Organizational Security Resource Estimation via Vulnerability Queueing

Diese Arbeit stellt einen dynamischen Warteschlangenansatz vor, der mithilfe von Schwachstellenzeitstempeln und nicht-stationären Modellen die Cyber-Ressourcen einer Organisation mit einer Genauigkeit von 91–96 % schätzt, um so Angriffsoberflächen-Dynamiken besser zu verstehen und proaktives Risikomanagement zu ermöglichen.

Das Wesentliche

Stellen Sie sich vor, ein Unternehmen ist wie ein riesiges, lebendiges Schloss. Aber statt von Rittern und Drachen wird es von unsichtbaren Hackern bedroht, die ständig neue Risse in den Mauern (Schwachstellen) finden.

Das Problem ist: Diese Risse tauchen nicht gleichmäßig auf. Manchmal passiert gar nichts, und dann plötzlich brechen Dutzende von Hackern gleichzeitig durch die Hintertür. Die Sicherheitswachen (das IT-Team) müssen diese Risse reparieren. Aber wie viele Wachen sind eigentlich im Schloss? Wie schnell können sie arbeiten? Und reicht das Personal aus, um die Flut an Reparaturen zu bewältigen?

Normalerweise schauen Sicherheitsmanager nur auf eine statische Momentaufnahme: "Wir haben heute 50 offene Reparaturaufträge." Das ist aber wie ein Foto von einem Stau auf der Autobahn – es sagt Ihnen nicht, ob der Stau gerade wächst oder sich auflöst, und es verrät Ihnen nicht, wie viele Polizisten eigentlich im Einsatz sind.

Die Idee der Forscher: Die "Warteschlange" als Detektiv

Die Autoren dieses Papers haben eine clevere Methode entwickelt, um genau das herauszufinden, ohne die Sicherheitswachen direkt zu zählen. Sie nutzen eine Idee aus der Mathematik, die man als "Warteschlangen-Theorie" bezeichnet.

Stellen Sie sich das Schloss als eine riesige Waschstraße vor:

1. Die Autos (Ankünfte): Jedes neue Sicherheitsproblem ist ein Auto, das in die Waschstraße einfährt.
2. Die Waschbänder (Bedienung): Die IT-Mitarbeiter sind die Waschbänder, die die Autos reinigen (reparieren).
3. Die Schlange (Warteschlange): Die Autos, die noch gewaschen werden müssen, bilden eine Schlange.

Das Besondere an dieser Forschung ist, dass sie erkennt: Diese Schlange ist nicht statisch. Manchmal kommen 100 Autos pro Stunde, manchmal nur 2. Manchmal sind die Waschbänder schnell, manchmal langsam. Und manchmal ist die Schlange so lang, dass Autos gar nicht mehr reinpassen (das System ist überlastet).

Wie funktioniert die Methode? (Die "Zeit-Reise"-Methode)

Die Forscher sagen: "Wir können nicht das ganze Jahr über mit einem einzigen Modell rechnen, weil sich die Situation ständig ändert."

Statt dessen schneiden sie die Zeit in Abschnitte (wie bei einem Film, der in Szenen unterteilt ist):

• Szene 1: Vielleicht ist gerade Weihnachten, alle sind im Urlaub, und die Schlange wird sehr lang, weil niemand repariert.
• Szene 2: Vielleicht gibt es einen neuen Hacker-Angriff, und plötzlich kommen 500 Autos pro Stunde.
• Szene 3: Vielleicht hat das Unternehmen neue Mitarbeiter eingestellt, und die Schlange wird kürzer.

Für jede dieser "Szenen" nutzen die Forscher einen mathatischen Trick (einen sogenannten "Gaußschen Mischungs-Modell"), um zu erraten, wie viele Waschbänder (Mitarbeiter) und wie viel Waschleistung (Kapazität) nötig wären, um genau diese Schlange zu erzeugen.

Sie vergleichen die tatsächliche Schlange (die Daten aus dem echten Leben) mit einer simulierten Schlange (die sie am Computer nachbauen). Wenn die simulierten Schlange genau so aussieht wie die echte, dann wissen sie: "Aha! In dieser Zeit waren wahrscheinlich genau 110 Mitarbeiter im Einsatz, und jeder hat pro Tag etwa 15 Reparaturen geschafft."

Was haben sie herausgefunden?

Die Forscher haben ihre Methode an zwei echten Beispielen getestet:

1. Ein riesiges Software-Netzwerk: Hier haben sie gesehen, dass die Anzahl der Mitarbeiter relativ stabil bleibt, aber die Effizienz stark schwankt. Mal arbeiten sie wie verrückt, mal schleppen sie sich.
2. Ein großes Logistik-Unternehmen: Hier konnten sie ihre Ergebnisse direkt mit den echten Personalzahlen vergleichen. Das Ergebnis war verblüffend: Ihre Methode hat die Anzahl der Mitarbeiter mit einer Genauigkeit von 91–96% erraten! Sie wussten also, wie viele Leute im Team waren, ohne jemals eine Personalakte gesehen zu haben. Sie haben es nur aus den Zeitstempeln der Reparaturaufträge abgeleitet.

Warum ist das wichtig? (Die Metapher des "Stau-Propheten")

Stellen Sie sich vor, Sie sind der Chef des Schlosses. Früher haben Sie nur gesehen: "Oh nein, die Schlange ist heute lang!" Heute können Sie sagen: "Ah, die Schlange ist lang, weil wir in der dritten Szene sind und unsere Kapazität von 30 auf 14 Reparaturen pro Tag gesunken ist. Wir müssen also dringend mehr Personal einstellen, bevor die Schlange explodiert."

Zusammenfassung in einem Satz:
Die Forscher haben einen mathematischen "Detektiv" gebaut, der aus dem Chaos der Sicherheitsmeldungen und Reparaturzeiten genau berechnen kann, wie viele Menschen in einem Unternehmen eigentlich arbeiten und wie schnell sie können – ganz ohne sie direkt zu zählen. Das hilft Unternehmen, ihre Sicherheitsmannschaft besser zu planen, bevor es zu spät ist.

Technische Zusammenfassung

Titel: Organizational Security Resource Estimation via Vulnerability Queueing

Autoren: Abdullah Y. Etcibasi, Zachary Dobos, C. Emre Koksal (Ohio State University)

---

1. Problemstellung

Informationssysteme sind ständig einer sich wandelnden Bedrohungslandschaft ausgesetzt. Die Menge der ungepatchten Schwachstellen bildet die „Angriffsfläche" (Attack Surface), die sich dynamisch in Größe und Zusammensetzung verändert.

• Herausforderung: Herkömmliche Metriken zur Verwaltung von Schwachstellen (z. B. durchschnittliche Anzahl offener Tickets oder mittlere Patch-Zeit) basieren auf statischen Momentaufnahmen. Sie ignorieren die nicht-stationären, „bursty" (schubweise auftretenden) und schwer tailigen (heavy-tailed) Dynamiken von Entdeckung und Behebung.
• Folge: Diese statischen Ansätze sind unzureichend für die Personalplanung, die Risikobewertung und das Verständnis von Engpässen in der Abwehrkapazität. Es fehlt an analytischen Werkzeugen, die die gesamte Verlaufsgeschichte (Backlog) nutzen und die zeitlichen Schwankungen sowohl bei der Ankunft neuer Schwachstellen als auch bei der Patching-Kapazität explizit modellieren.

2. Methodik

Die Autoren schlagen einen dynamischen Warteschlangen-Rahmen (Queueing Framework) vor, der Schwachstellen als „Jobs" und Patches als „Service" behandelt. Das System wird als ein G/G/m-b-Warteschlangenmodell abstrahiert:

• $N(t)$: Die aktuelle Größe der Angriffsfläche (Warteschlangenlänge).
• $V(t)$: Stochastische Ankunft neuer Schwachstellen.
• $N_d(t)$: Abgang durch defensive Maßnahmen (Patching).
• $m$: Die effektive Anzahl paralleler Server (aktives Personal).
• $b$: Die gesamte Kapazität des Systems (Gesamtdurchsatz pro Zeiteinheit).

Da die Prozesse nicht-stationär sind (d.h. sich über die Zeit ändern), verwenden die Autoren einen segmentierten Ansatz:

1. Empirische Verteilung der Warteschlangenlänge (QLD): Aus Zeitstempeln von Entdeckung und Behebung wird die zeitgemittelte Verteilung der Warteschlangenlänge rekonstruiert.
2. Gaussian Mixture Modeling (GMM): Um nicht-stationäre Regime zu identifizieren, wird ein GMM auf die empirische QLD angepasst. Dies erlaubt die Unterteilung des Beobachtungszeitraums in quasi-stationäre Segmente.
3. Segment-spezifische Parameterschätzung: Für jedes Segment werden die Parameter $m$ (Personal) und $b$ (Kapazität) sowie die Verteilungen für Zwischenankunftszeiten (IA) und Servicezeiten (ST) geschätzt.
4. Optimierung: Die Parameter werden durch Minimierung der Kullback-Leibler-Divergenz (KL) zwischen der empirischen Verteilung und der simulierten Verteilung des Modells bestimmt. Dies ermöglicht die Rekonstruktion latenter Organisationsparameter direkt aus den Ereignisprotokollen.

3. Wichtige Beiträge

• Dynamisches Warteschlangenmodell der Angriffsfläche: Entwicklung eines neuartigen Rahmens, der die räumlich-zeitliche Evolution von Schwachstellen als stochastisches, kapazitätsbeschränktes System modelliert.
• Segmentierte Modellierung nicht-stationärer Systeme: Einführung eines mehrstufigen Ansatzes (GMM + Simulation), der latente Parameter wie die effektive Personalstärke und den Gesamtdurchsatz direkt aus Log-Daten rekonstruiert, ohne dass diese explizit vorliegen müssen.
• Validierung über zwei Datensätze:
  1. Software-Supply-Chain (ARVO-Datensatz): Öffentliche Daten von Google OSS-Fuzz (C/C++ Projekte).
  2. Logistik-Unternehmen: Proprietäre Daten eines globalen Logistikunternehmens (Cyber-Security-Tickets).
• Inferenz organisatorischer Ressourcen: Demonstration, dass das Modell die tatsächliche Anzahl des Personals und deren Arbeitslast mit hoher Genauigkeit schätzen kann, selbst wenn diese Informationen in den Daten nicht vorhanden sind.

4. Ergebnisse

Die Studie wurde an zwei verschiedenen Umgebungen durchgeführt:

• Software-Supply-Chain (ARVO):

  • Die Daten zeigten starke Nicht-Stationarität und heavy-tailed Verhalten.
  • Ein 10-Komponenten-GMM war notwendig, um die verschiedenen Regime zu erfassen.
  • Das segmentierte G/G/m-b-Modell erreichte eine KL-Divergenz von 0,109 im Vergleich zur empirischen Verteilung (sehr nahe am Bootstrap-Benchmark von 0,106).
  • Das Modell zeigte, dass die Personalstärke ($m$) relativ stabil war (ca. 221–250), während die Gesamtkapazität ($b$) stark schwankte (30,9 bis 272,9), was auf Veränderungen in der Patching-Intensität hindeutet.

• Logistik-Unternehmen:

  • Hier waren 3 Regime (Komponenten) ausreichend.
  • Genauigkeit: Die geschätzte Personalstärke ($m$) wich in allen Segmenten um weniger als 5% von den tatsächlich beobachteten Werten ab (in einem Segment nur 1% Abweichung).
  • Die geschätzte Kapazität ($b$) zeigte einen Rückgang von ca. 33 Jobs/Tag auf 14 Jobs/Tag, was mit externen Beobachtungen übereinstimmte.
  • Die GesamtkL-Divergenz zwischen simulierter und empirischer Verteilung betrug nur 0,05355.

Zusammenfassend: Das Modell erreicht eine Genauigkeit von 91–96% bei der Schätzung der Ressourcen (Personal und Durchsatz), basierend ausschließlich auf Zeitstempeln von Bug-Reports und Fixes.

5. Bedeutung und Ausblick

• Praktischer Nutzen: Der Rahmen bietet eine neue Grundlage für die proaktive Personalplanung und das Patch-Racing-Modell. Organisationen können Engpässe identifizieren und Ressourcen dynamisch anpassen, bevor sich Backlogs aufbauen.
• Risikomanagement: Es ermöglicht eine quantitative Bewertung der aktuellen Sicherheitskapazität und hilft, die Auswirkungen von Änderungen in der Angriffshäufigkeit oder der defensiven Durchsatzleistung zu bewerten.
• Zukunftsperspektiven: Die Autoren schlagen vor, das Framework auf aktiv remediierte Schwachstellen anzuwenden, Echtzeit-Empfehlungen für die Personalbesetzung zu integrieren und das Modell auf eine Einheit aus IT, KI und menschlichen Ressourcen zu erweitern.

Dieses Paper stellt einen Paradigmenwechsel dar: weg von statischen Sicherheitsmetriken hin zu einem dynamischen, datengesteuerten Verständnis der Angriffsfläche als Warteschlangensystem, das Engpässe und Ressourcenbedarf präzise vorhersagt.