Teil 5: Entstehung der Ledger-Wiederherstellung – Betriebssicherheit | Hauptbuch

Bisher haben wir in Teil 1 und 2 gezeigt, wie Ledger Recover funktioniert teilt Ihr Saatgut in Anteile auf und sendet diese Freigaben sicher zu Freunde vertrauenswürdige Backup-Anbieter. In Teil 3 haben wir gezeigt, wie es geht speichert (und stellt) die Anteile Ihres Saatguts sicher wieder her, geschützt durch Hardware-Verschlüsselung, an Ihre Identität gebunden und diversifiziert. In Teil 4 haben wir untersucht, wie Ledger Recover das schafft Geben Sie nur Ihnen Zugriff auf Ihr Backup.

Nun ist es an der Zeit, einen genaueren Blick darauf zu werfen, wie wir auf betrieblicher Ebene für maximale Sicherheit sorgen. Auf einen Blick wird Betriebssicherheit erreicht durch:

• Stärkung der Infrastruktur, die Ledger Recover zugrunde liegt,
• Anwendung der Aufgabentrennung auf die verschiedenen Betreiber von Ledger Recover,
• Überwachung kritischer Komponenten und Vorgänge,
• Implementierung einer wiederherstellungsspezifischen Reaktion auf Vorfälle.

Lassen Sie uns näher auf die Bedeutung jedes dieser Elemente eingehen.

Härtung der Infrastruktur

Die Härtung der Infrastruktur hat viele Formen. Es handelt sich um eine 360°-Übung, die ein breites Spektrum an Aktivitäten umfasst, die auf einer gründlichen Analyse der Sicherheitsrisiken basieren. Es beginnt in der Regel mit der Pflege eines Katalogs von Angriffsszenarien, die zu Sicherheitsproblemen führen können (z. B. Datenlecks, Identitätsdiebstahl von Clients, der zur unbefugten Wiederherstellung von Freigaben führt, nicht reagierende Systeme und Dienstunterbrechungen). Die Prävention dieser Probleme auf betrieblicher Ebene umfasst Aktivitäten wie Ressourcenisolation, Systemzugriffsregulierung, Netzwerkverkehrskontrolle, Schwachstellenmanagement und vieles mehr.

Hier ist ein Überblick über unsere wichtigsten Maßnahmen zur Stärkung der Infrastruktur von Ledger Recover:

Serviceverfügbarkeit

Die Infrastruktur ist so konzipiert, dass sie vorhanden ist kein Single Point of Failure (NSPOF)Dies bedeutet, dass das System gegenüber dem Ausfall einer beliebigen Komponente widerstandsfähig ist. Nehmen wir das folgende Beispiel: Unsere Rechenzentren werden von zwei unabhängigen Internetdienstanbietern (ISPs) an zwei gegenüberliegenden Enden des Gebäudes bedient. Sollte die Glasfaser durch laufende Bauarbeiten in einem Teil des Gebäudes beschädigt werden, werden die Daten einfach über den anderen ISP weitergeleitet. Ein weiterer Vorteil, der die Verfügbarkeit erhöht, ist die störungsfreie Wartung. Vorausgesetzt, dass es mindestens zwei Instanzen aller Softwarekomponenten von Ledger Recover gibt, können wir das System so neu konfigurieren, dass es nur Instanz A verwendet, während Instanz B ersetzt/aktualisiert/repariert wird.

Eingeschränkter Administratorzugriff auf Ledger Recover-Anwendungen

Nur ein Einer reduzierten Anzahl von Benutzern wird Administratorzugriff gewährt zu den Ressourcen, die Ledger Recover gewidmet sind. Je kürzer die Benutzerliste, desto mehr können wir das Risiko verringern, dass Insider-Bedrohungen Administratorzugriff erhalten.

Gesicherte physische Rechenzentren

Die HSMs der Backup-Anbieter werden in gehostet geografisch überflüssig physische Rechenzentren, geschützt vor physischen und virtuellen Bedrohungen Sicherheitstechniken und -verfahren auf Industrieniveau. Der Grad des physischen Schutzes stellt sicher, dass keine unbefugte Person unbemerkt mit einem HSM davonlaufen kann. Wenn man sich auf Rechenzentren an mehreren Standorten verlässt, bedeutet das, dass, wenn an einem Standort ein Problem auftritt, ein anderer Standort die Bereitstellung übernehmen kann ununterbrochene Serviceverfügbarkeit. Nicht zuletzt bietet uns die Verwaltung unserer eigenen HSMs Vorteile Kontrolle darüber, wer Zugriff hat zu ihnen und welcher Code bereitgestellt wird auf sie.

Isolierung der Ledger Recover-Ressourcen

Alle Ledger Recover-Ressourcen sind von allen anderen Ressourcen innerhalb der Dienstleister von Ledger Recover, einschließlich Coincover und Ledger, isoliert. Diese Isolierung ist erforderlich, um sicherzustellen, dass wir potenzielle Angriffe von einem Netzwerkabschnitt eindämmen können, die darauf abzielen, Ressourcen anderer Netzwerkabschnitte auszunutzen.

Sicherheit auf Codeebene wird über mehrere Säulen gewährleistet

• Wir verwenden Codescanner Dies hilft uns, Schwachstellen frühzeitig zu erkennen und zu beheben und so zu verhindern, dass sie in die Produktion gelangen.
• Code is bewertet und genehmigt by ein unabhängiges Team derjenige, der Ledger Recover entwickelt. Diese Trennung ist eine weitere Maßnahme zur Verbesserung der allgemeinen Codequalität, indem logische Fehler erkannt werden, die zu Sicherheitsbedenken führen könnten.
• Der Code der kritische Module von Ledger Recover ist mit einer kryptografischen Signatur signiert. Die Signatur wird teilweise basierend auf dem Inhalt des Codes generiert und verhindert so die Bereitstellung von manipuliertem Code, indem die Signatur mit ihrem erwarteten Wert verglichen wird. Diese Sicherheitsüberprüfung wird durchgeführt, bevor der Code ausgeführt wird.

Kontrolle des Netzwerkverkehrs

Der Netzwerkverkehr wird durch Richtlinien streng kontrolliert, die Regeln für den Verkehrsfluss für alle drei Backup-Anbieter definieren. Von Definieren von Regeln für erlaubten und verweigerten DatenverkehrWir begrenzen die Angriffsfläche und reduzieren das Risiko unbefugter Zugriffe. Außerdem stellt die Einschränkung der Kommunikation zwischen einzelnen Diensten sicher, dass die Die seitliche Bewegung des Angreifers ist begrenzt, selbst wenn eine Komponente beeinträchtigt ist. Darüber hinaus nutzen wir die gegenseitige TLS-Authentifizierung (mTLS), um Man-in-the-Middle-Angriffe (MiM) zu verhindern. Durch die Überprüfung der Identität beider Parteien mit Zertifikaten stellt gegenseitiges TLS dies sicher Nur vertrauenswürdige Einheiten können eine sichere Verbindung herstellen.

Schlüsseldrehung

Verschlüsselung Tasten (z. B. zur Verschlüsselung von Daten oder Kommunikation verwendet) sind regelmäßig gewechselt im Einklang mit den Best Practices der Kryptographie. Dies hat den Vorteil, dass, wenn ein Schlüssel kompromittiert wird, der Der Schaden hält sich in Grenzen auf die Zeit zwischen den Rotationen und auf die mit dem alten Schlüssel verschlüsselten Daten.

Sicherheit des ausgehenden Datenverkehrs

Ausgehender Datenverkehr ist nur auf bekannte Domänen und IP-Adressen beschränkt (Backup-Anbieter, Dienstanbieter). Die Begrenzung und Überwachung des ausgehenden Datenverkehrs ist eine Möglichkeit Bleiben Sie auf der Hut vor möglichen Datenlecks. Wenn das Volumen der ausgehenden Datenflüsse höher ist als erwartet, könnte ein böswilliger Akteur in erheblichem Umfang sensible Daten aus dem Ledger Recover-System extrahieren. 

Sicherheit des eingehenden Datenverkehrs

Eingehender Datenverkehr wird durch eine Kombination aus Anti-DDoS-, Web Application Filtering (WAF)- und IP-Filtertechniken geschützt. Distributed-Denial-of-Service-Angriffe (DDoS) richten Schaden an, indem sie ihr Zielsystem mit Anfragen überfluten. Begrenzung der Anzahl eingehender Anfragen ist eine bekannte Maßnahme gegen solche Angriffe. Nun geht es nicht bei allen Angriffen um Quantität, bei einigen geht es um Qualität. Hier kommt WAF ins Spiel. WAF schaut sich eingehende Anfragen an und überprüft ihr beabsichtigtes Verhalten: Wenn die Anfrage darauf abzielt, sich unbefugten Zugriff zu verschaffen oder Daten zu manipulieren, blockiert der Filter die Anfrage. Schließlich verwendet die IP-Filterung die doppelte Technik von a) Whitelisting, das heißt, erlauben Datenverkehr nur von bestimmten IP-Adressen oder Bereiche und b) Blacklisting, also blockierend Datenverkehr von bekannten Angreifer-IPs.       

Schwachstellenmanagement

Die Komponenten der Ledger Recover-Infrastruktur werden kontinuierlich und systematisch aktualisiert gescannt auf bekannte Schwachstellen und Fehlkonfigurationenund Patches/Updates werden regelmäßig angewendet. Dies erleichtert die Reaktion auf neu auftretende Bedrohungstypen und sorgt dafür, dass die Sicherheitsmaßnahmen auf dem neuesten Stand und auf Weltklasseniveau bleiben.

Aufgabentrennung

Die Aufgabentrennung ist der Kern der Sicherheitsstrategie von Ledger Recover. 

Die Aufgabentrennung zwischen den verschiedenen Backup-Anbieter (Teil 3) und IDV-Anbieters (Teil 4) wurde in den vorherigen Beiträgen beschrieben. Sie erinnern sich vielleicht, dass es Folgendes gibt:

• 3 Anteile der Secret Recovery Phrase, verwaltet von 3 unabhängigen Backup-Anbietern (mit zusätzlicher Datenbankdiversifizierung, um Absprachen zu verhindern)
• 2 unabhängige Identitätsvalidatoren (IDV-Anbieter)

Auf der Infrastrukturebene Aufgabentrennung wird angewandt zwischen den verschiedenen Rollen, die an der Entwicklung und dem Betrieb von Ledger Recover beteiligt sind.

Darüber hinaus verbinden wir die Funktionstrennung mit der „Least Privilege“-Prinzip. „Least Privilege“ ist das Prinzip, das für Systembetreiber und Administratoren gilt: Ihnen wird das Recht eingeräumt, nur das zu tun, was sie tun müssen, um sicherzustellen, dass ihnen die niedrigste Erlaubnisstufe erteilt wird, die für die Ausübung ihrer Aufgaben erforderlich ist. 

Also, wenn „geringstes Privileg“ wird mit „Aufgabentrennung“ kombiniert, Verschiedenen Personen werden verschiedene Admin-Rollen zugewiesen damit keine einzelne Person die Vertraulichkeit oder Integrität einer Systemkomponente beschädigen/gefährden kann. Beispielsweise haben Entwickler von Ledger Recover-Code keinen Zugriff auf das System, auf dem der von ihnen geschriebene Code ausgeführt wird.

Governance: Kollegien

Ähnlich wie die Konsensmechanismen von Blockchains, die Integrität und Sicherheit gewährleisten, indem mehrere Akteure Blöcke überprüfen, haben wir im Ledger Recover-System ein Quorum eingeführt, um unsere Betriebssicherheit zu verbessern.

Trotz unserer strengen Hintergrundüberprüfungen für unsere Mitarbeiter bleibt die Tatsache bestehen, dass Menschen ein schwaches Glied in jedem System sein können, und die Kryptosphäre bildet da keine Ausnahme. Aufsehen erregende Sicherheitsvorfälle wie der Mt. Gox-Hack von 2014, zeigen, wie Einzelpersonen ausgebeutet werden oder zu Sicherheitslücken führen können. Menschen können durch verschiedene Motivationen – Geld, Ideologie, Zwang, Ego (auch bekannt als MICE(S)) – beeinflusst oder gezwungen werden, was selbst die strengsten Hintergrundüberprüfungen nicht völlig narrensicher macht.

Um solche Risiken zu mindern, verwenden wir ein System, das auf dem Konzept eines Quorums basiert. Dieses Rahmenwerk erfordert den Konsens von mindestens drei autorisierten Personen aus verschiedenen Teams oder Abteilungen bei Backup-Anbietern, bevor wichtige Entscheidungen oder kritische Maßnahmen getroffen werden können. 

Die genaue Anzahl der in unseren verschiedenen Kollegien beteiligten Personen wird aus Sicherheitsgründen nicht bekannt gegeben. Dennoch erhöht seine bloße Existenz unsere Betriebssicherheit erheblich, indem es den potenziellen Einfluss jedes einzelnen gefährdeten Individuums abschwächt.

Hier sind einige der Aktivitäten, bei denen wir Quoren nutzen:

1. Generieren der privaten Schlüssel für Ledger Recover HSMs: Dieser wichtige Vorgang wird durch unabhängige Quoren innerhalb jeder Einheit – Coincover, EscrowTech und Ledger – geschützt. Jedes Mitglied dieser unterschiedlichen Quoren muss anwesend sein, um private Schlüssel in seinen jeweiligen HSMs zu generieren. Jedes Quorummitglied hat Zugriff auf einen Sicherungsschlüssel, der für die Wiederherstellung und Regenerierung seiner HSM-Geheimnisse bei Bedarf von entscheidender Bedeutung ist. Diese Struktur schützt nicht nur vor dem Risiko, dass eine Person unzulässigen Einfluss auf eines der drei Backup-Provider-HSMs hat, sondern verbessert auch die Gesamtsystemintegrität, da jedes Quorum unabhängig arbeitet und die Besonderheiten des anderen nicht kennt.

2. Entscheidung über eine außerordentliche Freigabe eines Kundenanteils: Bestimmte, wenn auch seltene Situationen können eine außergewöhnliche Freigabe des Anteils eines Kunden erfordern. Dies kann auf Fehler bei der Identitätsüberprüfung (Namensänderung, physische Entstellung usw.) oder darauf zurückzuführen sein, dass unsere nicht offengelegten Sicherheitsmaßnahmen ein Gerät fälschlicherweise auf die schwarze Liste gesetzt haben. Wenn eine solche Situation eintritt, kommt ein Quorum zusammen, das aus mehreren Personen der Backup-Anbieter besteht. Dieses Vorgehen, das einen breiten Konsens erfordert, stellt sicher, dass Entscheidungen nicht voreilig oder einseitig getroffen werden, und erhöht so die Sicherheit der Kunden. Jedes Mitglied des Quorums verwendet sein Ledger Nano-Gerät (mit seiner eigenen PIN), um die Veröffentlichung zu genehmigen, was eine weitere Sicherheitsebene gegen mögliche Absprachen oder individuelle Fehler bietet.

3. Signieren des HSM-Firmware-Code-Updates: Bevor ein neues Firmware-Update auf den HSMs bereitgestellt wird, führt unser Produktsicherheitsteam, der Ledger Donjon, einen umfassenden Überprüfungsprozess durch. Als Teil des Firmware-Quorums stellt der Ledger Donjon sicher, dass keine Hintertüren oder bösartiger Code durch einen böswilligen Insider oder eine kompromittierte Entwicklungspipeline durch einen Lieferkettenangriff eingeführt wurden. Auf diese Weise wahren sie die Integrität und Sicherheit des Firmware-Updates.

4. Firmware-Code-Update für Signing-Ledger-Geräte (Nano und Stax): Ähnlich wie die Firmware für die HSMs durchlaufen Aktualisierungen der Firmware unseres Ledger-Geräts einen strengen Prüfprozess und erfordern die Genehmigung des Quorums, bevor sie unseren Benutzern über Ledger Live vorgeschlagen werden.

Zusammenfassend lässt sich sagen, dass Quoren ein integraler Bestandteil der Sicherheitsarchitektur von Ledger Recover sind. Sie spielen eine wichtige Rolle bei der Stärkung der Verteidigung gegen interne Bedrohungen und Absprachen bei lebenswichtigen Operationen. Durch die Nutzung der erstklassigen Sicherheit von Ledger-Geräten und -Diensten tragen Quoren dazu bei, Vertrauen zu gewährleisten und die digitalen Vermögenswerte der Benutzer vor böswilligen Insidern zu schützen.

Überwachung kritischer Komponenten und Vorgänge

Während wir uns mit diesem Kapitel befassen, ist es wichtig zu beachten, dass wir aus Sicherheitsgründen nur einen Teil der umfangreichen Überwachungsaktivitäten für den Ledger Recover-Dienst offenlegen. Während wir zu unserer Verpflichtung zur Transparenz stehen, sind wir uns auch darüber im Klaren, wie wichtig es ist, bei den Einzelheiten der internen Kontrollen und Überwachung für die Betriebssicherheit Diskretion zu wahren.

Bei Ledger hat Sicherheit für uns Priorität. Es ist der Kern unserer Lösungen, die auf robusten kryptografischen Protokollen basieren, wie in unserer ausführlich beschrieben Whitepaper zur Ledger-Wiederherstellung. Aber unsere Arbeit geht über die Schaffung sicherer Systeme hinaus. Wir überwachen und bewerten unsere Abläufe ständig und suchen nach verdächtigen Aktivitäten. Diese kontinuierliche Wachsamkeit stärkt unsere Sicherheitshaltung und stellt sicher, dass wir jederzeit reaktionsbereit sind. 

Sehen wir uns einige Beispiele unseres vielschichtigen Ansatzes an:

Überwachung der Administratoraktivitäten: Wir erzwingen eine strenge Zugriffskontrolle für unsere Administratoren. Wir verlangen nicht nur 2FA (Zwei-Faktor-Authentifizierung) für alle administrativen Verbindungen zu unserer Infrastruktur, sondern schreiben auch eine Validierung durch mehrere Personen für den Administrator-Infrastrukturzugriff auf kritische Teile des Systems vor. Darüber hinaus protokollieren und verfolgen unsere Systeme sorgfältig alle Verwaltungsaktivitäten. Diese Protokolle werden automatisch mit unseren internen Ticketsystemen abgeglichen, um ungeplante Aktionen zu erkennen. Diese sorgfältige Korrelation ermöglicht es uns, unsere Sicherheitsteams umgehend über ungewöhnliches oder verdächtiges Verhalten zu informieren und so unsere Betriebssicherheit zu stärken.

Kreuzkontrolle zwischen Backup-Anbietern: Transparenz und Verantwortlichkeit bilden die Grundlage der Beziehungen zwischen den Backup-Anbietern Ledger, EscrowTech und Coincover. Wir haben einen Echtzeitaustausch von Protokollen zur Systemüberwachung und -sicherheit eingerichtet. Dies ermöglicht eine gegenseitige Überprüfung der Aktivitäten. Wenn Inkonsistenzen festgestellt werden, wird der Dienst sofort gesperrt, um die Vermögenswerte der Benutzer zu schützen.

Überwachung außergewöhnlicher Release-Aktivitäten: Die seltenen Fälle manueller Aktienfreigaben werden durch einen Multi-Quorum-Prozess sorgfältig kontrolliert, wie wir im vorherigen Abschnitt erläutert haben. Nach der Ausführung der außergewöhnlichen Freigabeaktivität führen die Ledger Recover-Systeme eine umfassende Überwachung durch, einschließlich detaillierter Protokollierung und Analyse der beteiligten Parteien, der Betriebszeit und anderer relevanter Details. Dieser Prozess umfasst sowohl die Multi-Quorum-Ausführung als auch die Überwachung nach der Aktion und stellt sicher, dass die außerordentliche Freigabe von Aktien in allen Phasen des Entscheidungsprozesses streng kontrolliert wird.

Nutzung von Sicherheitsinformations- und Ereignismanagement (SIEM): Die SIEM-Lösung ist ein wesentlicher Bestandteil der Überwachungsstrategie von Ledger Recover. Dieses dedizierte SIEM verbessert die Fähigkeit, potenzielle Sicherheitsprobleme in Echtzeit zu erkennen und darauf zu reagieren. Dank spezifischer Erkennungsregeln, die speziell für den Ledger Recover-Dienst entwickelt wurden, ist es darauf abgestimmt, eine Vielzahl von Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) basierend auf Cluster- und Ledger Recover-Anwendungsprotokollen zu identifizieren. Wenn ein benutzerdefiniertes IoC erkannt wird, erfolgt automatisch und sofort eine Reaktion – der gesamte Cluster wird gesperrt, bis eine gründliche Analyse durchgeführt wird. Beim Ledger Recover-Dienst hat die Vertraulichkeit Vorrang vor der Verfügbarkeit des Dienstes, um den größtmöglichen Schutz der Vermögenswerte der Benutzer zu gewährleisten.

In der dynamischen Landschaft der Cybersicherheit haben wir Strategien entwickelt und uns auf verschiedene Szenarien vorbereitet. Unser Bedrohungsmodell berücksichtigt die unwahrscheinliche Situation, dass mehrere Infrastrukturadministratoren verschiedener Backup-Anbieter kompromittiert werden könnten. Mit strengen Sicherheitsvorkehrungen und automatischen Reaktionen zielt der Ledger Recover-Dienst darauf ab, die dauerhafte Sicherheit der Vermögenswerte der Benutzer auch unter solch außergewöhnlichen Umständen zu gewährleisten. Im folgenden Abschnitt werden wir die umfassenden Reaktionsmaßnahmen skizzieren, die zur Bewältigung solcher hypothetischen Situationen entwickelt wurden.

Ledger-Recover-spezifische Reaktion auf Vorfälle

Mit dem Ledger Recover-Dienst wurde eine Incident Response-Strategie entwickelt, die gemeinsam mit den drei Backup-Anbietern entwickelt wurde. Ein zentraler Bestandteil dieser Strategie sind automatische Schutzmaßnahmen, die das gesamte System sofort sperren, wenn verdächtige Aktivitäten in irgendeinem Teil der Infrastruktur erkannt werden. 

Im Wesentlichen wurde in den Ledger Recover-Dienst ein „immer sicheres, nie leid tun“-Protokoll integriert. Sicherheit hat oberste Priorität und ist eine Verpflichtung, bei der wir niemals Kompromisse eingehen werden. 

Während wir kontinuierlich danach streben, den nächsten 100 Millionen Menschen ein nahtloses Benutzererlebnis zu bieten, um Web3 zu nutzen, werden wir niemals zögern, diese Sicherheitsmaßnahmen zu aktivieren. Der gesamte Ledger Recover-Dienst wird effektiv gesperrt, wenn eine potenzielle Bedrohung auftritt. Im Rahmen unseres Schutzauftrags ist die Wahl zwischen dem Betrieb eines möglicherweise gefährdeten Dienstes und der Gewährleistung höchster Sicherheit klar: Wir entscheiden uns für Sicherheit.

Zusammenfassung

Hier sind wir am Ende des Teils „Betriebliche Sicherheit“ dieser Serie angelangt. In diesem Teil haben wir versucht, Ihre Bedenken hinsichtlich der Gewährleistung der Uneinnehmbarkeit der Sicherheitsmaßnahmen des Ledger Recover-Systems zu beantworten. Wir sprachen über die Infrastruktur, die Aufgabentrennung, die Governance und Überwachung und schließlich die Incident Response-Strategie. 

Nochmals vielen Dank, dass Sie bis hierher gelesen haben! Sie sollten nun über ein umfassendes Verständnis der Betriebssicherheit von Ledger Recover verfügen. Im letzten Teil dieser Blog-Beitragsreihe geht es um die letzten Sicherheitsbedenken, die wir hatten, und genauer: Wie haben wir unsere internen und externen Sicherheitsüberprüfungen verwaltet, um unseren Benutzern ein Höchstmaß an Sicherheit zu gewährleisten? Bleiben Sie dran! 

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security