Organizational Security Resource Estimation via Vulnerability Queueing

Dit artikel introduceert een dynamisch wachtrijmodel dat organisatorische cyberbeveiligingsbronnen nauwkeurig schat op basis van kwetsbaarheidstijdstempels, waardoor traditionele statische metingen worden vervangen door een benadering die de fluctuerende aanval- en verdedigingsdynamiek beter weergeeft.

De kern

Stel je voor dat een organisatie als een groot, druk ziekenhuis is. De "zieken" zijn de computerfouten (de kwetsbaarheden) die hackers kunnen misbruiken. De "artsen" zijn de IT-medewerkers die deze fouten moeten repareren.

In het verleden keken beveiligingsexperts vaak naar een foto van dit ziekenhuis op één specifiek moment: "Hoeveel patiënten liggen er nu?" Maar dit is niet genoeg. Het ziekenhuis is dynamisch: soms komen er plotseling honderden nieuwe patiënten binnen (een aanval), en soms werken de artsen langzaam door een gebrek aan personeel. Een foto zegt je niets over hoe snel de artsen werken of hoeveel er morgen nodig zijn.

Dit artikel introduceert een slimme nieuwe manier om te kijken naar dit proces, niet als een statische foto, maar als een levendige film.

De Kern: Een Wachtrij die Aanstroomt

De auteurs gebruiken een wiskundig concept uit de wachtrijtheorie (zoals bij de supermarkt of het postkantoor), maar dan toegepast op cyberbeveiliging:

1. De Aankomst (De Patiënten): Nieuwe computerfouten worden ontdekt. Dit gebeurt niet regelmatig, maar in buien. Soms is het rustig, soms stormt het binnen (net als een piek op een drukke zondagmiddag).
2. De Wachtrij (De Attack Surface): Alle fouten die nog niet zijn opgelost, vormen een rij. Hoe langer de rij, hoe groter het risico dat er iemand (een hacker) in de rij springt en schade aanricht.
3. De Dienstverlening (De Artsen): De IT-medewerkers werken de fouten af. Maar ze hebben een beperkte capaciteit. Ze kunnen niet alles tegelijk doen.

Het Probleem: Alles Verandert

Het oude model ging ervan uit dat de aankomst en de afhandeling altijd gelijk waren. Maar in werkelijkheid verandert er veel:

• Soms vinden ze plotseling veel fouten (een nieuwe software-update).
• Soms zijn er minder mensen beschikbaar (iemand is ziek, of er is een budgetkorting).
• Soms werken ze sneller (nieuwe tools).

Als je dit niet herkent, kun je geen goede planning maken. Je denkt misschien dat je 10 artsen nodig hebt, terwijl je er in werkelijkheid 20 nodig hebt tijdens een crisis.

De Oplossing: De "Scheidingstechniek"

De auteurs hebben een slimme truc bedacht om dit op te lossen. Ze kijken naar de data en zeggen: "Oké, dit is niet één groot, chaotisch verhaal. Laten we het opsplitsen in stukjes."

Ze gebruiken een wiskundige methode (een soort "intelligente sorteerder") om de tijd op te delen in periodes waarin het gedrag stabiel is.

• Periode A: Rustig, weinig nieuwe fouten, artsen werken gemiddeld.
• Periode B: Paniek! Veel nieuwe fouten, artsen werken harder, maar de rij wordt toch langer.
• Periode C: Rustig weer, maar artsen zijn moe en werken trager.

Voor elk van deze stukjes berekenen ze precies:

1. Hoeveel artsen er effectief aan het werk waren? (Zelfs als ze die data niet direct hadden).
2. Hoe snel werkten ze? (Hoeveel fouten per dag konden ze aan?).

Hoe werkt dat zonder de personeelslijsten te zien?

Dit is het magische deel. Ze kijken alleen naar de tijdstippen waarop een fout werd gevonden en wanneer hij was opgelost.

• Als de rij heel lang is en de fouten blijven lang hangen, weten ze: "Er werken niet genoeg mensen, of ze werken te traag."
• Als de rij kort blijft, weten ze: "Ze hebben genoeg mensen of werken heel efficiënt."

Door dit te vergelijken met een simulatie (een computermodel dat duizenden keren probeert), kunnen ze achterhalen hoeveel mensen er moesten zijn om die specifieke rij te creëren. Het is alsof je naar de lengte van een rij bij de kassa kijkt en precies kunt zeggen hoeveel kassamedewerkers er aan het werk waren, zonder dat je ze hoeft te tellen.

Wat hebben ze ontdekt?

Ze hebben dit getest op twee plekken:

1. Software-bedrijven: Waar open-source software wordt gemaakt.
2. Een groot logistiek bedrijf: Met duizenden interne IT-problemen.

De resultaten waren verbazingwekkend:

• Hun model kon het aantal werknemers en hun werkdruk voorspellen met een nauwkeurigheid van 91% tot 96%.
• Ze zagen precies wanneer de drukte oplaaide en wanneer de capaciteit tekortschoot.
• Ze konden "bottlenecks" (knelpunten) zien: momenten waarop er te weinig mensen waren voor de hoeveelheid werk.

Waarom is dit belangrijk?

Stel je voor dat je de directeur bent van dit ziekenhuis.

• Vroeger: Je wachtte tot er een crisis was en dan schreef je een briefje: "We hebben meer mensen nodig."
• Nu: Met dit model kun je zien: "Volgende maand zien we een piek in de aankomst van fouten. We moeten nu al 5 extra mensen inplannen, anders loopt de wachtrij uit de hand."

Het helpt organisaties om proactief te zijn in plaats van reactief. Ze kunnen hun personeel en middelen precies inzetten waar en wanneer het nodig is, voordat de hackers toeslaan. Het is een manier om de "ademhaling" van een organisatie te meten en te voorspellen, zodat ze altijd klaar zijn voor de volgende storm.

Technische samenvatting

Titel: Organisatiebeveiligingsresource-inschatting via Wachtrij van Kwetsbaarheden

Auteurs: Abdullah Y. Etcibasi, Zachary Dobos, C. Emre Koksal (Ohio State University)

---

1. Probleemstelling

Traditionele methoden voor het meten van cyberrisico's en het beheren van kwetsbaarheden (zoals het gemiddelde aantal open tickets of de gemiddelde patchtijd) werken vaak met statische momentopnamen. Deze benaderingen negeren de fundamentele dynamiek tussen aanval en verdediging binnen informatiesystemen. In werkelijkheid vertonen kwetsbaarheidsontdekking en het aanbrengen van patches een burstig, zwaarstaartig (heavy-tailed) en niet-stationair gedrag.

De huidige uitdagingen zijn:

• Niet-stationariteit: De aanvalsvlakte verandert dynamisch in omvang en samenstelling door veranderende ontwikkelpraktijken, geautomatiseerde scanners en fluctuerende personele capaciteit.
• Onvoldoende planning: Statische metrics kunnen geen nauwkeurige voorspellingen doen voor personeelsplanning of risicobeheer, omdat ze de temporale variaties en de opbouw van achterstanden (backlogs) niet vastleggen.
• Gebrek aan dynamische modellen: Bestaande modellen (zoals Bayesiaanse netwerken of aanvalsgrafieken) modelleren vaak patchen als een onbeperkt proces of negeren de beperkte capaciteit van verdediging, waardoor ze de realiteit van resource-bottlenecks niet weergeven.

2. Methodologie

De auteurs stellen een dynamisch wachtrijkader (queueing framework) voor om de aanvalsvlakte te modelleren en verborgen organisatieparameters af te leiden.

A. Wachtrijmodel (G/G/m-b)

Het systeem wordt gemodelleerd als een wachtrij waarbij:

• Aankomst: Nieuwe kwetsbaarheden zijn de "jobs" die de wachtrij binnenkomen.
• Bediening: Patches of mitigaties zijn de "service" die de jobs verlaat.
• Kwetsbaarheden (N(t)): De grootte van de aanvalsvlakte is de wachtrijlengte op tijdstip $t$.
• Parameters:
  • $m$: Het effectieve aantal parallelle servers (actief personeel dat tickets oplost).
  • $b$: De totale aggregatiecapaciteit (totale doorvoer van patches per tijdseenheid).
  • Het model is een G/G/m-b formulering, waarbij $m$ het aantal agents is en $b$ een beperking op de totale bedieningssnelheid.

B. Segmentatie van Niet-Stationaire Data

Omdat het systeem niet-stationair is, kan er niet één enkel model op de hele dataset worden toegepast. De auteurs gebruiken een meervoudige segmentatiebenadering:

1. Empirische Wachtrijlengte-verdeling (QLD): Het reconstrueren van de achterstands-trajecten uit tijdstippen van ontdekking en patching.
2. Gaussian Mixture Modeling (GMM): Het toepassen van een GMM op de QLD om de data te identificeren in quasi-stationaire regimes (regimes met verschillende statische eigenschappen). De GMM helpt bij het bepalen van het aantal benodigde componenten (regimes) door de Kullback-Leibler (KL) divergentie te minimaliseren.
3. Segmentatie: De tijdshorizon wordt opgesplitst in contiguë tijdvensters die overeenkomen met de GMM-componenten.
4. Parameterinschatting: Voor elk segment worden de parameters ($m, b$) en de verdelingen voor aankomsttijden (IA) en bedieningstijden (ST) geschat. Dit gebeurt door de KL-divergentie te minimaliseren tussen de empirische QLD en de gesimuleerde QLD van het model.

C. Data-sets

Het model is getest op twee verschillende datasets:

1. ARVO (Software Supply Chain): Een open-source dataset met reproducible kwetsbaarheden in C/C++ projecten (2017-2024).
2. Logistiek Onderneming (Propriëtaire Data): Een multi-jaren dataset van een groot logistiek bedrijf met cyber-security tickets en workflows (2019-2025).

3. Belangrijkste Bijdragen

• Dynamisch Wachtrijkader voor Aanvalsvlakten: Een nieuw model dat de ruimtelijk-temporele evolutie van een aanvalsvlakte beschouwt als een stochastisch, capaciteit-beperkt dynamisch systeem.
• Gedeeltelijke Modellering van Niet-Stationaire Systemen: Een methode die gebruikmaakt van GMM en simulatie-gebaseerde optimalisatie om latente parameters (personeelsgrootte en doorvoer) te reconstrueren uit gebeurtenislogs, zonder dat deze data expliciet beschikbaar is.
• Validatie op Twee Datasets: Succesvolle toepassing op zowel publieke open-source data als private enterprise-data, met hoge nauwkeurigheid in het reproduceren van empirische verdelingen.
• Afleiding van Organisatorische Resources: Het aantonen dat men nauwkeurige schattingen kan maken van het aantal actief personeel en de werkdruk per persoon, puur op basis van tijdstippen van bugrapporten en patches.

4. Resultaten

• Nauwkeurigheid: Het model bereikt een schattingsnauwkeurigheid van 91-96% voor organisatorische resources. In de logistieke dataset liep de afwijking voor personeelsgrootte ($m$) minder dan 1% tot 5% ten opzichte van de werkelijke waarden.
• Kwaliteit van de Fit:
  • Voor de ARVO-dataset bereikte het gesegmenteerde model een KL-divergentie van 0,109, wat zeer dicht bij de empirische bootstrap-schatting (0,106) ligt.
  • Voor de logistieke dataset was de KL-divergentie tussen de gesimuleerde en empirische QLD slechts 0,05355.
• Inzicht in Dynamiek:
  • Het model onthulde dat het aantal servers ($m$) relatief stabiel blijft, terwijl de totale capaciteit ($b$) aanzienlijk varieert (bijv. van 33 naar 14 taken per dag in de logistieke dataset), wat wijst op veranderingen in doorvoerefficiëntie of prioritering.
  • Het bevestigde dat kwetsbaarheidsaankomsten en patchtijden zwaarstaartig zijn en dat statische modellen ontoereikend zijn.
• Validatie: De geschatte parameters voor personeel en capaciteit kwamen overeen met onafhankelijk waargenomen gegevens in het privé-dataset, wat de bruikbaarheid van de methode voor "black-box" analyse bevestigt.

5. Betekenis en Toekomstperspectief

Deze studie biedt een fundamentele verschuiving in hoe cyberrisico en resource-planning worden benaderd:

• Voorspellend Vermogen: Het stelt organisaties in staat om resource-bottlenecks proactief te identificeren en personeelsplanning te optimaliseren op basis van verwachte aanvalsdynamiek.
• Zonder Extra Data: Het kan cruciale operationele metrics (zoals het aantal effectieve verdedigers) afleiden zonder toegang te hebben tot interne HR- of budgetgegevens, enkel op basis van publieke of interne ticket-tijdstippen.
• Toepassingsgebied: Het kader is toepasbaar op software supply chains, enterprise IT-service management en kan worden uitgebreid naar AI-gedreven verdediging en aanvalsscenario's.
• Toekomstig Werk: De auteurs suggereren het toepassen van het model voor real-time aanbevelingen voor personeelsinzet en het generaliseren naar geïntegreerde IT- en AI-infrastructuur.

Kortom, dit artikel introduceert een robuust, wiskundig onderbouwd instrument dat de complexe, dynamische relatie tussen kwetsbaarheden en verdedigingscapaciteit kwantificeert, waardoor een nieuwe standaard wordt gezet voor proactief cyberrisicomanagement.