Aplicación del bucle OODA a la seguridad cibernética y el acceso seguro al servicio perimetral



Las fugas de datos, las infracciones y los ataques cibernéticos se están convirtiendo en la norma, lo que genera debates sobre cómo las organizaciones pueden defenderse de manera efectiva contra un panorama de amenazas en constante evolución. Con el campo de batalla moderno extendiéndose al ciberespacio y los adversarios adoptando tácticas de estilo militar, los defensores de hoy ven las analogías del sector militar como cada vez más relevantes.

Una introducción al bucle OODA

los Bucle OODA fue presentado por el estratega militar estadounidense y el coronel de la Fuerza Aérea. Juan Boyd a mediados del siglo XX. La idea es crear un marco en el que se puedan tomar decisiones rápidamente, utilizando la información contextual más reciente, ayudando a los defensores a superar e innovar a sus oponentes.

El bucle consta de cuatro fases: Observar, Orientar, Decidir y Actuar. Se refiere a un proceso iterativo de toma de decisiones a través del cual las entidades observan la evolución de la información, la contextualizan, deciden los próximos pasos, implementan un system de acción y adaptan una estrategia basada en las observaciones y los resultados obtenidos.

¿Cómo puede el OODA Loop beneficiar a los equipos de ciberseguridad?

Si bien el bucle OODA se desarrolló originalmente como una estrategia para que los pilotos de combate la usaran en combates aéreos (un entorno en rápida evolución donde hay mucho en juego), una serie de litigio, cumplimiento de la leyy las organizaciones militares han estado utilizando OODA con éxito durante años.

Con la tecnología experimentando una transformación masiva durante la última década, se ha vuelto casi imposible monitorear y rastrear un ecosistema tan vasto de infraestructura, usuarios y aplicaciones. En typical, lo que está en juego no podría ser mayor para los equipos de seguridad, y dado que las operaciones de ciberseguridad tienen mucho que aprender de un verdadero campo de batallael ciclo OODA ahora está presenciando una mayor cantidad de atención desde el industria de la seguridad.

El modelo OODA es aplicable tanto a los defensores como a los que responden a incidentes. Desde la perspectiva de un defensor, los equipos de seguridad pueden utilizar OODA para las operaciones diarias, como monitorear eventos de seguridad, evaluar riesgos potenciales y realizar ejercicios de búsqueda de amenazas. Desde la perspectiva de un respondedor de incidentes, OODA puede ayudar a identificar, investigar y responder a posibles problemas de seguridad de manera que se pueda acelerar la recuperación y minimizar los daños.

¿Cómo pueden los equipos de ciberseguridad aprovechar el modelo OODA de manera efectiva?

El ciclo OODA por sí solo no conduce a una ciberseguridad efectiva. Para que el modelo sea verdaderamente exitoso, idealmente las organizaciones deben ser capaces de «observar» toda la actividad en la infraestructura, los usuarios y las aplicaciones, «orientarse» con la información contextual correcta para que puedan tomar las decisiones de seguridad correctas y, finalmente, tener una sistema de ciberseguridad «justo a tiempo» que puede ayudar a implementar controles en tiempo genuine y en todo el ecosistema.

Si su organización busca implementar el modelo OODA de manera efectiva, debe considerar implementar un motor de nube de un solo paso, una pila de computer software convergente basada en SD-WAN que protege todo el tráfico en función de las identidades, incluido el enrutamiento, el descifrado, la inspección profunda de paquetes, y decisiones de aplicación de políticas de seguridad, conocidas por ser nativas del borde del servicio de acceso seguro (SASE). Aquí hay tres razones por las cuales:

1. La visibilidad de extremo a extremo es clave para la observación y la orientación

Obtener información sobre lo que sucede en toda la superficie de ataque requiere un sistema de seguridad holístico que brinde visibilidad de extremo a extremo de toda la red y la actividad de seguridad. Los servicios estándar de seguridad e inteligencia de amenazas de hoy en día están aislados y no se comunican bien entre sí. Por lo tanto, los equipos de seguridad carecen de los datos correctos para implementar decisiones de seguridad sólidas. Por otro lado, como parte de la arquitectura SASE, el motor de paso único ingiere todos los flujos de la crimson, incluido el tráfico web y de la nube, los dispositivos, los usuarios, las aplicaciones, los sistemas e incluso el Web de las cosas (IoT). Dado que toda la información fluye a través de un solo sistema, los equipos de seguridad pueden «observar» los flujos de extremo a extremo, «orientarse» con el contexto correcto (como identidad, dispositivo, pink, aplicación o datos) y «decidir» sobre próximos pasos accionables.

2. La toma de decisiones rápida requiere conciencia situacional justo a tiempo

Cuando las organizaciones enfrentan incidentes de seguridad, el tiempo es esencial. Pero para tomar decisiones de seguridad dinámicas y efectivas, los equipos de seguridad requieren un conocimiento de la situación justo a tiempo sobre la actividad de la infraestructura, el comportamiento de los usuarios y el movimiento de datos, and so forth., así como información contextual como aplicaciones, identidades de usuarios, ubicaciones y tiempo. Dicha información es necesaria para reducir el tiempo que lleva desde la observación hasta la acción y es basic en los escenarios de respuesta a incidentes. Sin mencionar que las herramientas de seguridad heredadas están fragmentadas y, por lo basic, no brindan la imagen completa necesaria en situaciones de disaster y bucles OODA rápidos. Con el procesamiento de un solo paso, todos los servicios se entregan dentro de la arquitectura y, por lo tanto, los equipos de seguridad se benefician de la información contextual de un solo panel, que los ayuda a «actuar» (la última etapa del ciclo) y responder a una crisis más eficientemente y minimizar los daños potenciales.

3. Las acciones en tiempo real necesitan una crimson troncal de seguridad integral y ubicua

Los vectores de ataque y las superficies de amenazas evolucionan tan rápidamente que los equipos de seguridad deben evolucionar y adaptar sus defensas de acuerdo con las observaciones que hacen en la industria o en su propio entorno. Los ciberataques, las infracciones y las vulnerabilidades se presentan sin previo aviso en cualquier momento, por lo que los equipos de seguridad necesitan una infraestructura robusta que les permita tener un control continuo sobre todo el entorno de TI en cualquier momento repentino. Con SASE, debido a que la administración de redes y seguridad se combinan en un solo lugar y se puede aplicar a cualquier usuario o aplicación desde cualquier lugar, es más fácil administrar controles de seguridad y aplicar parches a aplicaciones o dispositivos que aún no tienen un parche oficial (usando parches virtuales).

Probablemente sea seguro decir que cuanto más profesionales de ciberseguridad practiquen OODA en su toma de decisiones diaria, más competentes serán y más rápido operarán. Dicho esto, uno de los pilares fundamentales de OODA Loop es tener un sistema de seguridad de extremo a extremo que proporcione los datos de seguridad correctos, en el contexto correcto, en el momento correcto y con los niveles correctos de controles. Aquí es donde entra en juego SASE y su motor de nube de un solo paso para asegurar las infraestructuras del futuro.



Enlace a la noticia first