How segmented is my network?

Diese Arbeit stellt einen statistisch fundierten Schätzer für die „Segmentiertheit" von Netzwerken vor, der auf einer zufälligen Stichprobe von Knotenpaaren basiert und es ermöglicht, den Sicherheitsgrad eines Netzwerks unabhängig von seiner Größe präzise zu quantifizieren.

Das Wesentliche

Stellen Sie sich Ihr Firmennetzwerk wie ein riesiges, modernes Bürogebäude vor.

Das Problem: Das "Offene Großraumbüro"
In vielen Firmen ist dieses Büro wie ein riesiges, offenes Großraumbüro ohne Wände. Jeder kann zu jedem gehen, jeder kann mit jedem reden. Wenn ein Dieb (ein Hacker) in das Gebäude eindringt und einen Mitarbeiter (einen Computer) bestiehlt, kann er sofort zu jedem anderen Büro laufen, alle Schränke öffnen und alles stehlen. Das nennt man "lateral movement" (seitliche Bewegung).

Um das zu verhindern, bauen Sicherheitsleute Wände (Segmentierung). Sie trennen die Buchhaltung von der Personalabteilung, das Labor von der Kantine. Aber hier liegt das Problem: Wie wissen die Sicherheitsleute, ob ihre Wände wirklich gut sind?
Bisher mussten sie das nur "fühlen" oder auf Papierzeichnungen schauen. "Wir haben hier eine Wand, und da eine." Aber ist die Wand dicht? Ist sie hoch genug? Oder gibt es doch noch ein verstecktes Fenster? Es fehlte an einem einfachen Maßstab, um das zu messen.

Die Lösung: Ein neuer Maßstab namens "Segmentiertheit"
Der Autor dieses Papiers, Rohit Dube, hat eine clevere Idee entwickelt. Er sagt: "Vergessen wir komplizierte Architekturpläne. Wir zählen einfach, wie viele Türen zugemacht sind."

Er nennt das Segmentiertheit (im Englischen "Segmentedness").

Stellen Sie sich vor, in Ihrem Büro gibt es 100 Mitarbeiter. Theoretisch könnte jeder mit jedem sprechen (das wären 4.950 mögliche Gespräche).

• Wenn alle mit allen sprechen dürfen, ist das Büro "flach" (keine Wände). Die Segmentiertheit ist 0 %.
• Wenn niemand mit niemandem sprechen darf (alle Türen zu), ist das Büro perfekt getrennt. Die Segmentiertheit ist 100 %.

Das Ziel ist es, einen hohen Prozentsatz zu haben.

Der Trick: Man muss nicht alles zählen!
Das klingt jetzt schwierig. Bei einer Firma mit 10.000 Computern gibt es Milliarden von möglichen Verbindungen. Niemand kann alle prüfen.

Hier kommt die geniale Magie der Statistik ins Spiel:
Stellen Sie sich vor, Sie wollen wissen, wie salzig eine riesige Suppe ist. Sie müssen nicht die ganze Suppe aufessen. Sie nehmen einfach einen kleinen Löffel, probieren und wissen dann, wie die ganze Suppe schmeckt.

Der Autor sagt: Sie müssen nur 97 zufällige Paare von Computern testen.
Das ist die Überraschung: Egal ob Ihre Firma 100 oder 100.000 Computer hat, Sie brauchen immer nur 97 zufällige Tests, um ein sehr genaues Bild zu bekommen (mit einer Sicherheit von 95 %).

Wie funktioniert das im Alltag?

1. Zufallswahl: Ein Computerprogramm wählt zufällig 97 Paare von Mitarbeitern aus (z. B. "Kann Mitarbeiter A mit Mitarbeiter B sprechen?").
2. Der Test: Das System versucht, eine Verbindung herzustellen (wie ein kurzer Anruf oder ein Ping).
3. Die Rechnung:
   • Wenn bei 97 Versuchen 50 Verbindungen funktionieren, ist das Netz sehr offen (schlecht segmentiert).
   • Wenn nur 5 Verbindungen funktionieren, ist das Netz gut getrennt (hohe Segmentiertheit).
4. Das Ergebnis: Sie erhalten eine Zahl, z. B. "Unsere Segmentiertheit liegt bei 85 %". Das bedeutet: 85 % aller möglichen Gespräche sind durch Sicherheitsregeln verboten.

Warum ist das so wichtig?

• Vergleichbarkeit: Sie können jetzt objektiv sagen: "Unsere Buchhaltung ist besser getrennt als die IT-Abteilung" oder "Seit dem letzten Update haben wir die Sicherheit um 10 % verbessert".
• Fusionen: Wenn zwei Firmen zusammenkommen, können Sie messen, ob die neuen Wände stehen oder ob plötzlich alles wieder offen ist.
• Zero Trust: Das ist ein modernes Sicherheitskonzept ("Vertraue niemandem"). Mit dieser Zahl können Sie beweisen, ob Sie dieses Konzept wirklich umsetzen.

Zusammenfassung in einer Metapher
Früher haben Sicherheitsleute versucht, die Sicherheit eines Schlosses zu bewerten, indem sie nur auf den Schlüssel schauten.
Mit dieser neuen Methode gehen sie einfach auf die Straße, wählen 97 zufällige Passanten aus und fragen: "Könnt ihr das Schloss öffnen?"
Wenn 90 von 97 "Nein" sagen, wissen Sie: Ihr Schloss ist sicher. Und das wissen Sie, ohne das Schloss selbst öffnen zu müssen oder zu wissen, wie viele Schlüssel es insgesamt gibt.

Das Fazit:
Dieses Papier gibt Sicherheitsexperten endlich ein einfaches Lineal an die Hand, um zu messen, wie gut ihr Netzwerk gegen Hacker geschützt ist. Es ist einfach, schnell (nur 97 Tests!) und funktioniert für jede Größe von Firmen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „How segmented is my network?" von Rohit Dube auf Deutsch:

Titel: Wie segmentiert ist mein Netzwerk?

Autor: Rohit Dube (Independent Researcher, Kalifornien, USA)

---

1. Problemstellung

Netzwerksegmentierung ist eine etablierte Sicherheitspraxis, um die laterale Bewegung von Angreifern einzuschränken und die Auswirkungen von Sicherheitsverletzungen zu minimieren. Trotz der weit verbreiteten Empfehlung durch Sicherheitsframeworks (wie NIST Zero Trust oder CISA) fehlt es Sicherheitspraktikern an einem quantitativen, wiederholbaren und skalierbaren Maß, um den tatsächlichen Grad der Segmentierung eines Netzwerks zu bewerten.

• Aktueller Zustand: Die Bewertung erfolgt derzeit rein qualitativ durch Architekturdiagramme, Policy-Reviews oder Expertenurteile.
• Folgen: Organisationen können Segmentierungsansätze nicht objektiv vergleichen, den Erfolg von Architekturänderungen nicht validieren und haben keine datengestützte Grundlage für Investitionsentscheidungen.
• Lücke: Es existiert keine skalare Metrik, die den Grad der „Segmentiertheit" (oder umgekehrt der „Flachheit") eines Netzwerks unabhängig von spezifischen Bedrohungsmodellen oder der Netzwerkgröße misst.

2. Methodik und Modellierung

Das Paper schlägt einen neuen, statistisch fundierten Ansatz vor, der Netzwerke als Graphen modelliert.

2.1. Definition der Metrik: „Segmentedness"

• Netzwerkmodell: Das Netzwerk wird als ungerichteter einfacher Graph $G = (V, E)$ dargestellt, wobei $V$ die Endsysteme (Knoten) und $E$ die durch die Sicherheitsrichtlinie erlaubten Kommunikationspfade (Kanten) sind.
• Flatness (Flachheit): Definiert als die Kantdichte des Graphen. Sie gibt den Anteil aller möglichen Knotenpaare an, die kommunizieren dürfen.
  $$F(G) = \frac{|E|}{\binom{n}{2}}$$
• Segmentedness (Segmentiertheit): Definiert als das Komplement der Flachheit. Sie quantifiziert den Anteil der potenziellen Kommunikationsbeziehungen, die durch die Richtlinie verboten sind.
  $$S(G) = 1 - F(G)$$
• Interpretation: $S(G)$ entspricht der Wahrscheinlichkeit, dass zwei zufällig gewählte Knoten nicht direkt kommunizieren können.
  • $S(G) = 0$: Vollständig vernetztes Netzwerk (keine Segmentierung).
  • $S(G) = 1$: Vollständig isoliertes Netzwerk (maximale Segmentierung).

2.2. Schätzverfahren (Empirical Estimation)

Da eine vollständige Enumeration aller Knotenpaare in großen Enterprise-Netzwerken ($\binom{n}{2}$ Kombinationen) unpraktikabel ist, wird ein stochastisches Schätzverfahren verwendet:

1. Zufällige Stichprobe: Es werden $M$ zufällige Knotenpaare aus dem Netzwerk ausgewählt.
2. Verbindungstests: Für jedes Paar wird ein Test-Set (ICMP, TCP, UDP) durchgeführt, um festzustellen, ob eine Verbindung erlaubt ist. Das Ergebnis ist eine Bernoulli-Variable ($1$= erlaubt,$0$ = verboten).
3. Schätzer: Der Schätzwert für die Flachheit $\hat{F}$ ist der Anteil der erfolgreichen Tests. Der Schätzwert für die Segmentiertheit ist $\hat{S} = 1 - \hat{F}$.

2.3. Statistische Garantien und Stichprobengröße

• Der Schätzer ist erwartungstreu (unbiased).
• Unter Verwendung des Zentralen Grenzwertsatzes können Konfidenzintervalle berechnet werden.
• Wichtiges Ergebnis: Die erforderliche Stichprobengröße $M$ hängt nicht von der Gesamtgröße des Netzwerks ($n$) ab, solange die Paare uniform zufällig gewählt werden.
• Formel für $M$: Um ein Konfidenzintervall mit einer Halbbreite von $\varepsilon$ und einem Konfidenzniveau von $1-\alpha$zu erreichen, gilt (unter konservativer Annahme$p=0.5$):
  $$M \geq \frac{z_{\alpha/2}^2}{4\varepsilon^2}$$
• Praktische Implikation: Für ein 95%-Konfidenzintervall mit einer Fehlermarge von $\pm 0,1$ sind nur $M = 97$ zufällige Knotenpaare erforderlich, unabhängig davon, ob das Netzwerk 1.000 oder 100.000 Knoten hat.

2.4. Umgang mit Extremfällen (Bayessche Inferenz)

Für den Fall, dass in der Stichprobe keine Verbindungen gefunden werden ($\hat{F}=0$), würde ein klassisches Wald-Konfidenzintervall auf Null kollabieren (fälschliche absolute Sicherheit). Das Paper schlägt ein Bayessches Beta-Binomial-Modell vor, um auch bei $k=0$ beobachteten Verbindungen ein realistisches, konservatives Konfidenzintervall zu berechnen (basierend auf einem Prior, dass selbst stark segmentierte Netze minimale operative Verbindungen haben).

3. Evaluierung und Ergebnisse

Die Autoren validierten den Schätzer durch Monte-Carlo-Simulationen und reale Datensätze:

1. Synthetische Netzwerke:

   • Erdős-Rényi-Modelle: Der Schätzer zeigte sich erwartungstreu und die Konfidenzintervalle deckten die wahren Werte mit der nominalen Wahrscheinlichkeit (95%) ab.
   • Stochastic Block Models (SBM): Auch bei heterogenen Netzwerkstrukturen (Community-Strukturen, typisch für Unternehmensnetzwerke) blieb der Schätzer robust und unverzerrt.

2. Reale Enterprise-Daten:

   • Der Schätzer wurde auf Datensätze von Cisco Secure Workload angewendet.
   • Die Ergebnisse zeigten, dass der Schätzer auch auf realen Topologien mit unterschiedlichen Dichten präzise funktioniert und die berechneten Konfidenzintervalle die wahren Werte korrekt einschließen.

3. Vergleich mit anderen Metriken:

   • Im Gegensatz zu Modularity (Modularität) oder dem Fiedler-Wert (algebraische Konnektivität), die die Struktur der Verbindungen messen, misst „Segmentedness" direkt die Permissivität (Anzahl erlaubter Verbindungen). Die Korrelation zwischen diesen Metriken ist gering, was zeigt, dass sie unterschiedliche Aspekte des Netzwerks erfassen.

4. Wichtige Beiträge

1. Erste skalare Metrik: Einführung von „Segmentedness" als erste statistisch fundierte, skalare Metrik zur Quantifizierung der Netzwerksegmentierung.
2. Skalenunabhängigkeit: Die Methode ist unabhängig von der Netzwerkgröße. Ein Netzwerk mit 100.000 Knoten kann mit derselben Stichprobengröße (97 Paare) bewertet werden wie ein Netzwerk mit 1.000 Knoten.
3. Praktische Umsetzbarkeit: Der Ansatz erfordert keine tiefgehenden Kenntnisse der Anwendungssemantik oder komplexe ML-Modelle. Er basiert auf standardmäßigen Netzwerk-Utilities (Ping, Port-Scans) und einfacher Statistik.
4. Statistische Robustheit: Bereitstellung von Konfidenzintervallen und Lösungen für Randfälle (Bayessche Korrektur bei Null-Ergebnissen).

5. Signifikanz und Anwendungsfälle

Die Metrik ermöglicht Sicherheitsverantwortlichen, ihre Netzwerke objektiv zu messen und zu steuern:

• Baseline-Tracking: Quartalsweises Messen, um Policy-Drifts zu erkennen (z. B. wenn die Segmentierung durch neue Anforderungen abnimmt).
• Zero-Trust-Bewertung: Quantifizierung des Fortschritts bei der Implementierung von Zero-Trust-Architekturen (steigender $S$-Wert bedeutet bessere Isolation).
• M&A-Integration: Messung des Sicherheitsimpacts bei der Zusammenführung von Netzwerken (z. B. nach Fusionen), um zu verhindern, dass ein zu „flaches" (unsicheres) Netzwerk entsteht.
• Benchmarking: Ermöglicht den Vergleich von Segmentierungsgraden zwischen verschiedenen Abteilungen oder Organisationen (z. B. Finanzsektor vs. Bildungseinrichtungen).

Fazit

Das Paper schließt eine kritische Lücke in der Cybersicherheit, indem es die qualitative Bewertung der Netzwerksegmentierung durch eine quantitative, wissenschaftlich fundierte Metrik ersetzt. Durch die Kombination aus Graphentheorie und statistischer Stichprobenziehung bietet es ein leicht anwendbares Werkzeug, um die Sicherheit von Netzwerken messbar, vergleichbar und überprüfbar zu machen.