OODA循环在网络安全运营平台建设中的应用

OODA循环最早用于信息战领域，在空对空武装冲突敌对双方互相较量时，看谁能更快更好地完成“观察—调整—决策—行动”的循环程序。

双方都从观察开始，观察自己、观察环境和敌人。基于观察，获取相关的外部信息，根据感知到的外部威胁，及时调整系统，做出应对决策，并采取相应行动。

网络安全应用情景假设">一、OODA循环网络 安全应用情景假设

通过OODA循环的定义就可以看出，它同样适用于有着“对抗”特征的网络安全领域，尤其适合进入主动安全防御阶段的组织重点考虑。因为主动防御阶段本身就是以实时安全分析为中心，以持续快速响应为驱动，通过内外部情报驱动的决策与行动以对抗威胁，并动态适应调整安全策略。

我们假设场景要素包括航空母舰、战斗机、飞行员，场景是飞行员正在驾驶战斗机机动巡航作战。想象一下是不是很刺激？行动的目标呢？当然是要在战斗中取胜，凭实力取胜，干净利落的凭实力取胜。

在战场上你死活我的较量中，谁都想干掉对方取得胜利，但重要的不是想而是如何做到？在瞬息万变的空战中取胜的要领就是：要能发现敌人，要能快速发现敌人，要能快速发现敌人的行为意图，在了解自我、了解敌人、了解环境态势的同时，作出有利于自己的调整，进行快速准确的决策，采取针对性的行动一招制敌。

网络安全运营平台建设应用">二、OODA循环网络 安全运营平台建设应用

OODA循环分为观察Observe-调整Orient-决策Decide-行动Act四个阶段，我们按这四个阶段来描述它在网络安全运营平台建设中的具体应用。

2.1观察Observe阶段

观察Observe包括对对自己的观察、对敌人的观察、对环境的观察三部分，在网络安全中，对自己的观察包括资产管理、漏洞管理，对敌人的观察包括各种威胁分析与检测技术应用，对环境的观察包括整体网络安全态势感知与可视化。

对自己的观察就像飞机的仪表盘，可以看到自己的飞行高度、飞行速度、所剩燃料等各种飞行状态。在网络安全中一方面是信息资产的管理，包括资产识别盘点、资产重要性赋值、资产管理基线与变动、资产与网络拓扑展示等；另一方面是漏洞管理，包括运营平台对接漏洞扫描工具、威胁情报预警、行业漏洞通报、漏洞风险评估与展示等。

对敌人的观察就像飞机的机载雷达，可以快速检测、定位敌人位置以及敌人的活动状态。在网络安全中对应的是各种威胁分析与检测技术，包括网络流量分析、用户行为分析、沙箱、蜜罐、威胁情报等等，并且能够通过各种关联分析规则，来提高检测的效果（深度、异常）和检测效率（快速），解决传统设备误报、漏报的问题，发现各种未知威胁。

对环境的观察就像飞机的光电分布式孔径系统，能对飞机所处的环境进行高分辨率动态成像，提供高分别率成像预警，提高战场态势感知能力。在网络安全中对应的是整体安全态势、外部攻击态势、内部安全态势、资产与风险态势的感知与展示，并提供各种监控仪表盘及自动报表报告。

2.2调整Orient阶段

调整阶段的前提与基础是观察阶段的成果，观察阶段越深入、越精确，调整阶段的活动就越有效。反之，如果观察阶段出现偏差与问题，调整活动也可能会出现问题。战斗过程中的调整包括战斗策略的调整，这部分主要由飞行员（一线人员）根据情况进行调整。除此之外，还包含两个后方的调整活动，分别是后方情报中心调整、后方指挥中心的调整。

对应到网络安全中，战斗策略的调整是事前防御措施，包括定时漏洞扫描、打补丁、安全配置基线、黑白名单调整等；后方情报中心相当于威胁情报平台（TIP），包括多源威胁情报数据聚合、威胁情报多系统共享、威胁情报数据更新、威胁情报预警等；后方指挥中心相当于优化实时安全分析引擎（雷达），包括新增安全分析场景、调整安全规则与机器学习算法等。

2.3决策Decide阶段

到了决策阶段，就特别强调人际互动了，因为决策可能就是一瞬间的事情，同时决策也可能和下一个阶段的行动连在一起了。

战斗中的决策包括敌我识别、智能决策，对应网络安全的安全调查分析、安全处置建议。安全调查分析包括事件分析与回溯、攻击链还原、攻击溯源场景化；安全处置建议包括告警/风险优先级、攻击行为预测、解决方案建议等。

2.4行动Act阶段

行动阶段包括三类活动，包括战斗、通讯与协同作战活动，好比飞机的火力控制系统、信息通讯系统、协同作战系统。战斗行动是敌我之间的活动，信息通讯和协同作战是战斗单元之间，以及战斗单元与指挥部之间的活动。

在网络安全中，火力控制系统是指安全设备联动，如SIEM与FW、IPS联动；信息通讯系统是指安全预警通报系统，包括信息预警通报（短信、邮件等）、安全运营平台与工单系统对接等。协同作战是指安全应急处置，包括应急处理、系统恢复等。

网络安全运营平台关键点总结">三、OODA循环与网络 安全运营平台关键点总结

OODA的特点是：观察阶段周期偏长，后面各阶段时间短甚至重合；越往前阶段越基础，是后一阶段的输入，越往后阶段越关键；需要人机交互，重点是动态、联动、闭环，提高整体能力。

对应到网络安全运营平台的关键词是：快：大数据平台，准：深度分析与检测，全：全面报表与要素组合。