Organizational Security Resource Estimation via Vulnerability Queueing

Este artículo presenta un enfoque basado en un marco de colas no estacionario que estima con una precisión del 91-96% los recursos de ciberseguridad de una organización analizando las marcas de tiempo de las vulnerabilidades, superando las métricas estáticas tradicionales para modelar la dinámica de ataque-defensa y facilitar la planificación predictiva de la fuerza laboral.

Lo esencial

Imagina que una organización es como un gran hospital de urgencias que nunca cierra.

En este hospital:

• Los pacientes son los "errores" o "vulnerabilidades" de los sistemas informáticos (bugs, fallos de seguridad).
• Los médicos y enfermeras son el equipo de seguridad (los parches y las personas que los aplican).
• La sala de espera es la lista de problemas sin resolver (el "backlog" o cola de trabajo).

El Problema: Las fotos estáticas no funcionan

Antes, los gerentes de seguridad miraban el hospital y tomaban una foto estática una vez al mes. Decían: "Bueno, hoy hay 50 pacientes en la sala de espera, así que estamos bien".

Pero la realidad es mucho más caótica. A veces llegan 100 pacientes en una hora (una tormenta de virus), y luego llega un día tranquilo. A veces los médicos se cansan, a veces llegan más médicos, y a veces los pacientes son tan complejos que tardan semanas en curarse. Las "fotos" no capturan este caos, ni el ritmo frenético, ni los momentos de pánico.

La Solución: La "Cola Dinámica"

Los autores de este paper proponen una nueva forma de ver las cosas. En lugar de tomar una foto, proponen modelar el hospital como una cola de espera viva y cambiante (una "cola de colas").

Usan una idea matemática llamada Teoría de Colas, pero la adaptan para que sea inteligente:

1. No es una cola normal: En una cola de supermercado, la gente llega de forma regular. Aquí, los "pacientes" (vulnerabilidades) llegan en ráfagas locas (como una tormenta de lluvia repentina) y a veces tardan muchísimo en irse.
2. La cola cambia de tamaño: A veces la sala de espera está vacía, a veces está llena hasta el techo. El modelo divide el tiempo en trozos (segmentos) para entender que, en enero, el hospital funcionaba de una manera, y en marzo, de otra.

La Magia: Adivinar el número de médicos sin contarlos

Aquí viene la parte más impresionante. Imagina que eres un detective que entra al hospital, pero no tiene permiso para ver la lista de empleados. No sabe cuántos médicos hay, ni cuántos pacientes pueden atender por hora.

Sin embargo, el detective tiene un registro de cuándo llegó cada paciente y cuándo se fue curado.

El modelo de los autores hace lo siguiente:

• Mira el registro de llegadas y salidas.
• Observa cómo se llenó y vació la sala de espera a lo largo de los años.
• Usa matemáticas avanzadas (como mezclas de campanas de Gauss y minimización de errores) para deducir cuántos médicos había trabajando en cada momento.

El resultado: ¡Funciona! El modelo adivinó el número de personas trabajando y su velocidad de trabajo con una precisión del 91% al 96%.

Analogía Creativa: El "Termómetro de la Carga"

Piensa en este modelo como un termómetro especial que no mide la temperatura del aire, sino la "temperatura" del trabajo.

• Si la sala de espera se llena muy rápido y tarda en vaciarse, el modelo dice: "¡Alto! Aquí hay una tormenta de pacientes. O hay demasiados pacientes, o faltan médicos".
• Si la sala se vacía rápido, dice: "Todo tranquilo, el equipo está sobrado".

Al analizar el patrón de cómo se mueven los pacientes en la cola, el modelo puede decirte: "En la semana 10, tenías 100 médicos trabajando a toda velocidad. En la semana 50, tenías 100 médicos pero solo podían atender la mitad de pacientes porque estaban agotados o los casos eran más difíciles".

¿Por qué es importante esto?

Hasta ahora, las empresas tenían que adivinar cuánta gente necesitaban contratar para seguridad. A veces contrataban de más (gastando dinero) o de menos (dejando la puerta abierta a hackers).

Con esta herramienta, las empresas pueden:

1. Ver el pasado: Entender exactamente cuándo fallaron y por qué (¿llegaron demasiados ataques o faltaron médicos?).
2. Predecir el futuro: Si saben que en invierno llegan más "gripes" (ataques), pueden preparar a los médicos con antelación.
3. Detectar cuellos de botella: Saber si el problema es que llegan demasiados virus o si el equipo de seguridad es demasiado lento.

En resumen

Este paper nos dice que para proteger una organización, no basta con contar los problemas que hay hoy. Hay que entender cómo fluyen esos problemas a lo largo del tiempo. Al tratar la seguridad como una cola de espera dinámica y cambiante, podemos "leer la mente" de la organización y saber cuántos recursos humanos necesita realmente, simplemente mirando los relojes de cuándo se descubrieron y se arreglaron los errores.

Es como poder saber cuántos cocineros hay en una cocina de restaurante solo mirando el ritmo al que llegan los pedidos y el tiempo que tardan en salir los platos, sin tener que entrar a la cocina.

Resumen técnico

Resumen Técnico: Estimación de Recursos de Seguridad Organizacional mediante Colas de Vulnerabilidad

1. Planteamiento del Problema

Los sistemas de información están expuestos continuamente a vulnerabilidades evolutivas (flaws de software, malconfiguraciones, exploits de día cero). El conjunto de vulnerabilidades sin parchar constituye la superficie de ataque, la cual es dinámica, no estacionaria y presenta comportamientos "bursty" (ráfagas) y de cola pesada.

• Limitaciones actuales: Las métricas tradicionales de gestión de vulnerabilidades (como el tiempo promedio de parche o el número promedio de tickets abiertos) operan sobre instantáneas estáticas o promedios a largo plazo. Estas fallan en capturar la dinámica temporal, las variaciones en la capacidad de defensa y la acumulación de colas (backlogs) que ocurren en la realidad.
• La necesidad: Existe una brecha crítica en la planificación de la fuerza laboral y la evaluación de riesgos. Las organizaciones carecen de herramientas analíticas que utilicen la trayectoria completa de los datos de vulnerabilidades para inferir recursos ocultos (como el tamaño del equipo de seguridad y su productividad) y predecir cuellos de botella, especialmente en entornos no estacionarios donde la llegada de vulnerabilidades y la capacidad de parcheo varían con el tiempo.

2. Metodología Propuesta

Los autores proponen un marco de trabajo basado en la teoría de colas no estacionaria para modelar la evolución espacio-temporal de la superficie de ataque.

• Abstracción del Modelo (G/G/m-b):

  • Las vulnerabilidades se tratan como trabajos que llegan estocásticamente.
  • Los parches/mitigaciones se tratan como servicios.
  • La longitud de la cola ($N(t)$) representa el tamaño de la superficie de ataque (vulnerabilidades activas sin mitigar).
  • Se utiliza un modelo G/G/m-b:
    • $m$: Número de servidores paralelos (personal de defensa efectivo).
    • $b$: Capacidad agregada de servicio (rendimiento total de parches por unidad de tiempo).
    • La capacidad por agente es $b/m$.
  • El modelo incluye una restricción de capacidad finita y permite la salida de trabajos por explotación (aunque los datos actuales se centran en la mitigación).

• Estrategia de Segmentación No Estacionaria:
  Dado que los datos reales no son estacionarios, el enfoque no asume un único modelo global. En su lugar, se implementa un proceso de cuatro etapas:

  1. Construcción de la Distribución de Longitud de Cola (QLD) Empírica: Se reconstruye la trayectoria de la cola $N(t)$ a partir de marcas de tiempo de descubrimiento y parcheo.
  2. Modelado de Mezcla Gaussiana (GMM): Se ajusta un GMM a la QLD empírica para identificar regímenes cuasi-estacionarios. El número de componentes se selecciona minimizando la divergencia de Kullback-Leibler (KL) hasta encontrar un punto de rendimientos decrecientes.
  3. Segmentación Temporal: Se dividen los datos en ventanas de tiempo contiguas que corresponden a los componentes del GMM.
  4. Optimización de Parámetros: Para cada segmento, se estiman los parámetros $\theta = \{m, b, F_{IA}, F_{ST}\}$ (número de servidores, capacidad, distribución de inter-arrivales y tiempo de servicio) minimizando la divergencia KL entre la QLD simulada y la empírica. Se utilizan distribuciones de cola pesada (ej. Log-normal, Pareto generalizada) para modelar los tiempos de llegada y servicio.

3. Contribuciones Clave

• Modelo de Cola Dinámico para la Superficie de Ataque: Desarrollo de un marco novedoso que modela la evolución de la superficie de ataque como un sistema dinámico con restricciones de recursos, superando las limitaciones de las métricas estáticas.
• Segmentación de Superficies de Ataque No Estacionarias: Introducción de un enfoque multi-etapa que combina GMM, modelos de colas y optimización basada en simulación para reconstruir parámetros organizacionales latentes directamente desde registros de eventos.
• Inferencia de Recursos Organizacionales: Demostración de que es posible estimar con alta precisión el tamaño de la fuerza laboral efectiva ($m$) y la capacidad de rendimiento ($b$) sin tener acceso directo a datos de personal, utilizando únicamente marcas de tiempo de descubrimiento y resolución.
• Validación Empírica Rigurosa: Evaluación del marco en dos entornos distintos: una cadena de suministro de software de código abierto (dataset ARVO) y un sistema de tickets de una empresa logística global (datos privados).

4. Resultados

El modelo fue probado en dos conjuntos de datos:

• Cadena de Suministro de Software (ARVO):

  • Se identificaron 10 regímenes cuasi-estacionarios distintos.
  • El modelo segmentado logró una divergencia KL de 0.109, muy cercana a la estimación de bootstrap (0.106), demostrando que captura la dinámica estructural de la cola.
  • Se observó que el número de servidores ($m$) se mantuvo relativamente estable (221-250), mientras que la capacidad agregada ($b$) fluctuó drásticamente (de 30.9 a 272.9), reflejando cambios en la intensidad de los parches.

• Empresa Logística (Datos Privados):

  • Se identificaron 3 regímenes principales (estable, transición, estable).
  • Precisión en la estimación de recursos: El modelo estimó el tamaño de la fuerza laboral con una precisión del 91-96% (error < 5% en todos los segmentos).
    • Ejemplo: En el segmento 1, se estimó $m=107$ frente a un valor observado de 106 (error < 1%).
  • La capacidad de servicio estimada también coincidió estrechamente con los datos reales (ej. 14 trabajos/día estimados vs. 15.41 reales, error ~9%).
  • El modelo detectó correctamente cambios en la carga de trabajo y la capacidad de respuesta a lo largo del tiempo, incluyendo picos relacionados con eventos externos (como la transición al trabajo remoto por COVID-19).

5. Significado e Impacto

• Planificación Predictiva de la Fuerza Laboral: El marco permite a las organizaciones predecir la cantidad de personal necesario para manejar un nivel dado de intensidad de ataques, optimizando la asignación de recursos.
• Gestión Proactiva de Riesgos: Al identificar cuellos de botella en los recursos (cuando la capacidad $b$ no puede seguir el ritmo de las llegadas), las organizaciones pueden tomar medidas preventivas antes de que la superficie de ataque se vuelva crítica.
• Modelado de la "Carrera de Parches": Proporciona una base cuantitativa para entender la dinámica entre la velocidad de descubrimiento de vulnerabilidades y la velocidad de parcheo, crucial en la era de la automatización y la IA.
• Independencia de Datos: La capacidad de inferir métricas operativas críticas (personal y productividad) únicamente a partir de logs de eventos (timestamps) hace que esta herramienta sea aplicable incluso cuando los datos de recursos humanos no están disponibles o son confidenciales.

En conclusión, este trabajo establece un nuevo estándar para la evaluación de riesgos cibernéticos, pasando de métricas estáticas a un enfoque dinámico basado en teoría de colas que ofrece una visión precisa y accionable de la capacidad de defensa de una organización.