How segmented is my network?

Questo articolo propone e valida un nuovo stimatore statistico normalizzato per quantificare la segmentazione di una rete come frazione di comunicazioni tra nodi disallowate, dimostrando che un campione di 97 coppie di nodi è sufficiente per ottenere una stima accurata con un margine di errore del ±0,1, indipendentemente dalla dimensione totale della rete.

L'essenziale

🛡️ Quanto è "frammentata" la tua rete? (Una guida per non esperti)

Immagina la tua rete aziendale come una grande città.
Ogni computer, server o stampante è un edificio.
Le regole di sicurezza (i firewall) sono come muri, cancelli e guardie che decidono chi può entrare in quale edificio.

Il Problema: "Sembra sicuro, ma lo è davvero?"

Oggi, tutti dicono: "Dobbiamo segmentare la rete!", ovvero costruire più muri per evitare che, se un ladro entra in un ufficio, possa correre liberamente in tutta la città.
Il problema è che le aziende lo fanno "a occhio". Chiedono al responsabile sicurezza: "Secondo te, siamo abbastanza protetti?".
E lui risponde: "Beh, abbiamo diviso i reparti...".
Ma quanto è divisa? È come un castello con un solo corridoio o come un labirinto di cunicoli? Non esiste un numero che lo dica. È tutto soggettivo.

La Soluzione: Il "Termometro della Sicurezza"

L'autore di questo studio, Rohit Dube, ha creato il primo termometro per misurare la sicurezza della rete. Lo chiama "Segmentedness" (quanto è segmentata).

Ecco come funziona, con un'analogia semplice:

1. L'idea di base: La "Piattezza" vs. La "Segmentazione"
Immagina due scenari estremi:

• La Città Piattezza (Pericolosa): Tutti gli edifici hanno la porta aperta. Se un ladro entra nel bar, può andare subito in banca, in ospedale e nel magazzino. La rete è "piatta".
• La Città Segmentata (Sicura): Ogni edificio è un'isola. Per andare dall'ufficio A all'ufficio B, devi superare 10 controlli di sicurezza. La rete è "segmentata".

Il "Segmentedness" è semplicemente la percentuale di porte che sono chiuse a chiave.

• Se il punteggio è 0, è una città piatta (tutte le porte aperte).
• Se il punteggio è 1, è un deserto di isole (nessuna porta aperta).
• Più il numero è alto, più la rete è sicura contro i ladri che cercano di spostarsi.

2. Come si misura senza contare ogni singola porta?
In una città con 100.000 edifici, contare tutte le coppie di porte possibili richiederebbe anni. È impossibile.
L'autore dice: "Non serve contare tutto! Basta fare un campione statistico".

È come quando un sondaggista vuole sapere il voto di un intero paese: non chiama 60 milioni di persone, ne chiama 97 a caso.

• Prendi due edifici a caso (due computer).
• Chiedi: "Possono parlarsi direttamente?" (Fai un test di connessione).
• Se la risposta è SÌ, è una porta aperta.
• Se la risposta è NO, è un muro.

Ripeti questo gioco 97 volte (sì, solo 97!).
Calcoli la media: se su 97 tentativi, 30 hanno trovato un muro, allora la tua rete è circa il 30% "segmentata".

3. Perché 97 sono sufficienti?
Questa è la parte magica della matematica del paper. Non importa se la tua città ha 1.000 edifici o 100.000.
Se scegli le coppie di edifici davvero a caso, ti basta un campione piccolo (97) per avere una risposta affidabile al 95%.
È come assaggiare un cucchiaio di zuppa per sapere se è salata: non devi bere l'intera pentola, basta un assaggio ben fatto.

A cosa serve questo numero nella vita reale?

Immagina di avere questo numero (es. 0.45) come un termometro che misuri ogni trimestre:

• Il Merger (Fusione di aziende): Due aziende si fondono. Prima erano due castelli separati. Ora uniscono le reti. Se il termometro scende da 0.50 a 0.20, significa che hanno abbattuto troppi muri! È un segnale d'allarme: "Attenzione, i ladri ora possono correre più facilmente!".
• Zero Trust (Fiducia Zero): Se stai costruendo una rete ultra-sicura, il termometro dovrebbe salire. Se vedi che il punteggio sale da 0.30 a 0.60 nel corso di un anno, sai che i tuoi investimenti in sicurezza stanno funzionando.
• Controllo delle tendenze: Se il punteggio scende improvvisamente, significa che qualcuno ha aperto una porta per "comodità" (es. per far funzionare una stampante) e ha reso la rete più fragile.

In sintesi

Questo studio ci dice che non serve essere maghi della sicurezza o avere supercomputer per sapere quanto è sicura la tua rete.
Basta:

1. Prendere un elenco dei computer.
2. Farne un campionamento casuale (solo 97 coppie).
3. Contare quanti "muri" ci sono.
4. Ottenere un numero chiaro, oggettivo e confrontabile nel tempo.

È come passare dal dire "Spero che il muro sia abbastanza alto" al poter dire "Il nostro muro è alto 3 metri e mezzo, ed è aumentato di 10 centimetri rispetto al mese scorso".

Conclusione: La sicurezza non deve essere più una sensazione. Ora può essere un numero. E un numero che si può misurare è un numero che si può migliorare.

Sommario tecnico

Ecco un riassunto tecnico dettagliato del paper "How segmented is my network?" di Rohit Dube, presentato in italiano.

Titolo: Quanto è segmentata la mia rete?

Autore: Rohit Dube (Ricerca Indipendente, California, USA)

---

1. Il Problema

La segmentazione di rete è una pratica di sicurezza fondamentale per limitare il movimento laterale degli attaccanti e ridurre l'impatto delle violazioni. Tuttavia, nonostante sia raccomandata da tutti i principali framework di sicurezza (come NIST Zero Trust e CISA), le organizzazioni mancano di uno strumento quantitativo per misurare l'effettivo grado di segmentazione di una rete.

Attualmente, la valutazione della segmentazione si basa su:

• Giudizi qualitativi di esperti.
• Revisioni di diagrammi architetturali.
• Checklist di maturità soggettive.

Questa mancanza di metriche oggettive impedisce alle organizzazioni di confrontare la sicurezza tra diversi reparti, validare l'efficacia dei cambiamenti architetturali o giustificare gli investimenti in sicurezza basandosi su dati empirici. Non esiste una metrica scalare singola e interpretabile per rispondere alla domanda: "Quanto è segmentata la mia rete?".

2. Metodologia e Modello Formale

Definizione di "Segmentedness" (Segmentazione)

L'autore propone di modellare la rete come un grafo non orientato semplice $G = (V, E)$, dove $V$ sono i nodi (sistemi finali) e $E$ sono gli archi che rappresentano le comunicazioni consentite dalla politica di sicurezza.

Vengono definiti due concetti chiave:

1. Piattezza (Flatness, $F(G)$): La frazione di tutte le possibili coppie di nodi che possono comunicare. È definita come la densità degli archi del grafo:
   $$F(G) = \frac{|E|}{\binom{n}{2}}$$
   Dove $n$ è il numero totale di nodi. Un valore di 1 indica una rete completamente piatta (tutti comunicano con tutti), mentre 0 indica nessuna comunicazione.

2. Segmentedness ($S(G)$): Il complemento della piattezza. Rappresenta la frazione di comunicazioni potenziali negate dalla politica:
   $$S(G) = 1 - F(G)$$
   Questo valore quantifica direttamente quanto la rete è isolata.

Stima Empirica tramite Campionamento

Calcolare $S(G)$ esattamente richiederebbe di testare tutte le $\binom{n}{2}$ coppie di nodi, operazione impossibile per reti enterprise di grandi dimensioni. L'autore propone un metodo di campionamento randomizzato:

1. Campionamento: Si selezionano $M$ coppie di nodi distinti in modo uniforme e casuale (con sostituzione).
2. Test di Connettività: Per ogni coppia, si esegue una suite di test (es. ICMP, TCP, UDP). Se almeno un test ha successo, la coppia è considerata "connessa" (permessa).
3. Stimatore: Si calcola la frazione di coppie connesse ($\hat{F}$) e la segmentazione stimata ($\hat{S} = 1 - \hat{F}$).

Garanzie Statistiche

L'approccio si basa sulla distribuzione binomiale. Utilizzando il teorema del limite centrale, è possibile costruire intervalli di confidenza (CI) per la stima.

• Indipendenza dalla dimensione: Un risultato cruciale è che la dimensione del campione necessaria ($M$) per ottenere una certa precisione non dipende dal numero totale di nodi ($n$) della rete, purché il campionamento sia uniforme.
• Dimensione del campione: Per un intervallo di confidenza al 95% con un margine di errore di $\pm 0.1$, è sufficiente campionare $M = 97$ coppie di nodi, indipendentemente dal fatto che la rete abbia 1.000 o 100.000 dispositivi.

Gestione dei Casi Limite (Bayesiano)

Quando in un campione di 97 coppie non viene trovata alcuna connessione (caso $k=0$), l'intervallo di confidenza frequentista collassa a zero, suggerendo erroneamente una certezza assoluta. Per risolvere questo, l'autore introduce un modello Bayesiano Beta-Binomiale con una prior conservativa (assumendo che le reti enterprise abbiano almeno una minima connettività operativa, es. 1%). Questo fornisce un limite superiore realistico per la piattezza anche in assenza di connessioni osservate.

3. Risultati e Validazione

L'autore ha validato l'estimatore attraverso simulazioni Monte Carlo e dati reali:

• Reti Sintetiche (Erdős–Rényi): L'estimatore è risultato non distorto (unbiased) e gli intervalli di confidenza hanno mostrato una copertura empirica vicina al 95% nominale.
• Modelli a Blocchi Stocastici (SBM): Anche in reti con strutture comunitarie complesse (tipiche delle segmentazioni aziendali per dipartimenti), l'estimatore ha mantenuto accuratezza e copertura corretta.
• Dati Reali (Cisco Secure Workload): Applicando il metodo a dataset reali di traffico di rete aziendale, l'estimatore ha prodotto risultati accurati rispetto alla densità degli archi reale, confermando l'indipendenza dalla dimensione della rete.
• Confronto con altre metriche: L'analisi mostra che la "Segmentedness" (basata sulla densità degli archi) è scarsamente correlata ad altre metriche grafiche come il valore di Fiedler (connessione algebrica) o la modularità, dimostrando che cattura un aspetto diverso e più diretto della "piattezza" della rete.

4. Contributi Chiave

1. Prima Metrica Scalare Statisticamente Principiata: Introduzione della "Segmentedness" come prima metrica scalare, interpretabile e statisticamente valida per misurare l'isolamento di rete.
2. Efficienza Operativa: Dimostrazione che è possibile misurare la sicurezza di reti massive con un numero fisso e molto basso di test (97 coppie), rendendo la misurazione pratica e ripetibile.
3. Indipendenza dalla Scala: La metodologia funziona ugualmente bene per reti piccole e grandi, eliminando la complessità computazionale legata alla dimensione della rete.
4. Strumenti Pratici: Fornitura di linee guida per il calcolo degli intervalli di confidenza, gestione dei casi di zero connessioni e procedure di implementazione operativa.

5. Significato e Applicazioni

Questo lavoro colma un divario critico tra le raccomandazioni teoriche di sicurezza (es. Zero Trust) e la misurazione pratica. Le applicazioni principali includono:

• Tracking delle Baseline: Monitorare l'evoluzione della segmentazione nel tempo (es. trimestrale) per rilevare "drift" delle policy o miglioramenti.
• Valutazione Zero Trust: Fornire una prova quantitativa del progresso nell'implementazione di architetture Zero Trust (l'aumento di $S(G)$ indica una riduzione del movimento laterale).
• Integrazioni e Fusioni (M&A): Misurare l'impatto di sicurezza quando si uniscono reti diverse, assicurando che la fusione non appiattisca eccessivamente la rete.
• Benchmarking: Permettere il confronto oggettivo della postura di sicurezza tra diversi dipartimenti o organizzazioni.

Conclusione

Il paper fornisce un metodo robusto, leggero e statisticamente solido per trasformare la segmentazione di rete da un concetto qualitativo a una metrica quantitativa misurabile. Permette ai professionisti della sicurezza di prendere decisioni basate sui dati, tracciare l'efficacia delle contromisure e validare l'architettura di rete senza bisogno di infrastrutture complesse o competenze di machine learning avanzate.