0X00 前言

大家都在讨论威胁情报在应急响应的重要性的时候，我发现还是有不少的同事，更关注安全模型的作用。安全模型在我备考软考信息安全工程师的时候就给我流下来了深刻的印象，所以，我们今天一起来来聊聊如何利用安全模型提升防御效果这个自古以来都争论不休的问题吧。

在企业网络安全建设中，网络安全模型提供了系统化的框架和标准化的指导，帮助企业识别和评估风险、制定有效的安全策略、确保合规性、应对新兴威胁并提升响应能力，从而构建一个全面且持续改进的安全体系。

0X01 安全模型介绍

网络安全模型是一个理论框架或结构化的方法，其可以用于指导和优化网络安全策略和措施，以保护企业的信息资产和系统免受各种潜在威胁。它包括了一系列的原则、方法、流程和控制措施，也可使用流程图的形式来解释（如下图所示的流程模型），可以有效帮助企业系统化地识别、评估和管理安全风险。

OODA循环四个阶段的介绍：

观察

观察阶段聚焦于信息收集。在这个阶段，安全运营人员需要收集来自外部世界的任何有用的信息。如果试图捕获攻击者，观察阶段需要包括收集日志、系统监控，以及收集任何可以帮助识别攻击者的外部信息。

定位

定位阶段将观察阶段收集的信息根据已知的信息转换成上下文内容。在网络攻击示例中，定位需要从日志中提取监测数据，并将其与有关网络，相关攻击组织以及先前识别的攻击手法（如特定IP地址或进程名称）等知识相结合。

决策

在这一环节中，信息已被收集（观察）并完成上下文关联（定位），所以现在是确定行动方式的时候了。决策阶段不是关于执行操作，而是评审各种行动方案，直到最后决定采取哪个行动为止。在处理网络攻击的情况下，这意味着决定是否等待并继续观察攻击者的动作，是否启动事件响应动作，还是忽略该活动。任何一种情况下，防御方决定实现其目标的下一步。

行动

很显然，行动阶段比较直观：个人遵循所选择的行动方案。行动结果并不意味着100％成功，需要在下一个OODA循环的观察阶段进行确定，如此循环，反复进行。

通过网络安全模型，企业能够有效地进行风险评估、制定安全策略、实现合规要求，并在发生安全事件时快速恢复正常运营。这些模型不仅对现有的安全环境进行评估，还支持持续改进，确保企业在应对不断变化的威胁环境时能够保持强健的安全态势（如下图所示，情报周期）。总之，网络安全模型是企业保护其信息资产的核心工具，提供了科学化的指导，确保网络安全管理的系统性和有效性。

方向

情报周期的第一步是方向。方向是确立情报打算解决问题的过程。这个问题可以来源于外部，并由情报团队开发实现；或者由内部受益的业务方和情报团队共同开发。

收集

收集是一个过程，而不是一次性的动作。使用第一轮收集的信息（如收集IP地址）进行第二轮处理（例如使用反向DNS查找与这些IP地址相关的域），接着继续第三轮收集（使用WHOIS收集有关这些IP地址对应域的信息）。随着收集的层层递进，信息会呈指数级增长。这一阶段的重点并不在于数据之间的关系，而在于扩展尽可能多的信息，之后再慢慢分析。此外，不要忘记考虑内部来源，例如内部事件管理系统，企业往往会发现他们已经非常熟悉的对手或攻击。

处理

数据的原始格式或以其收集的格式并不能马上被使用。另外，来自不同来源的数据可能会有不同的格式，有必要将其转换成相同的格式，以便一起分析。使数据可用的处理过程常常是一个被忽视的任务，但没有它，产生情报几乎是不可能的。在传统的情报周期中，处理是