并采取相應行動。

一、OODA循環網絡安全應用情景假設

通過OODA循環的定義就可以看出,它同樣適用于有著“對抗”特征的網絡安全領域,尤其適合進入主動安全防御階段的組織重點考慮。因為主動防御階段本身就是以實時安全分析為中心,以持續快速響應為驅動,通過內外部情報驅動的決策與行動以對抗威脅,并動態適應調整安全策略。

我們假設場景要素包括航空母艦、戰斗機、飛行員,場景是飛行員正在駕駛戰斗機機動巡航作戰。想象一下是不是很刺激?行動的目標呢?當然是要在戰斗中取勝,憑實力取勝,干凈利落的憑實力取勝。

在戰場上你死活我的較量中,誰都想干掉對方取得勝利,但重要的不是想而是如何做到?在瞬息萬變的空戰中取勝的要領就是:要能發現敵人,要能快速發現敵人,要能快速發現敵人的行為意圖,在了解自我、了解敵人、了解環境態勢的同時,作出有利于自己的調整,進行快速準確的決策,采取針對性的行動一招制敵。

二、OODA循環網絡安全運營平臺建設應用

OODA循環分為觀察Observe-調整Orient-決策Decide-行動Act四個階段,我們按這四個階段來描述它在網絡安全運營平臺建設中的具體應用。

2.1觀察Observe階段

觀察Observe包括對對自己的觀察、對敵人的觀察、對環境的觀察三部分,在網絡安全中,對自己的觀察包括資產管理、漏洞管理,對敵人的觀察包括各種威脅分析與檢測技術應用,對環境的觀察包括整體網絡安全態勢感知與可視化。

對自己的觀察就像飛機的儀表盤,可以看到自己的飛行高度、飛行速度、所剩燃料等各種飛行狀態。在網絡安全中一方面是信息資產的管理,包括資產識別盤點、資產重要性賦值、資產管理基線與變動、資產與網絡拓撲展示等;另一方面是漏洞管理,包括運營平臺對接漏洞掃描工具、威脅情報預警、行業漏洞通報、漏洞風險評估與展示等。

對敵人的觀察就像飛機的機載雷達,可以快速檢測、定位敵人位置以及敵人的活動狀態。在網絡安全中對應的是各種威脅分析與檢測技術,包括網絡流量分析、用戶行為分析、沙箱、蜜罐、威脅情報等等,并且能夠通過各種關聯分析規則,來提高檢測的效果(深度、異常)和檢測效率(快速),解決傳統設備誤報、漏報的問題,發現各種未知威脅。

對環境的觀察就像飛機的光電分布式孔徑系統,能對飛機所處的環境進行高分辨率動態成像,提供高分別率成像預警,提高戰場態勢感知能力。在網絡安全中對應的是整體安全態勢、外部攻擊態勢、內部安全態勢、資產與風險態勢的感知與展示,并提供各種監控儀表盤及自動報表報告。

2.2調整Orient階段

調整階段的前提與基礎是觀察階段的成果,觀察階段越深入、越精確,調整階段的活動就越有效。反之,如果觀察階段出現偏差與問題,調整活動也可能會出現問題。戰斗過程中的調整包括戰斗策略的調整,這部分主要由飛行員(一線人員)根據情況進行調整。除此之外,還包含兩個后方的調整活動,分別是后方情報中心調整、后方指揮中心的調整。

對應到網絡安全中,戰斗策略的調整是事前防御措施,包括定時漏洞掃描、打補丁、安全配置基線、黑白名單調整等;后方情報中心相當于威脅情報平臺(TIP),包括多源威脅情報數據聚合、威脅情報多系統共享、威脅情報數據更新、威脅情報預警等;后方指揮中心相當于優化實時安全分析引擎(雷達),包括新增安全分析場景、調整安全規則與機器學習算法等。

2.3決策Decide階段

到了決策階段,就特別強調人際互動了,因為決策可能就是一瞬間的事情,同時決策也可能和下一個階段的行動連在一起了。

戰斗中的決策包括敵我識別、智能決策,對應網絡安全的安全調查分析、安全處置建議。安全調查分析包括事件分析與回溯、攻擊鏈還原、攻擊溯源場景化;安全處置建議包括告警/風險優先級、攻擊行為預測、解決方案建議等。

2.4行動Act階段

行動階段包括三類活動,包括戰斗、通訊與協同作戰活動,好比飛機的火力控制系統、信息通訊系統、協同作戰系統。戰斗行動是敵我之間的活動,信息通訊和協同作戰是戰斗單元之間,以及戰斗單元與指揮部之間的活動。

在網絡安全中,火力控制系統是指安全設備聯動,如SIEM與FW、IPS聯動;信息通訊系統是指安全預警通報系統,包括信息預警通報(短信、郵件等)、安全運營平臺與工單系統對接等。協同作戰是指安全應急處置,包括應急處理、系統恢復等。

三、OODA循環與網絡安全運營平臺關鍵點總結

OODA的特點是:觀察階段周期偏長,后面各階段時間短甚至重合;越往前階段越基礎,是后一階段的輸入,越往后階段越關鍵;需要人機交互,重點是動態、聯動、閉環,提高整體能力。

對應到網絡安全運營平臺的關鍵詞是:快:大數據平臺,準:深度分析與檢測,全:全面報表與要素組合。


關注作者公眾號,獲取更多內容:

發表評論