ИСПОЛЬЗОВАНИЕ ПОДХОДА «OODA LOOP» В УПРАВЛЕНИИ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

К вопросу управления инцидентами существует множество подходов: от стандартов до методик отдельных компаний. Каждый подход имеет свои уникальные особенности, обусловленные множественными факторами.

В этой статье мы поставили цель отразить применение цикла Бойда в вопросе управления инцидентами информационной безопасности.

OODA Loop (цикл НОРД) - это концепция, разработанная в 1995 году полковником авиации США Джоном Бойдом. [1] OODA это аббревиатура : O – observe, O – orient, D – decide, A – act (в переводе Н – наблюдение, О – ориентация, Р – решение, Д – действие). По мнению полковника Бойда, все процессы, происходящие в реальности, действуют в непрерывном цикле, постоянно взаимодействуя с окружающей средой и соответственно изменяясь. Изначально этот цикл был изобретен для применения в военных целях. Фактически, при рассмотрении реальной ситуации с применением цикла, получается спираль, на каждом уровне которой происходит воздействие на противника и взаимодействие с внешней средой. До сих пор в армии США петля НОРД рассматривается в качестве единой типовой модели цикла принятия решений для систем командования и управления, как своих войск, так и войск противника.

Однако со временем, другие отрасли признали универсальность и междисциплинарность цикла Бойда: он применялся в экономике, бизнесе, спорте и т.д. И в последнее время на западе появляется тенденция к применению цикла Бойда в кибербезопасности. Отличительной чертой цикла от других циклических моделей, применяемых в ИБ, состоит в том, что наличие противника предполагается всегда и противник также действует и принимает решения в рамках своей аналогичной петли. Учитывая, что современная киберпреступность (не говоря уже о кибервойсках) мало чем отличается по своим возможностям от корпоративных служб ИБ (а часто и превосходит их), то применение цикла Бойда в кибербезопасности вполне оправданно и обосновано.

Рассмотрим же этапы петли Бойда в процессе управления инцидентами безопасности (рис.1). Для этого мы предлагаем использовать этапы управления инцидентами ИБ из ISO/IEC 27035-2016, [2] как наиболее актуального стандарта по этой теме на сегодняшний день. Причем раскладывать каждый из этапов по циклу.

Этапы реагирования:

1. Планирование и подготовка
2. Обнаружение и уведомление
3. Оценка и решение
4. Реагирование
5. Получение уроков

Рисунок 1. OODA Loop [3]

1. OBSERVE (НАБЛЮДЕНИЕ)

Это процесс сбора информации, необходимой для принятия решения в данном конкретном случае. Использование инструментов мониторинга для определения событий ИБ, могущих оказаться инцидентами. На этой фазе строится все остальное. В этой фазе, чем больше сделано и задокументировано наблюдений, тем эффективнее будет реагирование и защита. Происходящие действия в зависимости от этапа:

1. Планирование и подготовка; Сбор информации о состоянии ИБ, инфраструктуры информационной системы и так далее
2. Обнаружение и уведомление; Сбор признаков, индикаторов событий и инцидентов
3. Оценка и решение; Сбор всей имеющейся информации о произошедшем инциденте
4. Реагирование; Постоянный сбор информации о состоянии ИС, зараженных машин, действиях злоумышленника
5. Получение уроков; Сбор всей имеющейся информации и комментариев, об инциденте, действиях специалистов и сотрудников, реакциях оборудования и так далее

2. Orientation (Ориентация)

Это самый важный этап петли Бойда, который в свою очередь разделяется на два подэтапа - разрушение (destruction) и созидание (creation). Разрушение подразумевает декомпозицию ситуации на более мелкие части, для каждой из которых существует свой сценарий или план действий. В области управления инцидентами ИБ это могут быть различные руководства и инструкции. На этапе созидания все эти небольшие планы объединяются в общий план действий, который позволяет решить сложившуюся ситуацию.

1. Планирование и подготовка; Разложение и структуризация собранной информации, поиск существующих планов по улучшению системы управления инцидентами
2. Обнаружение и уведомление; Разложение и структуризация собранной информации об индикаторов, приведение всех собранных данных по инциденту в один документ
3. Оценка и решение; Синтез имеющейся информации: об инциденте, существующем положении компании и прочих факторов, создание стратегий по решению
4. Реагирование; Быстрое создание новых планов по разрешению новых инцидентов
5. Получение уроков; Создание стратегий по улучшению ситуации в компании

3. Decide (Решение)

На данном этапе принимается решение о реализации плана, сформированного на предыдущем этапе (если план один), или выбираем из альтернатив лучшую. Приоритизация и выбор стратегии.

1. Планирование и подготовка; Выбор стратегии по внедрению ИБ
2. Обнаружение и уведомление; Выбор лиц для уведомления,
3. Оценка и решение; Приоритизация инцидентов
4. Реагирование; Выбор стратегии по реагированию
5. Получение уроков; Выбор стратегии по внедрению изменений в ИС компании

4. Act (Действие)

Реализация выбранного плана действий.

1. Планирование и подготовка; Внедрение и изменение ИС компании
2. Обнаружение и уведомление; Уведомление ответственных лиц, рассылка предупреждений
3. Оценка и решение; Выбор стратегии по реагированию
4. Реагирование; Борьба с инцидентом, реализация стратегии
5. Получение уроков; Внедрение и изменение ИС компании

Таким образом, 5 фаз из стандарта теперь представляют собой спираль, когда на каждой фазе действует свой цикл Бойда. Это помогает структурировать производимые на каждом этапе действия и, самое главное, осуществлять взаимодействие с внешней средой чаще, что поможет вовремя вносить корректировки в процесс управления инцидентом ИБ.

Цикл Бойда видится эффективным и масштабируемым до любого количества требований, можно порекомендовать его применение на практике.