How segmented is my network?

Este artículo presenta un estimador normalizado y estadísticamente fundamentado para medir el grado de segmentación de una red, demostrando que una muestra de 97 pares de nodos es suficiente para obtener una estimación precisa con un intervalo de confianza del 95%, independientemente del tamaño total de la red.

Lo esencial

¡Hola! Imagina que tu red de computadora es como una gran ciudad llena de edificios (servidores, computadoras, teléfonos) y calles (conexiones de red).

El problema que resuelve este paper es muy simple: ¿Qué tan bien están aislados los barrios de esta ciudad?

En el mundo de la seguridad informática, esto se llama "segmentación". Si un ladrón entra en un edificio, ¿puede caminar libremente por toda la ciudad hasta robar el banco central, o está atascado en su barrio?

Aquí te explico la idea principal del paper usando analogías sencillas:

1. El Problema: "Sentir" la seguridad vs. Medirla

Hasta ahora, los expertos en seguridad decían: "Creo que nuestra ciudad está bien dividida" o "Mirando los planos, parece seguro". Pero esto es como decir que un coche es rápido solo porque "se siente rápido". No hay un número real.

• La pregunta: ¿Cómo sabemos objetivamente qué tan segura es nuestra ciudad?
• La solución: El autor, Rohit Dube, propone una métrica llamada "Segmentedness" (Nivel de Segmentación).

2. La Analogía de la "Ciudad Plana" vs. "Ciudad Dividida"

Imagina dos tipos de ciudades:

• La Ciudad Plana (Poca Segmentación): Imagina una ciudad donde todas las casas están conectadas por calles directas. Si un ladrón entra en una casa, puede ir a cualquier otra casa sin encontrar puertas cerradas. Es un caos. En términos de red, esto es una "red plana".
• La Ciudad Dividida (Alta Segmentación): Imagina una ciudad con muros, puertas de seguridad y barrios cerrados. Si un ladrón entra en una casa, solo puede ir a las casas de su propio barrio. Para ir al banco, necesita un pase especial que probablemente no tiene.

El paper define el "Segmentedness" como el porcentaje de puertas que están cerradas por ley.

• Si el 90% de las posibles conexiones entre edificios están prohibidas, tu red tiene un 90% de segmentación (¡Muy segura!).
• Si el 90% de las conexiones están permitidas, tu red tiene un 10% de segmentación (¡Peligrosa!).

3. La Magia: No necesitas contar todo (La Muestra)

Aquí viene la parte genial. En una ciudad gigante con 100,000 edificios, ¿necesitas probar si puedes ir de cada edificio a cada otro edificio? ¡Eso tomaría años! Sería como intentar caminar por todas las calles posibles de una metrópolis.

El paper dice: "¡No! Solo necesitas probar unas pocas calles al azar."

• El Truco Estadístico: Si tomas una muestra aleatoria de solo 97 pares de edificios (¡sí, solo 97!) y pruebas si hay una calle entre ellos, puedes calcular con un 95% de certeza qué tan segura es toda la ciudad.
• La Analogía: Es como probar la sopa. No necesitas beber todo el tazón para saber si está salada; con una sola cucharada bien mezclada, puedes saberlo. El tamaño de la ciudad (si tiene 1,000 o 1 millón de edificios) no importa para el cálculo, siempre que la muestra sea aleatoria.

4. ¿Por qué es importante esto?

Antes, las empresas no podían comparar sus redes. Ahora pueden decir:

• "El año pasado, nuestra red tenía un 30% de segmentación. Este año, tras instalar nuevas reglas, subió al 50%. ¡Hemos mejorado!"
• "Vamos a fusionar dos empresas. Antes de unir sus redes, medimos su seguridad. Después de la unión, medimos de nuevo para asegurarnos de que no creamos una ciudad plana y peligrosa."

5. ¿Qué pasa si no encontramos ninguna conexión?

El paper también aborda un caso raro: ¿Qué pasa si pruebas 97 pares y ninguno tiene conexión? ¿Significa que la red es 100% segura?

• La respuesta: No necesariamente. Podría ser que simplemente tuviste mala suerte y no probaste las pocas calles que sí existen.
• La solución: Usan un método matemático (Bayesiano) para decir: "Aunque no vimos ninguna calle abierta en nuestra prueba, estadísticamente es probable que exista al menos una pequeña posibilidad de conexión. No digamos que es 100% seguro, digamos que es 'muy seguro' pero con un margen de error realista."

En resumen

Este paper nos da una regla de oro para medir la seguridad de una red:

1. Define la seguridad como "qué tan difícil es moverse de un punto a otro".
2. Mide esto probando solo unas pocas conexiones al azar (97 pares).
3. Obtén un número claro (de 0 a 1) que te diga qué tan bien protegida está tu red, sin importar cuán grande sea.

Es como tener un termómetro para la seguridad de tu red, algo que antes solo existía en la imaginación de los expertos. ¡Y lo mejor es que es fácil de usar!

Resumen técnico

Resumen Técnico: "How segmented is my network?"

1. Planteamiento del Problema

La segmentación de redes es una práctica de seguridad fundamental recomendada por marcos modernos (como Zero Trust) para limitar el movimiento lateral y reducir el impacto de las brechas. Sin embargo, existe una carencia crítica en la industria: la ausencia de una métrica cuantitativa, fiable y repetible para medir el grado de segmentación real de una red.

Actualmente, la evaluación de la segmentación se realiza de manera cualitativa mediante:

• Diagramas de arquitectura.
• Revisiones de políticas de seguridad.
• Juicio de expertos.

Esta falta de métricas objetivas impide a las organizaciones comparar la segmentación entre diferentes unidades de negocio, validar si los cambios arquitectónicos mejoran el aislamiento o justificar inversiones en seguridad basándose en datos. La literatura existente ofrece métricas de riesgo (como la probabilidad de éxito de un ataque) o medidas estructurales (modularidad, valor de Fiedler), pero ninguna proporciona un escalar único e interpretable que mida directamente la "planitud" o permisividad de la red de forma independiente al modelo de amenazas.

2. Metodología y Definición Formal

El autor propone modelar la red como un grafo no dirigido $G = (V, E)$, donde los nodos son sistemas finales y las aristas representan comunicaciones permitidas por la política de seguridad.

Definición de "Segmentedness" (Grado de Segmentación)

Se define la Segmentedness ($S$) como el complemento de la densidad de aristas (flatness):

• Planitud ($F$): La fracción de pares de nodos posibles que tienen comunicación permitida.
  $$F(G) = \frac{|E|}{\binom{n}{2}}$$
• Segmentedness ($S$): La fracción de pares de nodos posibles cuya comunicación está denegada por la política.
  $$S(G) = 1 - F(G)$$

Esta definición convierte la segmentación en una propiedad intrínseca del grafo, independiente de la disposición estructural de las conexiones (a diferencia de la modularidad) y del modelo de ataque específico.

Estimación Empírica

Dado que enumerar todas las conexiones en redes grandes es inviable, el paper propone un método de muestreo aleatorio:

1. Muestreo: Se seleccionan $M$ pares de nodos uniformemente al azar.
2. Prueba de Conectividad: Para cada par, se ejecuta una batería de pruebas (ICMP, TCP, UDP) para determinar si la comunicación está permitida.
3. Estimador: Se calcula la proporción de pares conectados ($\hat{F}$) y se deriva $\hat{S} = 1 - \hat{F}$.

Garantías Estadísticas

El estimador es insesgado y se pueden calcular intervalos de confianza (IC).

• Tamaño de Muestra: Se demuestra que el tamaño de muestra necesario no depende del tamaño total de la red ($n$), sino solo del nivel de confianza y el margen de error deseado.
• Cálculo Práctico: Para un intervalo de confianza del 95% con un margen de error de $\pm 0.1$, es suficiente con $M = 97$ pares de nodos muestreados, independientemente de si la red tiene 1,000 o 100,000 nodos.
• Casos Límite: Para redes altamente segmentadas donde no se detecta ninguna conexión en la muestra (resultado 0), se propone un enfoque bayesiano (distribución Beta-Binomial) para evitar intervalos de confianza de ancho cero, proporcionando una estimación conservadora de la incertidumbre.

3. Contribuciones Clave

1. Primera Métrica Escalar Principiada: Introducción de "Segmentedness" como la primera métrica escalar estadísticamente fundamentada para medir el aislamiento de red.
2. Independencia de Escala: Demostración de que la precisión de la medición no requiere conocer el número total de nodos ni muestrear exhaustivamente; un número fijo y pequeño de muestras (97) es suficiente para redes de cualquier tamaño.
3. Metodología de Baja Fricción: Un enfoque que no requiere conocimiento profundo de la semántica de las aplicaciones ni del tráfico, basándose únicamente en pruebas de conectividad de red estándar.
4. Validación Rigurosa: Evaluación del estimador mediante simulaciones de Monte Carlo en modelos de grafos aleatorios (Erdős–Rényi), modelos de bloques estocásticos (SBM) y datos reales de redes empresariales (Cisco Secure Workload).

4. Resultados de la Evaluación

• Simulaciones Sintéticas: El estimador mostró ser insesgado y los intervalos de confianza del 95% tuvieron una cobertura empírica cercana al nivel nominal (0.95) tanto en redes aleatorias como en redes con estructura comunitaria (SBM).
• Datos Reales: Al aplicar la metodología a los grafos más densos del conjunto de datos de Cisco Secure Workload, los estimadores calculados coincidieron estrechamente con la densidad de aristas real, y los valores verdaderos cayeron dentro de los intervalos de confianza calculados.
• Robustez: La métrica demostró ser efectiva incluso en entornos con patrones de conectividad heterogéneos, típicos de redes empresariales segmentadas por unidades de negocio.

5. Significado y Aplicaciones Prácticas

El paper transforma la segmentación de un concepto cualitativo a uno cuantificable, permitiendo nuevas capacidades operativas:

• Seguimiento de Tendencias: Las organizaciones pueden establecer una línea base y medir trimestralmente si las iniciativas de segmentación están mejorando o degradando el aislamiento (ej. detectar "deriva de políticas").
• Evaluación de Zero Trust: Proporciona una prueba cuantitativa del progreso en la implementación de arquitecturas Zero Trust, mostrando un aumento en el valor de $S$ a medida que se restringe el movimiento lateral.
• Fusiones y Adquisiciones (M&A): Permite cuantificar el impacto de seguridad al integrar redes, asegurando que la consolidación no cree una red excesivamente plana.
• Toma de Decisiones Basada en Datos: Facilita la comparación objetiva entre diferentes unidades de negocio o proveedores, y ayuda a justificar inversiones en seguridad.
• Benchmarking: Abre la puerta a la creación de estándares de la industria (ej. sectores financieros podrían apuntar a un $S \geq 0.6$).

Conclusión

El artículo presenta una solución práctica y matemáticamente sólida al problema de la "caja negra" en la medición de la seguridad de redes. Al definir la segmentación como la densidad de aristas negada y proporcionar un método de estimación eficiente que requiere menos de 100 pruebas de conectividad, ofrece a los profesionales de la seguridad una herramienta inmediata para validar, monitorear y mejorar la postura de seguridad de sus redes sin necesidad de infraestructura especializada compleja.