الجزء الخامس: نشأة استرداد دفتر الأستاذ – الأمن التشغيلي | موازنة

لقد أظهرنا حتى الآن في الجزء الأول والثاني كيفية استرداد دفتر الأستاذ يقسم البذور الخاصة بك إلى أسهم و يرسل تلك الأسهم بشكل آمن إلى الاصدقاء موفرو النسخ الاحتياطي الموثوق بهم. في الجزء 3، أظهرنا كيف ذلك تخزين (واستعادة) أسهم البذور الخاصة بك بأمان، محمية بتشفير الأجهزة، مرتبطة بهويتك ومتنوعة. في الجزء الرابع، اكتشفنا كيف يتمكن برنامج Ledger Recover من القيام بذلك منح الوصول إلى النسخة الاحتياطية الخاصة بك لك وأنت فقط.

لقد حان الوقت الآن لإلقاء نظرة فاحصة على كيفية ضمان أقصى قدر من الأمن على المستوى التشغيلي. في لمحة سريعة، يتم تحقيق الأمن التشغيلي من خلال:

• تقوية البنية التحتية التي يقوم عليها Ledger Recover،
• تطبيق فصل الواجبات على مختلف مشغلي Ledger Recover،
• مراقبة المكونات والعمليات الهامة،
• تنفيذ الاستجابة للحوادث الخاصة بالاسترداد.

دعونا نتعمق في تفاصيل ما يعنيه كل عنصر من هذه العناصر.

تصلب البنية التحتية

يأتي تصلب البنية التحتية في أشكال عديدة. إنه تمرين 360 درجة يتضمن مجموعة واسعة من الأنشطة التي يقودها تحليل شامل للمخاطر الأمنية. ويبدأ عادةً بالاحتفاظ بقائمة من سيناريوهات الهجوم التي قد تؤدي إلى مشكلات أمنية (مثل تسرب البيانات، وانتحال هوية العملاء مما يؤدي إلى استعادة المشاركات بشكل غير مصرح به، والأنظمة غير المستجيبة، وتعطل الخدمة). يتم تنظيم منع هذه المشكلات على المستوى التشغيلي حول أنشطة مثل عزل الموارد، وتنظيم الوصول إلى النظام، والتحكم في حركة مرور الشبكة، وإدارة الثغرات الأمنية، وغير ذلك الكثير.

فيما يلي ملخص للإجراءات الرئيسية لدينا لتعزيز البنية التحتية لـ Ledger Recover:

توفر الخدمة

تم تصميم البنية التحتية بحيث يكون هناك لا توجد نقطة فشل واحدة (NSPOF)مما يعني أن النظام قادر على مقاومة فشل أي مكون. لنأخذ المثال التالي: تتم خدمة مراكز البيانات لدينا من قبل اثنين من موفري خدمة الإنترنت المستقلين (ISP)، على طرفين متقابلين من المبنى. إذا تعرضت الألياف للتلف بسبب أعمال البناء الجارية في أحد أجزاء المبنى، فسيتم توجيه البيانات ببساطة عبر مزود خدمة الإنترنت الآخر. تعد الصيانة الخالية من الأعطال ميزة أخرى تعمل على تحسين التوافر. نظرًا لوجود مثيلين على الأقل لجميع مكونات برنامج Ledger Recover، يمكننا إعادة تكوين النظام لاستخدام المثيل A فقط أثناء استبدال/ترقية/إصلاح المثيل B.

وصول إداري محدود إلى تطبيقات Ledger Recover

فقط يتم منح مجموعة مخفضة من المستخدمين حق الوصول الإداري إلى الموارد المخصصة لـ Ledger Recover. كلما كانت قائمة المستخدمين أقصر، كلما تمكنا من تقليل مخاطر حصول التهديدات الداخلية على حق الوصول الإداري.

مراكز البيانات المادية المؤمنة

تتم استضافة وحدات HSM الخاصة بموفري النسخ الاحتياطي زائدة جغرافيا مراكز البيانات الفعلية، محمية من التهديدات المادية والافتراضية باستخدام التقنيات والإجراءات الأمنية على مستوى الصناعة. ويضمن مستوى الحماية الجسدية عدم تمكن أي فرد غير مصرح له من الابتعاد عن طريق الخطأ حاملاً جهاز HSM. إن الاعتماد على مراكز البيانات عبر مواقع متعددة يعني أنه إذا واجه موقع واحد مشكلة، فيمكن لموقع آخر أن يتولى المهمة، مما يوفر ذلك توافر الخدمة دون انقطاع. وأخيرًا وليس آخرًا، فإن إدارة وحدات HSM الخاصة بنا تمنحنا ذلك السيطرة على من لديه حق الوصول لهم وما هو الكود الذي تم نشره عليها.

عزل موارد استرداد دفتر الأستاذ

يتم عزل جميع موارد Ledger Recover عن أي موارد أخرى ضمن موفري خدمة Ledger Recover، بما في ذلك Coincover وLedger. هذا العزل ضروري لضمان قدرتنا على احتواء الهجمات المحتملة من شريحة شبكة واحدة بهدف استغلال موارد شرائح الشبكة الأخرى.

يتم ضمان الأمان على مستوى الكود عبر ركائز متعددة

• نستخدم الماسحات الضوئية رمز لمساعدتنا في تحديد نقاط الضعف ومعالجتها في وقت مبكر، ومنعها من شق طريقها إلى الإنتاج.
• رمز is استعرض ووافق by فريق مستقل من تطوير Ledger Recover. يعد هذا الفصل إجراءً آخر للمساعدة في تحسين جودة التعليمات البرمجية بشكل عام من خلال اكتشاف العيوب المنطقية التي قد تؤدي إلى مخاوف أمنية.
• رمز وحدات حرجة من استرداد دفتر الأستاذ هو تم التوقيع باستخدام توقيع التشفير. يتم إنشاء التوقيع جزئيًا بناءً على محتوى الكود، مما يمنع نشر الكود الذي تم العبث به عن طريق مقارنة التوقيع بقيمته المتوقعة. يتم إجراء فحص الأمان هذا قبل تنفيذ التعليمات البرمجية.

التحكم في حركة مرور الشبكة

يتم التحكم بإحكام في حركة مرور الشبكة من خلال السياسات التي تحدد قواعد تدفقات حركة المرور لجميع موفري النسخ الاحتياطي الثلاثة. بواسطة تحديد قواعد حركة المرور المسموح بها والمحظورة، فنحن نحد من سطح الهجوم ونقلل من مخاطر الوصول غير المصرح به. كما أن تقييد الاتصال بين الخدمات الفردية يضمن أن تكون الحركة الجانبية للمهاجم محدودة، حتى لو تم اختراق أحد المكونات. بالإضافة إلى ذلك، نحن نطبق مصادقة TLS (mTLS) المتبادلة لمنع هجمات Man-in-the-Middle (MiM). ومن خلال التحقق من هوية الطرفين بالشهادات، تضمن TLS المتبادلة ذلك يمكن للكيانات الموثوقة فقط إنشاء اتصال آمن.

دوران المفتاح

التشفير مفاتيح (تستخدم، على سبيل المثال، لتشفير البيانات أو الاتصالات). تغيرت بانتظام بما يتماشى مع أفضل ممارسات التشفير. وتتمثل ميزة ذلك في أنه في حالة تعرض المفتاح للخطر، فإن الملف الضرر محدود إلى الوقت بين الدورات وإلى البيانات المشفرة بالمفتاح القديم.

أمن حركة المرور الصادرة

تقتصر حركة المرور الصادرة على النطاقات المعروفة وعناوين IP فقط (موفرو النسخ الاحتياطي ومقدمو الخدمات). يعد الحد من حركة المرور الصادرة ومراقبتها وسيلة لتحقيق ذلك البقاء في حالة تأهب لتسرب البيانات المحتملة. إذا كان حجم تدفقات البيانات الصادرة أعلى من المتوقع، فقد يكون هناك جهة فاعلة ضارة تستخرج بيانات حساسة من نظام Ledger Recover على نطاق واسع. 

أمن حركة المرور الواردة

تتم حماية حركة المرور الواردة من خلال مجموعة من تقنيات مكافحة DDoS وتصفية تطبيقات الويب (WAF) وتقنيات تصفية IP. تتسبب هجمات حجب الخدمة الموزعة (DDoS) في إحداث ضرر من خلال إغراق نظامها المستهدف بالطلبات. الحد من عدد الطلبات الواردة هو إجراء معروف ضد مثل هذه الهجمات. الآن، ليست كل الهجمات تتعلق بالكمية، وبعضها يتعلق بالجودة. هذا هو المكان الذي يلعب فيه WAF. WAF ينظر إلى الطلبات الواردة و يتفقد سلوكهم المقصود: إذا كان الطلب يهدف إلى الوصول غير المصرح به أو معالجة البيانات، يقوم عامل التصفية بحظر الطلب. أخيرًا، تستخدم تصفية IP التقنية المزدوجة المتمثلة في أ) هيتليستينغ، أي السماح حركة المرور فقط من عناوين IP محددة أو النطاقات، و ب) القائمة السوداء، أي الحجب حركة المرور من عناوين IP للمهاجمين المعروفين.       

إدارة الضعف

يتم تشغيل مكونات البنية التحتية لـ Ledger Recover بشكل مستمر ومنتظم الممسوحة ضوئيا لنقاط الضعف المعروفة والتكوين الخاطئويتم تطبيق التصحيحات/التحديثات بانتظام. ويساعد ذلك في الاستجابة للأنواع الجديدة من التهديدات عند ظهورها والحفاظ على إجراءات الأمان محدثة وذات مستوى عالمي.

فصل المهمات

يعد الفصل بين الواجبات جوهر الإستراتيجية الأمنية لـ Ledger Recover. 

الفصل بين الواجبات المختلفة موفري النسخ الاحتياطي (الجزء 3) و مزود IDVتم وصف s (الجزء 4) في المشاركات السابقة. ولعلك تتذكر أن هناك:

• 3 مشاركات من عبارة الاسترداد السرية تتم إدارتها بواسطة 3 موفري نسخ احتياطي مستقلين (مع تنويع قاعدة البيانات في الأعلى لمنع التواطؤ)
• 2 من مدققي الهوية المستقلين (موفرو IDV)

وعلى مستوى البنية التحتية، فصل المهمات يتم تطبيقه بين الأدوار المختلفة المشاركة في تطوير وتشغيل Ledger Recover.

وبالإضافة إلى ذلك، فإننا نجمع بين فصل الواجبات و مبدأ "الامتياز الأقل".. "الامتياز الأقل" هو المبدأ المطبق على مشغلي النظام ومسؤوليه: يتم منحهم الحقوق للقيام فقط بما يحتاجون إلى القيام بهوالتأكد من حصولهم على أدنى مستوى من الإذن المطلوب لأداء واجباتهم. 

وذلك عندما يتم دمج "الامتياز الأقل" مع "فصل الواجبات", يتم تخصيص أدوار إدارية مختلفة لأشخاص مختلفين بحيث لا يمكن لأي شخص أن يلحق الضرر/المساس بسرية أو سلامة أي مكون من مكونات النظام. على سبيل المثال، لا يتمتع مطورو كود Ledger Recover بإمكانية الوصول إلى النظام الذي يقوم بتشغيل الكود الذي كتبوه.

الحوكمة: النصاب القانوني

على غرار آليات توافق Blockchains التي تضمن النزاهة والأمن من خلال قيام العديد من الجهات الفاعلة بالتحقق من الكتل، فقد اعتمدنا النصاب القانوني داخل نظام Ledger Recover لتعزيز أمننا التشغيلي.

على الرغم من فحوصاتنا القوية لخلفية موظفينا، تظل الحقيقة هي أن البشر يمكن أن يكونوا حلقة ضعيفة في أي نظام، والفضاء المشفر ليس استثناءً. حوادث أمنية رفيعة المستوى، مثل اختراق جبل جوكس 2014يوضح كيف يمكن استغلال الأفراد أو التسبب في ثغرات أمنية. يمكن التأثير على الأشخاص أو إكراههم من خلال دوافع مختلفة - المال، والأيديولوجية، والإكراه، والأنا (ويعرف أيضًا باسم MICE(S)) - مما يجعل حتى عمليات فحص الخلفية الأكثر صرامة ليست مضمونة تمامًا.

وللتخفيف من هذه المخاطر، نستخدم نظامًا يعتمد على مفهوم النصاب القانوني. يتطلب إطار العمل هذا إجماع ما لا يقل عن ثلاثة أفراد معتمدين من فرق أو أقسام مختلفة داخل موفري النسخ الاحتياطي قبل اتخاذ أي قرارات مهمة أو إجراءات حاسمة. 

لا يزال العدد الدقيق للأشخاص المشاركين في نصابنا المختلفة غير معلن لأسباب أمنية. ومع ذلك، فإن مجرد وجودها يعزز إلى حد كبير أمننا التشغيلي من خلال إضعاف التأثير المحتمل لأي فرد معرض للخطر.

فيما يلي بعض الأنشطة التي نستخدم فيها النصاب القانوني:

1. إنشاء المفاتيح الخاصة لـ Ledger Recover HSMs: تتم حماية هذه العملية الهامة من خلال النصاب القانوني المستقل داخل كل كيان - Coincover وEscrowTech وLedger. ويجب أن يكون كل عضو في هذه النصاب القانوني المميز حاضرًا لإنشاء مفاتيح خاصة في وحدات HSM الخاصة به. يتمتع كل عضو في النصاب القانوني بحق الوصول إلى مفتاح النسخ الاحتياطي، وهو أمر بالغ الأهمية لاستعادة وتجديد أسرار HSM الخاصة بهم إذا لزم الأمر. لا يحمي هذا الهيكل فقط من مخاطر أي شخص له تأثير غير ضروري على أحد وحدات HSM الخاصة بموفري النسخ الاحتياطي الثلاثة، ولكنه يعزز أيضًا سلامة النظام بشكل عام حيث يعمل كل نصاب بشكل مستقل ولا يكون على علم بخصائص الآخر.

2. اتخاذ قرار بالإفراج الاستثنائي عن حصة العميل: قد تتطلب حالات معينة، وإن كانت نادرة، الإفراج الاستثنائي عن حصة العميل. قد يكون ذلك بسبب فشل التحقق من الهوية (تغيير الاسم، والتشوه الجسدي، وما إلى ذلك)، أو إذا كانت إجراءاتنا الأمنية غير المعلنة تحظر بشكل غير صحيح أحد الأجهزة في القائمة السوداء. عندما ينشأ مثل هذا الموقف، يأتي النصاب القانوني الذي يتكون من عدة أفراد من موفري النسخ الاحتياطي معًا. ويضمن هذا الإجراء، الذي يتطلب إجماعًا واسع النطاق، عدم اتخاذ القرارات على عجل أو من جانب واحد، وبالتالي تعزيز أمن العملاء. يستخدم كل عضو في النصاب جهاز Ledger Nano الخاص به (مع رقم التعريف الشخصي الخاص به) للموافقة على الإصدار، مما يضيف طبقة أخرى من الأمان ضد التواطؤ المحتمل أو الأخطاء الفردية.

3. توقيع تحديث رمز البرنامج الثابت HSM: قبل نشر تحديث برنامج ثابت جديد إلى وحدات HSM، يقوم فريق أمان المنتج لدينا، Ledger Donjon، بإجراء عملية مراجعة شاملة. كونه جزءًا من نصاب البرنامج الثابت، يضمن Ledger Donjon عدم إدخال أي أبواب خلفية أو تعليمات برمجية ضارة بواسطة أحد المطلعين الضارين أو خط أنابيب تطوير مخترق عبر هجوم سلسلة التوريد. وبهذه الطريقة، يحافظون على سلامة تحديث البرنامج الثابت وأمانه.

4. تحديث رمز البرنامج الثابت لأجهزة دفتر الأستاذ (Nano & Stax): تمامًا مثل البرامج الثابتة الخاصة بوحدات HSM، تمر تحديثات البرامج الثابتة لجهاز Ledger بعملية مراجعة صارمة وتتطلب موافقة النصاب القانوني قبل أن يتم اقتراحها على مستخدمينا عبر Ledger Live.

في الختام، تعد النصاب القانوني جزءًا لا يتجزأ من البنية الأمنية لـ Ledger Recover. إنهم يلعبون دورًا مهمًا في تحصين الدفاعات ضد التهديدات المارقة الداخلية والتواطؤ أثناء العمليات الحيوية. من خلال الاستفادة من أعلى مستويات الأمان لأجهزة وخدمات Ledger، تساعد النصاب القانوني على ضمان الثقة وحماية الأصول الرقمية للمستخدمين ضد المطلعين الضارين.

مراقبة المكونات والعمليات الهامة

بينما نتعمق في هذا الفصل، من المهم ملاحظة أنه لأسباب أمنية، فإننا نكشف فقط عن مجموعة فرعية من أنشطة المراقبة الشاملة لخدمة Ledger Recover. وبينما نتمسك بالتزامنا بالشفافية، فإننا ندرك أيضًا أهمية الحفاظ على حرية التصرف بشأن تفاصيل الضوابط الداخلية ومراقبة الأمن التشغيلي.

في Ledger، الأمان هو أولويتنا. إنه جوهر حلولنا، المبنية على بروتوكولات تشفير قوية كما هو مفصل في موقعنا دفتر الأستاذ استعادة الورقة البيضاء. لكن عملنا يستمر إلى ما هو أبعد من إنشاء الأنظمة الآمنة. نحن نقوم بمراقبة وتقييم عملياتنا باستمرار، بحثًا عن أي أنشطة مشبوهة. وتعزز هذه اليقظة المستمرة موقفنا الأمني، مما يضمن استعدادنا الدائم للرد. 

دعونا نستكشف بعض الأمثلة على نهجنا متعدد الطبقات:

مراقبة أنشطة المسؤول: نحن نفرض رقابة صارمة على الوصول للمسؤولين لدينا. لا نطلب فقط 2FA (المصادقة الثنائية) لجميع الاتصالات الإدارية بالبنية التحتية لدينا، ولكننا نفرض أيضًا التحقق من صحة عدة أشخاص للوصول إلى البنية التحتية للمسؤول في الأجزاء المهمة من النظام. علاوة على ذلك، تقوم أنظمتنا بتسجيل وتتبع كل نشاط إداري بدقة. تتم إحالة هذه السجلات تلقائيًا إلى أنظمة التذاكر الداخلية لدينا لاكتشاف أي إجراءات غير مخطط لها. يتيح لنا هذا الارتباط الحذر تنبيه فرق الأمن لدينا على الفور بشأن أي سلوك غير عادي أو مشبوه، مما يعزز أمننا التشغيلي.

التحكم المتبادل بين موفري النسخ الاحتياطي: تشكل الشفافية والمساءلة أساس العلاقات بين موفري النسخ الاحتياطي، Ledger، وEscrowTech، وCoincover. لقد أنشأنا تبادلًا فوريًا للسجلات المستخدمة لمراقبة النظام وأمانه. وهذا يتيح التحقق المتبادل من الأنشطة. إذا تم اكتشاف أي عدم اتساق، فسيتم قفل الخدمة على الفور لحماية أصول المستخدمين.

الإشراف على نشاط الإصدار الاستثنائي: يتم التحكم بدقة في الحالات النادرة لإصدارات المشاركة اليدوية من خلال عملية متعددة النصاب كما أوضحنا في القسم السابق. بعد تنفيذ نشاط الإصدار الاستثنائي، تشرع أنظمة Ledger Recover في المراقبة الشاملة، بما في ذلك التسجيل التفصيلي والتحليل للأطراف المعنية ووقت التشغيل والتفاصيل الأخرى ذات الصلة. تضمن هذه العملية، التي تتضمن التنفيذ متعدد النصاب والمراقبة اللاحقة للإجراء، أن يتم التحكم بإحكام في الإصدار الاستثنائي للأسهم في جميع مراحل عملية صنع القرار.

الاستفادة من المعلومات الأمنية وإدارة الأحداث (SIEM): يشكل حل SIEM جزءًا مهمًا من إستراتيجية مراقبة Ledger Recover. يعمل SIEM المخصص هذا على تحسين القدرة على تحديد المشكلات الأمنية المحتملة والاستجابة لها في الوقت الفعلي. لقد تم ضبطه بدقة لتحديد مجموعة متنوعة من مؤشرات الاختراق (IoCs) استنادًا إلى سجلات المجموعة وتطبيقات Ledger Recover، وذلك بفضل قواعد الكشف المحددة التي تم تطويرها خصيصًا لخدمة Ledger Recover. إذا تم اكتشاف IoC مخصص، فستكون الاستجابة تلقائية وفورية - يتم قفل المجموعة بأكملها حتى يتم إجراء تحليل شامل. في خدمة Ledger Recover، يتم إعطاء الأولوية للسرية على مدى توفر الخدمة لضمان أقصى قدر من الحماية لأصول المستخدمين.

في المشهد الديناميكي للأمن السيبراني، قمنا بوضع الاستراتيجيات والاستعداد لسيناريوهات مختلفة. يمثل نموذج التهديد الخاص بنا الموقف غير المحتمل حيث قد يتم اختراق العديد من مسؤولي البنية التحتية من موفري النسخ الاحتياطي المختلفين. ومع وجود ضمانات صارمة واستجابات تلقائية، تهدف خدمة Ledger Recover إلى ضمان استمرار أمان أصول المستخدمين حتى في مثل هذه الظروف الاستثنائية. في القسم التالي، سنوضح إجراءات الاستجابة الشاملة المصممة لمعالجة مثل هذه المواقف الافتراضية.

الاستجابة للحوادث الخاصة باسترداد دفتر الأستاذ

من خلال خدمة Ledger Recover، تم إنشاء إستراتيجية الاستجابة للحوادث، وتم تصميمها بشكل تعاوني مع موفري النسخ الاحتياطي الثلاثة. الجزء المركزي من هذه الإستراتيجية هو الضمانات التلقائية التي تعمل على قفل النظام بأكمله على الفور عند اكتشاف نشاط مشبوه في أي جزء من البنية التحتية. 

في جوهر الأمر، تم تصميم بروتوكول "آمن دائمًا، لا آسف أبدًا" في خدمة Ledger Recover. الأمن هو الأولوية الأولى، وهو التزام لن يتم التنازل عنه أبدًا. 

بينما نسعى باستمرار لتوفير تجربة مستخدم سلسة لضم 100 مليون شخص قادمين إلى Web3، فإننا لن نتردد أبدًا في تفعيل هذه الضمانات، تأمين خدمة Ledger Recover بأكملها بشكل فعال، في حالة ظهور تهديد محتمل. في مهمتنا للحماية، يكون الاختيار بين تشغيل خدمة يحتمل أن تكون معرضة للخطر وضمان الأمان النهائي أمرًا واضحًا - فنحن نختار الأمان.

وفي الختام

نحن هنا في نهاية الجزء المتعلق بالأمن التشغيلي من هذه السلسلة. في هذا الجزء، حاولنا الإجابة على أي مخاوف قد تكون لديك فيما يتعلق بكيفية ضمان عدم إمكانية اختراق الإجراءات الأمنية لنظام Ledger Recover. تحدثنا عن البنية التحتية، وفصل الواجبات، والحوكمة والمراقبة، وأخيرًا استراتيجية الاستجابة للحوادث. 

شكرًا لك مرة أخرى على القراءة حتى هذه النقطة! يجب أن يكون لديك الآن فهم شامل للأمن التشغيلي لـ Ledger Recover. سيتناول الجزء الأخير من سلسلة منشورات المدونة هذه آخر المخاوف الأمنية التي كانت لدينا، وبشكل أكثر دقة: كيف قمنا بإدارة عمليات تدقيق الأمان الداخلية والخارجية لدينا من أجل ضمان أقصى مستوى من الأمان لمستخدمينا؟ ابقوا متابعين! 

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
• أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
• أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
• أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
• المصدر https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security