Detecting Privilege Escalation with Temporal Braid Groups

Dit artikel introduceert een methode om privilege-escalatie in cloudomgevingen te detecteren door de Burau-Lyapunov-exponent toe te passen op tijdsgebonden braid-groepen binnen sterk verbonden componenten, waarmee twee risicoregimes (verspreid en gefocust) kunnen worden onderscheiden die niet met abelse statistieken te identificeren zijn.

De kern

Stel je voor dat je de beveiliging van een enorme, digitale stad moet controleren. In deze stad zijn er miljoenen deuren (rechten) die mensen (of robots) kunnen openen. De vraag is niet alleen: "Wie heeft welke sleutel?", maar vooral: "Hoe bewegen deze sleutels zich door de tijd heen?"

Dit artikel, geschreven door Christophe Parisel, introduceert een slimme manier om te voorspellen of een systeem veilig blijft of dat het langzaam uit de hand loopt (privilege escalation).

Hier is de uitleg in simpele taal, met behulp van een paar creatieve analogieën.

1. Het Probleem: De "Ratchet" (De Krul)

In de digitale wereld kunnen rechten soms alleen maar groter worden, nooit kleiner. Denk aan een krul (een ratchet). Als je de hendel naar boven duwt, klikt hij vast. Je kunt hem niet terugdraaien.

• Oscillatoren: Soms bewegen rechten heen en weer binnen een veilige kooi. Dit is veilig.
• Ratchets: Soms is er een pad waar rechten alleen maar omhoog gaan. Dit is gevaarlijk.

De auteurs hebben al een eerste test (de "primoriele invariant") die zegt: "Is dit een veilige kooi of een gevaarlijke krul?" Maar als het een krul is, moeten we nog weten: Is het nu al gevaarlijk, of kan het nog veilig blijven?

2. De Oplossing: De "Tijdbraids" (Tijd-vlechtwerk)

Om dit te meten, gebruiken de auteurs wiskunde die lijkt op het vlechten van haar.
Stel je voor dat je 6 robot-wandelaars hebt die door de krul lopen. Ze wisselen van positie op basis van hoeveel rechten ze op dat moment hebben.

• Als twee wandelaars tegelijk een "stijgende" trap nemen (meer rechten krijgen), maken ze een vlechtbeweging.
• In de wiskunde van deze vlechtwerk (de "Braid Group") is er een groot geheim: De volgorde maakt uit.

De Analogie van de Dans:
Stel je voor dat twee mensen dansen.

• Als ze eerst hand in hand draaien en dan knuffelen, is dat iets anders dan als ze eerst knuffelen en dan draaien.
• In een "gewone" (Abelse) wereld zou de volgorde er niet toe doen (draaien + knuffelen = knuffelen + draaien).
• Maar in deze digitale wereld is het niet-commutatief: de volgorde verandert het resultaat volledig.

3. De Twee Gevaren: "Gefocust" vs. "Verspreid"

De auteurs ontdekken dat er twee soorten gevaarlijke krullen zijn, en ze kunnen dit onderscheiden met een speciale meetlat (de Burau Lyapunov exponent).

A. De "Gefocuste" Krul (De Trechter)

• Analogie: Een waterpijp die in één punt samenkomen. Alle water (rechten) stroomt door één smalle opening.
• Het Gevaar: Het lijkt gevaarlijk omdat er veel water stroomt, maar omdat alles door één punt gaat, botst het water tegen elkaar en stopt de stroom (wiskundige "annihilatie").
• De Oplossing: Dit is makkelijk op te lossen. Je hoeft alleen maar de druk (de rechten) op dat ene punt iets aan te passen. Je hoeft de hele stad niet te slopen.
• Hoe herken je het? De meetlat (Burau) zegt: "Het lijkt druk, maar de volgorde van de dansers zorgt ervoor dat het veilig blijft."

B. De "Verspreide" Krul (De Kluwen)

• Analogie: Een enorme, verwarde kluwen van touwen. Er zijn honderd verschillende wegen die allemaal naar boven leiden.
• Het Gevaar: Hier botst het water niet tegen elkaar. De verschillende paden versterken elkaar. Het systeem groeit exponentieel en wordt onbeheersbaar.
• De Oplossing: Je kunt dit niet oplossen door alleen de druk aan te passen. Je moet de structuur veranderen (de touwen doorknippen of nieuwe wegen aanleggen).
• Hoe herken je het? De meetlat zegt: "De volgorde van de dansers zorgt ervoor dat de chaos alleen maar groter wordt."

4. Waarom de "Gewone" Metingen Falen

De meeste beveiligingssystemen kijken alleen naar het aantal stappen (hoeveel keer is er een trap opgestapeld?).

• De Valstrik: Een "Gefocuste" krul en een "Verspreide" krul kunnen exact hetzelfde aantal stappen hebben.
• Het Verschil: Bij de Gefocuste krul is de volgorde van de stappen zo dat ze elkaar opheffen (veilig). Bij de Verspreide krul versterken ze elkaar (gevaarlijk).
• De Conclusie: Als je alleen telt (Abelse statistiek), zie je het verschil niet. Je denkt dat alles veilig is, terwijl het systeem in feite instort. Je hebt een meetlat nodig die de volgorde en de wiskundige dans ziet, niet alleen het aantal stappen.

5. Wat betekent dit voor de praktijk?

De auteurs hebben een systeem bedacht dat werkt als een tweestaps-filter:

1. Stap 1 (De Primoriele Test): Kijk of er überhaupt een gevaarlijke krul is. Zo nee, niets doen. Zo ja, ga naar stap 2.
2. Stap 2 (De Tijdbraids Test): Gebruik de complexe wiskunde (Burau exponent) om te zien of het een "Gefocuste" of "Verspreide" krul is.
   • Is het Gefocust? -> Pas de rechten aan (goedkoop en snel).
   • Is het Verspreid? -> Verander de architectuur van het systeem (duur en ingrijpend).

Samenvatting in één zin

Dit artikel leert ons dat we niet alleen moeten tellen hoeveel rechten iemand heeft, maar dat we moeten kijken naar hoe die rechten zich door de tijd verstrengelen; want soms is een kleine, goed georganiseerde dans veiliger dan een grote, chaotische rommel, zelfs als het aantal stappen hetzelfde is. De auteurs hebben een wiskundige "dansmeester" gevonden die dit onderscheid kan maken, waar andere systemen blind voor zijn.

Technische samenvatting

Hier is een gedetailleerde technische samenvatting van het artikel "Detecting Privilege Escalation with Temporal Braid Groups" in het Nederlands.

Titel: Detectie van Privilege Escalatie met Temporele Vlechtgroepen

Auteur: Christophe Parisel
Datum: 12 maart 2026

---

1. Probleemstelling

De beveiligingspostuur van cloud-identiteiten wordt niet bepaald door een momentopname van permissies, maar door hun volledige tijdsverloop (temporele trajecten). Twee niet-menselijke identiteiten (NHIs) kunnen vandaag identieke permissies hebben, maar zich morgen verschillend gedragen: de ene kan onomkeerbaar escaleren naar bredere toegang (een "ratchet"), terwijl de andere binnen een begrensd bereik oscilleert.

Bestaande methoden voor het detecteren van risico's zijn vaak gebaseerd op Abelse statistieken (commutatieve metingen), zoals het tellen van randen, de netto-stroom van privileges (DWS - Directed WAR Sum) of de frequentie van "gate-firings" (het activeren van escalatiepaden). Het artikel stelt dat deze methoden fundamenteel ontoereikend zijn omdat ze de niet-commutatieve aard van privilege-escalatie negeren. In een niet-commutatieve omgeving (waar de volgorde van gebeurtenissen uitmaakt) kunnen Abelse tellingen dezelfde risico's voorspellen voor twee systemen die in werkelijkheid totaal verschillende dynamieken hebben (bijvoorbeeld één dat veilig is door destructieve interferentie en één dat kritiek is door cumulatieve groei).

2. Methodologie

De auteurs introduceren een wiskundig raamwerk dat Temporele Vlechtgroepen (Braid Groups) en de Burau-voorstelling gebruikt om privilege-escalatie te modelleren.

• SCC Classificatie: Het proces begint met het identificeren van Sterk Geconnecteerde Componenten (SCCs) in het permissiegraaf. SCCs worden geclassificeerd als:
  • Oscillators: Topologisch veilig (geen gerichte escalatiepaden).
  • Ratchets: Bevatten minstens één gerichte pad dat irreversibele escalatie toelaat.
• Vlechtconstructie (Braid Construction): Voor een "ratchet" SCC worden $n$ NHIs (wandelaars) gesimuleerd die onafhankelijke willekeurige wandelingen maken.
  • De wandelaars worden op elk tijdstip gesorteerd op basis van hun huidige WAR-waarde (privilege-niveau).
  • Als twee aangrenzende wandelaars beide een gerichte, opwaartse (ascenderende) rand betreden, wordt een vlechtgenerator geïnjecteerd in een woord: $\sigma_i^2 \sigma_{i+1}^{-1}$.
  • Dit woord is specifiek gekozen omdat het een spectrale straal > 1 heeft onder de Burau-voorstelling (bij $t=-1$), wat zorgt voor exponentiële groei als het woord zich herhaalt.
• Burau-voorstelling en Lyapunov-exponent (LE):
  • Het vlechtwoord wordt omgezet in een matrixproduct via de Burau-voorstelling (met gehele getallen om numerieke fouten te vermijden).
  • De Lyapunov-exponent (LE) wordt berekend als de groeisnelheid van de spectrale straal van dit matrixproduct over tijd.
  • LE fungeert als een maat voor hoe "verstrikt" de vlecht is; een hoge LE duidt op exponentiële complexiteitsgroei (risico), terwijl een lage LE duidt op stabiliteit door destructieve interferentie (niet-commutatieve annulering).

3. Belangrijkste Bijdragen

1. Onmogelijkheidsresultaat (Theorema 6.2):
   De auteurs bewijzen dat geen enkele Abelse statistiek (zoals randtellingen, netto-privilege-stroom of gate-firing rates) de Lyapunov-exponent (LE) kan bepalen.

   • Bewijsidee: Twee woorden kunnen dezelfde Abelse telling hebben (zelfde aantal $\sigma$ en $\sigma^{-1}$), maar door de volgorde (niet-commutativiteit) leiden ze tot verschillende spectrale groei.
   • Empirisch bewijs: Na controle voor de firing rate, heeft de Abelse proxy een correlatie van $r=0.001$ met de structuur, terwijl de Temporele Vlecht-LE een correlatie van $r=0.175$ behoudt ($p < 10^{-3}$).

2. Classificatie in twee Risico-regimes:
   De LE definieert een scherpe grens tussen twee regimes voor ratchet-deployments:

   • Focused (Gefocust): Escalatie verloopt via weinig paden. Niet-commutatieve annuleringen modereren de groei. Remediatie is mogelijk door WAR-toewijzing (privileges herschikken) om de opwaartse stroom te breken.
   • Dispersed (Verspreid): Een hub-rijke topologie met meerdere onafhankelijke escalatiepaden. Annuleringen vinden niet plaats; de groei is exponentieel. Remediatie vereist topologie-chirurgie (randen toevoegen of verwijderen), omdat herschikken van privileges niet werkt.

3. Shuffling Experiment:
   Door de volgorde van de vlechtgeneratoren te randomiseren (shuffling), toont het onderzoek aan dat de temporale volgorde cruciaal is. In 84% van de gevallen resulteert de temporale volgorde in een lagere spectrale straal dan een gerandomiseerde versie, wat aantoont dat de tijdsafhankelijke structuur (annuleringen) een signaal bevat dat Abelse tellingen missen.

4. Firing-rate Ondergrens:
   Er wordt een theoretische ondergrens afgeleid voor de firing rate in "hub" SCCs, wat aantoont dat bepaalde topologieën onafhankelijk van de WAR-toewijzing in het "dispersed" regime terechtkomen.

4. Resultaten en Validatie

• Dataset: De methode is getest op een corpus van 1.000 synthetische ratchet-SCCs (6 knopen), resulterend in 49.972 (SCC, WAR) paren.
• Discriminatievermogen:
  • Er is een 5,7% discrepantie tussen de classificatie door de Abelse rate en de Burau LE.
  • FD-fouten (False Dispersed): De Abelse rate classificeert een deployment als "dispersed" (hoog risico), terwijl de Burau LE aantoont dat het "focused" is (veilig door annulering). Dit leidt tot onnodige alarmen.
  • DF-fouten (False Focused): De Abelse rate classificeert als "focused", terwijl de Burau LE "dispersed" detecteert. Dit is het gevaarlijkste scenario, waarbij echte risico's worden gemist.
• Case Studies:
  • Ratchet 205 & 207: Toonden voornamelijk FD-fouten. De Abelse methode zag veel "events", maar de Burau-methode zag dat deze op dezelfde stranden vielen en elkaar annuleerden.
  • Ratchet 116: Toonde puur DF-fouten. Een gerichte cyclus had een netto privilege-stroom van 0 (Abelse methode ziet geen risico), maar de niet-commutatieve volgorde van de generatoren veroorzaakte wel exponentiële groei (Burau detecteert risico).

5. Significatie en Toepassing

• Fundamentele Inzicht: Het artikel bewijst dat privilege-escalatie een niet-commutatief proces is. Het tellen van gebeurtenissen is onvoldoende; de volgorde en interactie van deze gebeurtenissen bepalen het risico.
• Operationele Impact:
  • Twee-staps Pipeline:
    1. Primorische Invariant: Filtert topologisch veilige oscillators eruit.
    2. Burau LE: Classificeert ratchets in "Focused" of "Dispersed".
  • Remediatie: Het bepaalt direct het type interventie:
    • Focused: IAM-beheerders kunnen privileges herschikken (goedkoop).
    • Dispersed: Architecturale wijzigingen in de permissiegraf zijn nodig (duur en complex).
• Beperkingen: De Burau-voorstelling is voor $n \ge 5$ niet "faithful" (niet-injectief), wat betekent dat het een ondergrens voor de complexiteit biedt. De auteurs suggereren toekomstig werk met de Lawrence-Krammer-Bigelow (LKB) representatie voor volledige nauwkeurigheid.

Conclusie:
Deze paper introduceert een wiskundig robuuste methode om privilege-escalatie te detecteren die fundamenteel beter presteert dan traditionele tellingen. Door gebruik te maken van de niet-commutatieve eigenschappen van vlechtgroepen, kan het systeem onderscheid maken tussen schijnbaar risicovolle situaties die topologisch veilig zijn, en subtiele, structurele risico's die door Abelse methoden volledig worden gemist. Dit stelt cloud-beveiligingsteams in staat om gerichter en efficiënter te remedieren.