Parte 5: Génesis de la recuperación del libro mayor: seguridad operativa | Libro mayor

Hasta ahora, hemos mostrado en las partes 1 y 2 cómo Ledger Recover divide tu semilla en acciones y envía esas acciones de forma segura a amigos proveedores de respaldo confiables. En la parte 3, hemos mostrado cómo almacena (y restaura) de forma segura las partes de su semilla, protegido por cifrado de hardware, vinculado a su identidad y diversificado. En la parte 4, exploramos cómo Ledger Recover logra dar acceso a su copia de seguridad a usted y sólo a usted.

Ha llegado el momento de examinar más de cerca cómo garantizamos la máxima seguridad a nivel operativo. De un vistazo, la seguridad operativa se logra mediante:

• Reforzar la infraestructura que sustenta Ledger Recover,
• Aplicando separación de funciones a los distintos operadores de Ledger Recover,
• Monitorear componentes y operaciones críticas,
• Implementación de una respuesta a incidentes específica de recuperación.

Profundicemos en los detalles de lo que significa cada uno de esos elementos.

Endurecimiento de la infraestructura

El fortalecimiento de la infraestructura se presenta de muchas formas. Es un ejercicio de 360° que involucra una amplia gama de actividades impulsadas por un análisis exhaustivo de los riesgos de seguridad. Por lo general, comienza manteniendo un catálogo de escenarios de ataque que podrían generar problemas de seguridad (como fugas de datos, suplantación de clientes que conducen a la restauración no autorizada de recursos compartidos, sistemas que no responden e interrupción del servicio). La prevención de estos problemas a nivel operativo se organiza en torno a actividades como el aislamiento de recursos, la regulación del acceso al sistema, el control del tráfico de la red, la gestión de vulnerabilidades y muchas más.

Aquí hay un resumen de nuestras medidas clave para fortalecer la infraestructura de Ledger Recover:

Servicio disponible

La infraestructura está diseñada para que haya sin punto único de falla (NSPOF), lo que significa que el sistema es resistente a la falla de cualquier componente. Tomemos el siguiente ejemplo: nuestros centros de datos cuentan con el servicio de dos proveedores de servicios de Internet (ISP) independientes, en dos extremos opuestos del edificio. Si la fibra se daña debido a trabajos de construcción en curso en una parte del edificio, los datos simplemente se enrutarán a través del otro ISP. El mantenimiento sin interrupciones es otro beneficio que mejora la disponibilidad. Dado que hay al menos dos instancias de todos los componentes de software de Ledger Recover, podemos reconfigurar el sistema para usar solo la instancia A mientras reemplazamos/actualizamos/reparamos la instancia B.

Acceso de administrador limitado a las aplicaciones Ledger Recover

Sólo un a un grupo reducido de usuarios se les concede acceso de administrador a los recursos que se dedican a Ledger Recover. Cuanto más corta sea la lista de usuarios, más podremos reducir el riesgo de que las amenazas internas obtengan acceso de administrador.

Centros de datos físicos seguros

Los HSM de los proveedores de respaldo están alojados en geográficamente redundante centros de datos físicos, protegidos de amenazas físicas y virtuales mediante técnicas y procedimientos de seguridad de nivel industrial. El nivel de protección física garantiza que ninguna persona no autorizada pueda llevarse un HSM por casualidad. Depender de centros de datos en múltiples sitios significa que si una ubicación experimenta un problema, otra ubicación puede hacerse cargo, proporcionando disponibilidad ininterrumpida del servicio. Por último, pero no menos importante, gestionar nuestros propios HSM nos proporciona control sobre quién tiene acceso a ellos y qué código se implementa .

Aislamiento de recursos de Ledger Recover

Todos los recursos de Ledger Recover están aislados de cualquier otro recurso dentro de los proveedores de servicios de Ledger Recover, incluidos Coincover y Ledger. Este aislamiento es necesario para garantizar que podamos contener ataques potenciales desde un segmento de la red destinados a explotar recursos de otros segmentos de la red.

Seguridad a nivel de código garantizada a través de múltiples pilares

• Utilizamos escáneres de código para ayudarnos a identificar y abordar las vulnerabilidades desde el principio, evitando que lleguen a producción.
• Código is revisado y aprobado by un equipo independiente del que está desarrollando Ledger Recover. Esta separación es otra medida más para ayudar a mejorar la calidad general del código al detectar fallas lógicas que podrían generar problemas de seguridad.
• El código de la módulos críticos de Ledger Recover es firmado mediante una firma criptográfica. La firma se genera parcialmente en función del contenido del código, lo que evita la implementación de código manipulado al comparar la firma con su valor esperado. Esta verificación de seguridad se realiza antes de ejecutar el código.

Control de tráfico de red

El tráfico de la red se controla estrictamente mediante políticas que definen reglas para los flujos de tráfico para los tres proveedores de respaldo. Por definir reglas para el tráfico permitido y denegado, limitamos la superficie de ataque y reducimos el riesgo de accesos no autorizados. Además, restringir la comunicación entre servicios individuales garantiza que la El movimiento lateral del atacante es limitado, incluso si un componente está comprometido.. Además, aplicamos autenticación mutua TLS (mTLS) para evitar ataques Man-in-the-Middle (MiM). Al verificar la identidad de ambas partes con certificados, TLS mutuo garantiza que sólo las entidades de confianza pueden establecer una conexión segura.

Rotación de claves

Cifrado claves (utilizados, por ejemplo, para cifrar datos o comunicaciones) son cambiado regularmente en línea con las mejores prácticas de criptografía. La ventaja de esto es que si una clave se ve comprometida, la el daño es limitado al tiempo entre rotaciones y a los datos cifrados con la clave antigua.

Seguridad del tráfico saliente

El tráfico saliente está limitado únicamente a dominios y direcciones IP conocidos (proveedores de respaldo, proveedores de servicios). Limitar y monitorear el tráfico saliente es una forma de manténgase alerta ante posibles fugas de datos. Si el volumen de flujos de datos salientes es mayor de lo esperado, un actor malintencionado podría estar extrayendo datos confidenciales del sistema Ledger Recover a una escala significativa. 

Seguridad del tráfico entrante

El tráfico entrante está protegido mediante una combinación de técnicas anti-DDoS, filtrado de aplicaciones web (WAF) y filtrado de IP. Los ataques distribuidos de denegación de servicio (DDoS) causan daño al desbordar el sistema objetivo con solicitudes. Limitar el número de solicitudes entrantes es una medida bien conocida contra este tipo de ataques. Ahora bien, no todos los ataques tienen que ver con la cantidad, algunos tienen que ver con la calidad. Aquí es donde entra en juego WAF. WAF mira las solicitudes entrantes y inspecciona su comportamiento previsto: si la solicitud tiene como objetivo obtener acceso no autorizado o manipular datos, el filtro bloquea la solicitud. Finalmente, el filtrado IP emplea la doble técnica de a) lista blanca, es decir, permitir tráfico sólo desde direcciones IP específicas o rangos, y b) listas negras, es decir, bloqueando tráfico de IP de atacantes conocidos.       

Gestión de vulnerabilidades

Los componentes de la infraestructura de Ledger Recover son continua y sistemáticamente escaneada para vulnerabilidades conocidas y mala configuracióny los parches/actualizaciones se aplican periódicamente. Esto ayuda a responder a nuevos tipos de amenazas a medida que surgen y mantiene las medidas de seguridad actualizadas y de clase mundial.

Separación de tareas

La separación de funciones es el núcleo de la estrategia de seguridad de Ledger Recover. 

La separación de funciones entre los distintos Proveedores de respaldo (parte 3) y Proveedor de IDVs (parte 4) se ha descrito en publicaciones anteriores. Quizás recuerdes que existen:

• 3 acciones de la frase secreta de recuperación administradas por 3 proveedores de respaldo independientes (con diversificación de la base de datos además para evitar la colusión)
• 2 validadores de identidad independientes (proveedores de IDV)

A nivel de infraestructura, separación de tareas Está aplicado entre los diferentes roles involucrados en el desarrollo y operación de Ledger Recover.

Además, combinamos la separación de funciones con la Principio de “privilegio mínimo”. El “privilegio mínimo” es el principio que se aplica a los operadores y administradores del sistema: se les concede el derecho de hacer sólo lo que necesitan hacer, garantizando que reciban el nivel más bajo de permiso necesario para desempeñar sus funciones. 

Así que cuando El “privilegio mínimo” se combina con la “separación de funciones”, Se asignan varios roles de administrador a diferentes personas. para que ninguna persona pueda dañar o comprometer la confidencialidad o integridad de ningún componente del sistema. Por ejemplo, los desarrolladores del código Ledger Recover no tienen acceso al sistema que ejecuta el código que escribieron.

Gobernanza: Quórumes

De manera similar a los mecanismos de consenso de Blockchains que garantizan la integridad y la seguridad al hacer que múltiples actores verifiquen los bloques, hemos adoptado un quórum dentro del sistema Ledger Recover para mejorar nuestra seguridad operativa.

A pesar de nuestras estrictas verificaciones de antecedentes de nuestros empleados, el hecho es que los humanos pueden ser un eslabón débil en cualquier sistema, y ​​la criptosfera no es una excepción. Incidentes de seguridad de alto perfil, como el Hack de Mt. Gox de 2014, demuestran cómo se puede explotar a los individuos o provocar fallos de seguridad. Las personas pueden ser influenciadas o coaccionadas a través de diversas motivaciones (dinero, ideología, coerción, ego (también conocido como MICE(S)), lo que hace que incluso las verificaciones de antecedentes más estrictas no sean del todo infalibles.

Para mitigar dichos riesgos, utilizamos un sistema basado en el concepto de quórum. Este marco requiere el consenso de al menos tres personas autorizadas de diferentes equipos o departamentos dentro de los proveedores de respaldo antes de que se puedan tomar decisiones importantes o acciones críticas. 

El número exacto de personas involucradas en nuestros diferentes quórumes no se divulga por razones de seguridad. Aún así, su mera existencia mejora significativamente nuestra seguridad operativa al diluir la influencia potencial de cualquier individuo comprometido.

Estas son algunas de las actividades en las que utilizamos quórums:

1. Generación de claves privadas para Ledger Recover HSM: Esta operación crítica está salvaguardada por quórums independientes dentro de cada entidad: Coincover, EscrowTech y Ledger. Cada miembro de estos quórums distintos debe estar presente para generar claves privadas en sus respectivos HSM. Cada miembro del quórum tiene acceso a una clave de respaldo, que es crucial para restaurar y regenerar sus secretos de HSM si es necesario. Esta estructura no solo protege contra el riesgo de que cualquier persona tenga influencia indebida sobre uno de los tres HSM del proveedor de respaldo, sino que también mejora la integridad general del sistema, ya que cada quórum opera de forma independiente y desconoce las características específicas de cada uno.

2. Decidir sobre una liberación excepcional de la parte de un cliente: Situaciones específicas, aunque raras, pueden requerir una liberación excepcional de la parte de un cliente. Esto podría deberse a fallas en la verificación de identidad (cambio de nombre, desfiguración física, etc.) o si nuestras medidas de seguridad no divulgadas bloquean incorrectamente un dispositivo en la lista negra. Cuando surge una situación de este tipo, se reúne un quórum formado por varias personas de los proveedores de respaldo. Este procedimiento, que requiere un amplio consenso, garantiza que las decisiones no se tomen apresuradamente o unilateralmente, mejorando así la seguridad del cliente. Cada miembro del quórum utiliza su dispositivo Ledger Nano (con su propio pin) para aprobar la publicación, añadiendo otra capa de seguridad contra posibles colusiones o errores individuales.

3. Firma de actualización del código de firmware de HSM: Antes de implementar una nueva actualización de firmware en los HSM, nuestro equipo de seguridad del producto, Ledger Donjon, lleva a cabo un proceso de revisión integral. Al ser parte del quórum de firmware, Ledger Donjon garantiza que ningún interno malintencionado haya introducido puertas traseras o códigos maliciosos o un proceso de desarrollo comprometido a través de un ataque a la cadena de suministro. De esa forma, mantienen la integridad y seguridad de la actualización del firmware.

4. Actualización del código de firmware de los dispositivos Signing Ledger (Nano y Stax): Al igual que el firmware para los HSM, las actualizaciones del firmware de nuestro dispositivo Ledger pasan por un proceso de revisión estricto y requieren la aprobación del quórum antes de proponerlas a nuestros usuarios a través de Ledger Live.

En resumen, los quórums son una parte integral de la arquitectura de seguridad de Ledger Recover. Desempeñan un papel importante en el fortalecimiento de las defensas contra amenazas internas y la colusión durante operaciones vitales. Aprovechando la seguridad de primer nivel de los dispositivos y servicios de Ledger, los quórums ayudan a garantizar la confianza y proteger los activos digitales de los usuarios contra personas internas maliciosas.

Monitoreo de componentes y operaciones críticas.

A medida que profundizamos en este capítulo, es importante tener en cuenta que, por razones de seguridad, solo revelamos un subconjunto de las extensas actividades de monitoreo para el servicio Ledger Recover. Si bien mantenemos nuestro compromiso con la transparencia, también reconocemos la importancia de mantener la discreción en torno a los detalles de los controles internos y el monitoreo de la seguridad operativa.

En Ledger, la seguridad es nuestra prioridad. Es el núcleo de nuestras soluciones, que se basan en protocolos criptográficos sólidos, como se detalla en nuestra Documento técnico sobre recuperación del libro mayor. Pero nuestro trabajo continúa más allá de la creación de sistemas seguros. Monitoreamos y evaluamos constantemente nuestras operaciones, buscando actividades sospechosas. Esta vigilancia continua fortalece nuestra postura de seguridad, garantizando que siempre estemos listos para responder. 

Exploremos algunos ejemplos de nuestro enfoque de múltiples capas:

Supervisión de las actividades del administrador: Aplicamos un estricto control de acceso para nuestros administradores. No solo requerimos 2FA (autenticación de dos factores) para todas las conexiones administrativas a nuestra infraestructura, sino que también exigimos la validación de varias personas para el acceso del administrador a la infraestructura en partes críticas del sistema. Además, nuestros sistemas registran y rastrean meticulosamente cada actividad administrativa. Estos registros se cruzan automáticamente con nuestros sistemas internos de emisión de tickets para detectar cualquier acción no planificada. Esta correlación cautelosa nos permite alertar rápidamente a nuestros equipos de seguridad sobre cualquier comportamiento inusual o sospechoso, reforzando nuestra seguridad operativa.

Control cruzado entre proveedores de respaldo: La transparencia y la responsabilidad forman la base de las relaciones entre los proveedores de respaldo, Ledger, EscrowTech y Coincover. Hemos establecido un intercambio en tiempo real de registros utilizados para el monitoreo y la seguridad del sistema. Esto permite la verificación cruzada de las actividades. Si se detecta alguna inconsistencia, el servicio se bloquea inmediatamente para proteger los activos de los usuarios.

Supervisión de la actividad de liberación excepcional: Los raros casos de liberación manual de recursos compartidos se controlan meticulosamente mediante un proceso de quórum múltiple, como explicamos en la sección anterior. Después de la ejecución de la Actividad de lanzamiento excepcional, los sistemas Ledger Recover proceden con un monitoreo integral, que incluye registro y análisis detallados de las partes involucradas, tiempo de operación y otros detalles relevantes. Este proceso, que implica tanto la ejecución multiquórum como el seguimiento posterior a la acción, garantiza que la liberación excepcional de acciones esté estrictamente controlada en todas las etapas del proceso de toma de decisiones.

Aprovechamiento de la información de seguridad y la gestión de eventos (SIEM): La solución SIEM forma una parte crucial de la estrategia de monitoreo de Ledger Recover. Este SIEM dedicado mejora la capacidad de identificar y responder a posibles problemas de seguridad en tiempo real. Está ajustado para identificar una variedad de indicadores de compromiso (IoC) basados ​​en el clúster y los registros de la aplicación Ledger Recover, gracias a reglas de detección específicas desarrolladas específicamente para el servicio Ledger Recover. Si se detecta un IoC personalizado, la respuesta es automática e inmediata: todo el clúster se bloquea hasta que se realiza un análisis exhaustivo. En el servicio Ledger Recover, se prioriza la confidencialidad sobre la disponibilidad del servicio para garantizar la máxima protección de los activos de los usuarios.

En el panorama dinámico de la ciberseguridad, hemos elaborado estrategias y nos hemos preparado para diversos escenarios. Nuestro modelo de amenazas tiene en cuenta la situación poco probable en la que varios administradores de infraestructura de diferentes proveedores de respaldo podrían verse comprometidos. Con rigurosas salvaguardias y respuestas automáticas implementadas, el servicio Ledger Recover tiene como objetivo garantizar la seguridad continua de los activos de los usuarios incluso en circunstancias tan extraordinarias. En la siguiente sección, describiremos las medidas de respuesta integrales diseñadas para abordar tales situaciones hipotéticas.

Respuesta a incidentes específica de Ledger Recover

Con el servicio Ledger Recover, se ha creado una estrategia de respuesta a incidentes, diseñada en colaboración con los tres proveedores de respaldo. Una parte central de esta estrategia son las salvaguardas automáticas que bloquean inmediatamente todo el sistema al detectar actividad sospechosa en cualquier parte de la infraestructura. 

En esencia, se ha diseñado un protocolo "siempre seguro, nunca te arrepentirás" en el servicio Ledger Recover. La seguridad es la prioridad número uno y es un compromiso que nunca se verá comprometido. 

Si bien nos esforzamos continuamente por brindar una experiencia de usuario perfecta para incorporar a los próximos 100 millones de personas a Web3, nunca dudaremos en activar estas salvaguardas. bloquear eficazmente todo el servicio Ledger Recover, si surge una amenaza potencial. En nuestra misión de proteger, la elección entre ejecutar un servicio potencialmente comprometido y garantizar la máxima seguridad es clara: elegimos la seguridad.

Conclusión

Aquí estamos al final de la parte de Seguridad Operacional de esta serie. En esta parte, hemos intentado responder cualquier inquietud que pueda tener sobre cómo se garantiza la inexpugnabilidad de las medidas de seguridad del sistema Ledger Recover. Hablamos de la infraestructura, la separación de funciones, la gobernanza y el seguimiento y, finalmente, la estrategia de respuesta a incidentes. 

¡Gracias una vez más por leer hasta este punto! Ahora debería tener una comprensión integral de la seguridad operativa de Ledger Recover. La parte final de esta serie de publicaciones de blog tratará sobre las últimas preocupaciones de seguridad que tuvimos y, más precisamente: ¿cómo gestionamos nuestras auditorías de seguridad internas y externas para garantizar el máximo nivel de seguridad a nuestros usuarios? ¡Manténganse al tanto! 

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security