Först och främst vill jag tacka min chef Blaz Babnik, som introducerade mig för termen antifragilitet (Antifragility) över en morgonkaffe på jobbet (… ”kaffepauser” ju kan vara arbetsrelaterade ?) vilket inspirerade mig att tillämpa teorin och försöka hitta analogier inom IT-säkerhet. Jag tror att jag hittade några möjliga punkter där vi ser antifragilitet i cybersecurity, men … låt oss utforska detta. Om vi börjar med definitionen av antifragilitet.
Vad är antifragilitet – Antifragility
Konceptet ”Antifragility” utvecklades av doktor Nassim Nicholas Taleb (det finns en hel bok om ämnet – Antifragile – så jag kommer att hålla det kort här med definitioner).
Antifragilitet är en egenskap hos system som ökar i kapacitet och främjas till följd av stressorer, chocker, misstag, attacker eller fel.
Eller för att citera dr Taleb själv:
”Förenklat kan antifragilitet definieras som ett konvext svar på en stressor eller skadekälla (inom ett visst spann), vilket leder till en positiv känslighet för ökad volatilitet (eller variation, stress, spridning av resultat eller osäkerhet, vad som kan grupperas under beteckningen ”störning”). ”
Antifragilitet vs motståndskraft
I dagsläget måste vi erkänna att vi fortfarande arbetar med motståndskraft inom IT-säkerhet. Detta tillstånd har en välkänd term Cyber resilience, som hänvisar till ett företags förmåga att kontinuerligt leverera det avsedda resultatet, trots negativa cyberhändelser – i enkla termer: vi motverkar de motsatta cyberattackerna med våra färdigheter och verktyg.
Detta är annorlunda än antifragilet. I sin bok förklarar dr Taleb skillnaden på detta sätt:
”De motståndskraftiga står emot chocker och förblir desamma; de antifragila blir bättre.”
Antifragilitet inom IT-säkerhet
Med kontinuerliga investeringar i SOC, MDR, CSIRT (oavsett vald förkortning) närmar vi oss ett antifragilt tillstånd inom IT-säkerhet. Detta kräver dock en viss sätt att tänka. Och när vi diskuterar tankesätt pratar vi människor – analytiker, cybersäkerhetsexperter.
Nu kan en av er som läser detta kanske tänka att vi med maskininlärning också närmar oss ett antifragilt tillsåtnd, men jag skulle hävda att Machine Learning/ML faktiskt lutar mot motståndskraft, för även om maskininlärning har ett dynamiskt beteende i meningen att det kan ändra ett beteende baserat på att det lär sig nya saker, ser jag att det fortfarande är inriktat på att eliminera skenträffar, snarare än att öka den defensiva kapaciteten i din miljö (men jag kanske satsar på att vi i framtiden kommer att se en övergång mot det senare med ML/AI, så fort vi också kan tillåta systemen att utföra dynamiska förändringar i våra IPS-system). På ett visst sätt går maskininlärning/AI faktiskt mot antifragilitet.
Tillbaka till människorna. Vi kräver en viss tänkesätt när vi utför våra dagliga IT-säkerhetsuppgifter. Och … det är ingenting som vi alla inom cybersäkerhet inte redan vet. Men följ min röda tråd här.
När vi stöter på en motståndares handlande i vår miljö är vi snabba att förhindra att ytterligare skada händer i den – om du sysslar med DFIR vet du att jag talar om begränsnings-/containment-fasen här. Och om du inte är i en SOC eller om du ensamt arbetar med analys av händelser inom cybersäkerhet, skulle du förmodligen vara glad över att upptäcka och begränsa attacken. Om du är lite mer erfaren och skicklig skulle du också utföra rensning och sanering (eradication, remediation). Det är jättebra! Du försvarade din miljö och tog till och med bort de återstående spåren från motståndaren i den!
Ah – jag förstår, ni vet redan vad som kommer nu. Ja, det vanligtvis glömda sista steget i precis varenda diagram jag sett över faserna inom IT-säkerhet. Jag har sett det i Threat Intelligence-faser, jag har sett det i Incident Response-faser, jag har sett det i Threat Intelligence-livscykler … det är … överallt. Det är det sista steget som många av oss kan försumma – det kallas Lessons learned.
Och jag tror att dr Talebs teori om antifragilitet faktiskt är dold i dessa mycket enkla två ord. Men vet vi hur man faktiskt tillämpar det? Tar vi faktiskt någonsin till oss av lärdomarna? Det är något du och ditt team behöver tänka på.
Om jag hade fått ett intrång och lyckats åtgärda hela incidenten skulle jag försöka lära mig vad som hände, hur det hände och varför det hände för att bli bättre nästa gång. Låter bekant? Ja, det var vad dr Taleb sade när man jämför motståndskraft med antifragilitet. Antifragila system blir bättre. Och du blir bättre när du lär dig något nytt.
Avslutningsvis
Jag råder dig att inte ta lätt på detta – tyvärr kan de två enkla orden i en galax (IT-säkerhet) av buzzwords förbises som inte så viktiga, eftersom du definitivt begränsade cyberattacken som du sedan helt rensade bort med din fantastiska Endpoint Detection and Response och andra NGIPS-verktyg som drivs med maskininlärningsalgoritmer och, wow vad du använde de tillämpade Threat Hunting-teknikerna som upptäckte skadliga rester och slutligen vässade systemen med färska, härdade och robusta vitlistningstrategier. (…nästan slut på luften när jag försökte säga allt det högt).
… glöm bara inte på ditt allra sista stopp vid resans slut, det kanske verkligen känns som det onödiga stoppet, bara 15 minuter från din slutdestination där ära, firande, lönehöjning (?) väntar !!! – men det kan lika bra vara det sista stoppet som skulle ta bort allt detta i din nästa utmaning, om du hoppade över det sista stoppet. Använd det du lärt dig och bli bättre.
Här är en tanke, bör vi omformulera Lessons Learned till Tillämpad Cyber Antifragility-fas? (Skojar).
Förbli antifragila mina vänner.
(Utdrag ur David Kasabji:s Linkedin – Antifragility)
Läs gärna vårt SOC-white paper eller andra relaterade guider.