Osa 5: Ledger Recoverin synty – Käyttöturvallisuus | Ledger

Tähän mennessä olemme näyttäneet osissa 1 ja 2, kuinka Ledger Recover jakaa siemenesi osakkeiksi ja lähettää nämä osuudet turvallisesti että ystäviä luotettavia varmuuskopioiden tarjoajia. Osassa 3 näytimme, kuinka se tallentaa (ja palauttaa) turvallisesti siemenosakkeet, suojattu laitteistosalauksella, sidottu identiteettiisi ja monipuolisesti. Osassa 4 olemme tutkineet, kuinka Ledger Recover onnistuu anna pääsy varmuuskopioihisi vain sinulle ja sinulle.

Nyt on aika tarkastella lähemmin, kuinka varmistamme maksimaalisen turvallisuuden toiminnallisella tasolla. Yhdellä silmäyksellä käyttöturvallisuus saavutetaan:

• Ledger Recoverin perustana olevan infrastruktuurin lujittaminen,
• Tehtävien eriyttäminen Ledger Recoverin eri operaattoreille,
• Kriittisten komponenttien ja toimintojen valvonta,
• Toipumiskohtaisen tapausreaktion toteuttaminen.

Sukellaan yksityiskohtiin siitä, mitä kukin näistä kohteista tarkoittaa.

Infrastruktuurin karkaisu

Infrastruktuurin karkaisua on monessa muodossa. Se on 360 asteen harjoitus, joka sisältää laajan valikoiman toimintoja, joita ohjaa perusteellinen turvallisuusriskien analyysi. Se alkaa yleensä ylläpitämällä luetteloa hyökkäysskenaarioista, jotka voivat johtaa tietoturvaongelmiin (kuten tietovuodot, asiakkaiden henkilönä esiintyminen, mikä johtaa jakojen luvattomaan palauttamiseen, reagoimattomat järjestelmät ja palvelun häiriö). Näiden ongelmien ehkäisy toiminnallisella tasolla on organisoitu toimintojen, kuten resurssien eristämisen, järjestelmän pääsyn säätelyn, verkkoliikenteen hallinnan, haavoittuvuuksien hallinnan ja monien muiden ympärille.

Tässä on yhteenveto tärkeimmistä toimenpiteistämme Ledger Recoverin infrastruktuurin vahvistamiseksi:

Palvelun saatavuus

Infrastruktuuri on suunniteltu niin, että siellä on ei yksittäistä vikakohtaa (NSPOF), mikä tarkoittaa, että järjestelmä kestää minkä tahansa osan vikoja. Otetaan seuraava esimerkki: palvelinkeskuksiamme palvelee kaksi riippumatonta Internet-palveluntarjoajaa (ISP) rakennuksen kahdessa vastakkaisessa päässä. Jos kuitu vaurioituu meneillään olevien rakennustöiden vuoksi jossakin rakennuksen osassa, tiedot yksinkertaisesti reititetään toisen Internet-palveluntarjoajan kautta. Häiriötön ylläpito on jälleen yksi etu, joka parantaa käytettävyyttä. Ottaen huomioon, että Ledger Recoverin kaikista ohjelmistokomponenteista on vähintään kaksi esiintymää, voimme määrittää järjestelmän uudelleen käyttämään vain ilmentymää A, kun korvataan/päivitetään/korjataan ilmentymä B.

Rajoitettu järjestelmänvalvojan käyttöoikeus Ledger Recover -sovelluksiin

Vain a rajoitetulle käyttäjäjoukolle myönnetään järjestelmänvalvojan käyttöoikeudet Ledger Recoverille omistettuihin resursseihin. Mitä lyhyempi käyttäjäluettelo on, sitä enemmän voimme vähentää sisäpiiriuhkien riskiä saada järjestelmänvalvojan käyttöoikeudet.

Suojatut fyysiset datakeskukset

Varmuuskopiointipalveluntarjoajien HSM:t isännöidään maantieteellisesti tarpeeton fyysisiä tietokeskuksia, jotka on suojattu fyysisiltä ja virtuaalisilta uhilta teollisuustason turvatekniikat ja -menettelyt. Fyysisen suojan taso varmistaa, että kukaan luvaton henkilö ei voi vahingossa kävellä pois HSM:n kanssa. Luottaminen useiden sivustojen palvelinkeskuksiin tarkoittaa, että jos yhdessä paikassa ilmenee ongelma, toinen sijainti voi ottaa haltuunsa. palvelun keskeytymätön saatavuus. Viimeisenä mutta ei vähäisimpänä, omien HSM:ien hallinta antaa meille valvoa, kenellä on pääsy heille ja mikä koodi on käytössä niihin.

Ledger Recover -resurssien eristäminen

Kaikki Ledger Recover -resurssit on eristetty kaikista muista Ledger Recoverin palveluntarjoajien resursseista, mukaan lukien Coincover ja Ledger. Tätä eristystä tarvitaan sen varmistamiseksi, että voimme estää mahdolliset hyökkäykset yhdestä verkkolohkosta, jonka tarkoituksena on hyödyntää muiden verkkoosien resursseja.

Kooditason turvallisuus taattu useiden pilarien kautta

• Käytämme koodiskannerit auttaa meitä tunnistamaan ja korjaamaan haavoittuvuudet varhaisessa vaiheessa, mikä estää niitä pääsemästä tuotantoon.
• Koodi is tarkistetaan ja hyväksytty by riippumaton joukkue Ledger Recoverin kehittämisestä. Tämä erottelu on jälleen yksi toimenpide, joka auttaa parantamaan yleistä koodin laatua havaitsemalla loogisia virheitä, jotka voivat johtaa turvallisuusongelmiin.
• Koodi on kriittiset moduulit Ledger Recoverista on allekirjoitettu kryptografisella allekirjoituksella. Allekirjoitus generoidaan osittain koodin sisällön perusteella, mikä estää peukaloidun koodin käyttöönoton vertaamalla allekirjoitusta sen odotusarvoon. Tämä turvatarkastus tehdään ennen koodin suorittamista.

Verkkoliikenteen ohjaus

Verkkoliikennettä ohjataan tiukasti käytäntöjen avulla, jotka määrittelevät säännöt liikennevirroille kaikille kolmelle varmuuskopiontarjoajalle. Tekijä: määrittelemällä säännöt sallitulle ja kielletylle liikenteelle, rajoitamme hyökkäyspintaa ja vähennämme luvattoman pääsyn riskiä. Myös yksittäisten palvelujen välisen viestinnän rajoittaminen varmistaa, että hyökkääjän sivuttaisliike on rajoitettu, vaikka yksi komponentti olisi vaarassa. Lisäksi käytämme keskinäistä TLS (mTLS) -todennusta estääksemme Man-in-the-Middle (MiM) -hyökkäykset. Keskinäinen TLS varmistaa sen varmistamalla molempien osapuolten henkilöllisyyden varmenteilla vain luotettavat tahot voivat muodostaa suojatun yhteyden.

Avaimen kierto

Salaus avaimet (käytetään esimerkiksi tietojen tai viestinnän salaamiseen) ovat vaihdettu säännöllisesti kryptografian parhaiden käytäntöjen mukaisesti. Tämän etuna on, että jos avain vaarantuu, vahinko on rajallinen kierrosten väliseen aikaan ja vanhalla avaimella salattuihin tietoihin.

Lähtevän liikenteen turvallisuus

Lähtevä liikenne on rajoitettu vain tunnettuihin verkkotunnuksiin ja IP-osoitteisiin (varmuuskopiontarjoajat, palveluntarjoajat). Lähtevän liikenteen rajoittaminen ja valvonta on tapa pysy valppaana mahdollisten tietovuotojen varalta. Jos lähtevien tietovirtojen määrä on odotettua suurempi, pahantahtoinen toimija saattaa poimia arkaluonteisia tietoja Ledger Recover -järjestelmästä merkittävässä mittakaavassa. 

Sisääntulevan liikenteen turvallisuus

Saapuva liikenne on suojattu anti-DDoS:n, WAF:n (Web Application Filtering) ja IP-suodatustekniikoiden yhdistelmällä. Hajautetut palvelunestohyökkäykset (DDoS) aiheuttavat haittaa täyttämällä kohdejärjestelmän pyynnöillä. Saapuvien pyyntöjen määrän rajoittaminen on tunnettu toimenpide tällaisia ​​hyökkäyksiä vastaan. Kaikki hyökkäykset eivät liity määrään, osa niistä koskee laatua. Tässä WAF tulee peliin. WAF tarkastellaan saapuvia pyyntöjä ja tarkastaa heidän suunniteltua käyttäytymistään: jos pyynnön tarkoituksena on saada luvaton pääsy tai käsitellä tietoja, suodatin estää pyynnön. Lopuksi IP-suodatus käyttää kaksoistekniikkaa a) Whitelistingeli sallimalla liikennettä vain tietyistä IP-osoitteista tai vaihteluvälit ja b) mustalle listalle, eli esto liikenne tunnetuilta hyökkääjän IP-osoitteilta.       

Haavoittuvuuden hallinta

Ledger Recover -infrastruktuurin osat ovat jatkuvasti ja järjestelmällisesti skannattu tunnettujen haavoittuvuuksien ja virheellisten määritysten vuoksi, ja korjauksia/päivityksiä lisätään säännöllisesti. Tämä auttaa vastaamaan uudentyyppisiin uhkiin niiden ilmaantuessa ja pitämään turvatoimet ajan tasalla ja maailmanluokan.

Tehtävien erottaminen

Tehtävien erottaminen on Ledger Recoverin turvallisuusstrategian ydin. 

Tehtävien erottelu erilaisten välillä Varmuuskopioiden tarjoajat (osa 3) ja IDV-tarjoajas (osa 4) on kuvattu aiemmissa viesteissä. Saatat muistaa, että siellä on:

• 3 osuutta Secret Recovery Phrase -lauseesta, joita hallinnoi 3 riippumatonta varmuuskopiointipalveluntarjoajaa (tietokannan hajauttaminen päälle salaisen yhteistyön estämiseksi)
• 2 itsenäistä identiteetin vahvistajaa (IDV-palveluntarjoajat)

Infrastruktuurin tasolla tehtävien erottaminen on sovellettu Ledger Recoverin kehittämiseen ja toimintaan liittyvien eri roolien välillä.

Lisäksi yhdistämme tehtävien erottamisen "vähiten etuoikeus" -periaate. Vähiten etuoikeus on periaate, jota sovelletaan järjestelmän operaattoreihin ja ylläpitäjiin: heille myönnetään oikeudet tehdä vain mitä heidän on tehtävävarmistaakseen, että heille annetaan tehtäviensä suorittamiseen vaadittava alhaisin lupa. 

Joten kun "pienin etuoikeus" yhdistetään "tehtävien erottamiseen", erilaisia ​​järjestelmänvalvojan rooleja on jaettu eri ihmisille jotta kukaan yksittäinen henkilö ei voi vahingoittaa tai vaarantaa minkään järjestelmäkomponentin luottamuksellisuutta tai eheyttä. Esimerkiksi Ledger Recover -koodin kehittäjillä ei ole pääsyä järjestelmään, joka käyttää kirjoittamaansa koodia.

Hallinto: koorumit

Samoin kuin Blockchainsin konsensusmekanismeja, jotka takaavat eheyden ja turvallisuuden siten, että useat toimijat varmistavat lohkot, olemme hyväksyneet Ledger Recover -järjestelmän päätösvaltaisuuden parantaaksemme toimintaturvaamme.

Huolimatta työntekijöidemme tiukoista taustatarkistuksistamme on tosiasia, että ihmiset voivat olla heikko lenkki missä tahansa järjestelmässä, eikä kryptosfääri ole poikkeus. Korkean profiilin turvallisuustapahtumat, kuten Mt. Goxin hakkerointi 2014, osoittavat, kuinka yksilöitä voidaan hyödyntää tai johtaa tietoturvahäiriöihin. Ihmisiin voidaan vaikuttaa tai pakottaa eri motiiveilla – rahalla, ideologialla, pakotuksella, egolla (alias, MICE(S)) – jolloin tiukimmatkaan taustatarkastukset eivät ole täysin idioottivarmoja.

Tällaisten riskien vähentämiseksi käytämme päätösvaltaisuuteen perustuvaa järjestelmää. Tämä kehys edellyttää vähintään kolmen valtuutetun henkilön yhteisymmärrystä varmuuskopioiden tarjoajien eri ryhmistä tai osastoista ennen kuin merkittäviä päätöksiä tai kriittisiä toimia voidaan tehdä. 

Eri päätösvaltaisuudessamme mukana olevien henkilöiden tarkkaa määrää ei julkisteta turvallisuussyistä. Silti sen pelkkä olemassaolo lisää merkittävästi toimintavarmuuttamme laimentamalla yksittäisen vaarantuneen henkilön mahdollisia vaikutusmahdollisuuksia.

Tässä on joitain toimintoja, joissa käytämme päätösvaltaisuutta:

1. Yksityisten avainten luominen Ledger Recover HSM:ille: Tämän kriittisen toiminnon turvaavat riippumattomat koorumit jokaisessa entiteetissä – Coincover, EscrowTech ja Ledger. Jokaisen näiden erillisten koorumien jäsenen on oltava läsnä yksityisten avainten luomiseksi vastaavissa HSM:issään. Jokaisella koorumin jäsenellä on pääsy vara-avaimeen, joka on ratkaisevan tärkeää heidän HSM-salaisuuksiensa palauttamisessa ja uudelleenmuodostuksessa tarvittaessa. Tämä rakenne ei ainoastaan ​​suojaa riskiltä, ​​että henkilöllä on kohtuuton vaikutus johonkin kolmesta varmuuskopiontarjoajan HSM:stä, vaan se myös parantaa järjestelmän yleistä eheyttä, koska kukin koorumi toimii itsenäisesti eivätkä ole tietoisia toistensa erityispiirteistä.

2. Päätetään asiakkaan osuuden poikkeuksellisesta vapauttamisesta: Tietyt, vaikkakin harvinaiset tilanteet voivat edellyttää asiakkaan osuuden poikkeuksellista vapauttamista. Nämä voivat johtua identiteetin vahvistamisen epäonnistumisista (nimen muutos, fyysinen muodonmuutos jne.) tai siitä, että julkistamattomat turvatoimenpiteemme lisäävät laitteen väärin estolistalle. Kun tällainen tilanne syntyy, päätösvaltaisuus, joka koostuu useista henkilöistä varmuuskopioiden tarjoajista, kokoontuu yhteen. Tämä laajaa yhteisymmärrystä vaativa menettely varmistaa, että päätöksiä ei tehdä hätäisesti tai yksipuolisesti, mikä lisää asiakkaiden turvallisuutta. Jokainen koorumin jäsen käyttää Ledger Nano -laitetta (omalla PIN-koodillaan) hyväksyäkseen julkaisun, mikä lisää uuden suojakerroksen mahdollisia salaliittoja tai yksittäisiä virheitä vastaan.

3. Allekirjoitetaan HSM-laiteohjelmistokoodin päivitystä: Ennen uuden laiteohjelmistopäivityksen käyttöönottoa HSM:issä, tuotetietoturvatiimimme Ledger Donjon suorittaa kattavan tarkistusprosessin. Osana laiteohjelmiston koorumia Ledger Donjon varmistaa, että haitallinen sisäpiiriläinen tai vaarantunut kehitysputki ei ole tuonut sisään takaovia tai haitallista koodia toimitusketjuhyökkäyksen kautta. Tällä tavalla ne säilyttävät laiteohjelmistopäivityksen eheyden ja turvallisuuden.

4. Allekirjoitus Ledger-laitteiden (Nano & Stax) laiteohjelmistokoodipäivitys: Aivan kuten HSM:iden laiteohjelmisto, Ledger-laitteemme laiteohjelmistopäivitykset käyvät läpi tiukan tarkistusprosessin ja vaativat päätösvaltaisuuden hyväksynnän, ennen kuin niitä ehdotetaan käyttäjillemme Ledger Liven kautta.

Päätellen päätösvaltaisuus on olennainen osa Ledger Recoverin tietoturva-arkkitehtuuria. Niillä on tärkeä rooli vahvistettaessa puolustusta sisäisiä roistouhkia ja salaista yhteistyötä vastaan ​​elintärkeiden operaatioiden aikana. Hyödyntämällä Ledger-laitteiden ja -palvelujen huippuluokan turvallisuutta, koorumit auttavat varmistamaan luottamuksen ja suojaamaan käyttäjien digitaalista omaisuutta haitallisilta sisäpiiriläisiltä.

Kriittisten komponenttien ja toimintojen valvonta

Kun perehdymme tähän lukuun, on tärkeää huomata, että turvallisuussyistä paljastamme vain osan Ledger Recover -palvelun laajoista seurantatoimista. Vaikka pidämme kiinni sitoumuksestamme avoimuuteen, tunnustamme myös sisäisen valvonnan ja valvonnan yksityiskohtien säilyttämisen tärkeyden toimintavarmuuden kannalta.

Ledgerissä turvallisuus on prioriteettimme. Se on ratkaisujemme ytimessä, ja ne perustuvat vankoihin salausprotokolliin, kuten artikkelissamme on kuvattu Ledger Recover whitepaper. Mutta työmme jatkuu turvallisten järjestelmien luomisen lisäksi. Seuraamme ja arvioimme toimintaamme jatkuvasti ja etsimme epäilyttävää toimintaa. Tämä jatkuva valppaus vahvistaa turvallisuusasentoamme ja varmistaa, että olemme aina valmiita vastaamaan. 

Katsotaanpa joitain esimerkkejä monitasoisesta lähestymistavastamme:

Järjestelmänvalvojan toiminnan seuranta: Käytämme järjestelmänvalvojillemme tiukkaa pääsynvalvontaa. Emme ainoastaan ​​vaadi 2FA:ta (Two-Factor Authentication) kaikille hallinnollisille yhteyksille infrastruktuuriimme, vaan myös usean henkilön validoinnin järjestelmän kriittisten osien järjestelmänvalvojan infrastruktuurin käyttöön. Lisäksi järjestelmämme kirjaavat ja seuraavat huolellisesti kaikkia hallinnollisia toimia. Näihin lokeihin viitataan automaattisesti sisäisten lippujärjestelmien kanssa mahdollisten suunnittelemattomien toimintojen havaitsemiseksi. Tämä varovainen korrelaatio antaa meille mahdollisuuden varoittaa tietoturvatiimejämme viipymättä epätavallisesta tai epäilyttävästä käytöksestä, mikä vahvistaa toimintaturvaamme.

Varmuuskopioiden tarjoajien välinen ristiinhallinta: Läpinäkyvyys ja vastuullisuus muodostavat perustan varmuuskopioiden tarjoajien Ledgerin, EscrowTechin ja Coincoverin välisille suhteille. Olemme perustaneet reaaliaikaisen lokien vaihdon, jota käytetään järjestelmän valvontaan ja turvallisuuteen. Tämä mahdollistaa toimintojen ristiintarkastuksen. Jos epäjohdonmukaisuuksia havaitaan, palvelu lukitaan välittömästi käyttäjien omaisuuden suojaamiseksi.

Poikkeuksellisen julkaisutoiminnan valvonta: Harvinaisia ​​manuaalisia osien julkaisuja valvotaan huolellisesti monien päätösvaltaisten prosessien avulla, kuten selitimme edellisessä osiossa. Poikkeuksellisen julkaisutoiminnon suorittamisen jälkeen Ledger Recover -järjestelmät jatkavat kattavaa seurantaa, mukaan lukien yksityiskohtainen kirjaaminen ja osapuolten analysointi, käyttöaika ja muut asiaankuuluvat tiedot. Tämä prosessi, joka sisältää sekä usean päätösvaltaisuuden toteuttamisen että toiminnan jälkeisen seurannan, varmistaa, että poikkeuksellista osakkeiden luovutusta valvotaan tiukasti päätöksentekoprosessin kaikissa vaiheissa.

Tietoturvatietojen ja tapahtumien hallinnan hyödyntäminen (SIEM): SIEM-ratkaisu on tärkeä osa Ledger Recover -seurantastrategiaa. Tämä omistettu SIEM parantaa kykyä tunnistaa mahdolliset tietoturvaongelmat ja reagoida niihin reaaliajassa. Se on hienosäädetty tunnistamaan useita kompromissiindikaattoreita (IoC), jotka perustuvat klusteri- ja Ledger Recover -sovelluslokeihin erityisten Ledger Recover -palvelua varten kehitettyjen tunnistussääntöjen ansiosta. Jos mukautettu IoC havaitaan, vastaus on automaattinen ja välitön – koko klusteri lukitaan, kunnes perusteellinen analyysi suoritetaan. Ledger Recover -palvelussa luottamuksellisuus on etusijalla palvelun saatavuuden edelle, jotta varmistetaan käyttäjien omaisuuden paras mahdollinen suoja.

Kyberturvallisuuden dynaamisessa maisemassa olemme strategioineet ja varautuneet erilaisiin skenaarioihin. Uhkamallimme ottaa huomioon sen epätodennäköisen tilanteen, jossa useat infrastruktuurin järjestelmänvalvojat eri varmuuskopioiden tarjoajista saattavat vaarantua. Tiukat suojatoimet ja automaattiset vastaukset käytössä Ledger Recover -palvelu pyrkii varmistamaan käyttäjien omaisuuden jatkuvan turvallisuuden myös tällaisissa poikkeuksellisissa olosuhteissa. Seuraavassa osiossa hahmotellaan kattavat reagointitoimenpiteet, jotka on suunniteltu tällaisten hypoteettisten tilanteiden ratkaisemiseksi.

Ledger Recoverin tapauskohtainen vastaus

Ledger Recover -palvelun avulla on rakennettu tapaturmien reagointistrategia, joka on suunniteltu yhteistyössä kolmen varmuuskopion tarjoajan kanssa. Keskeinen osa tätä strategiaa ovat automaattiset suojatoimenpiteet, jotka välittömästi lukitsevat koko järjestelmän havaitessaan epäilyttävää toimintaa missä tahansa infrastruktuurin osassa. 

Pohjimmiltaan Ledger Recover -palveluun on suunniteltu "aina turvallinen, älä koskaan sorry" -protokolla. Turvallisuus on ykkösprioriteetti, ja se on sitoumus, josta ei koskaan tinkiä. 

Vaikka pyrimme jatkuvasti tarjoamaan saumattoman käyttökokemuksen seuraaville 100 miljoonalle ihmiselle Web3:ssa, emme koskaan epäröi ottaa näitä suojatoimia käyttöön, lukitsee tehokkaasti koko Ledger Recover -palvelun mahdollisen uhan ilmetessä. Suojelutehtävässämme valinta mahdollisesti vaarantuneen palvelun käyttämisen ja äärimmäisen turvallisuuden takaamisen välillä on selvä – valitsemme turvallisuuden.

Yhteenveto

Tässä ollaan tämän sarjan Operational Security -osan lopussa. Tässä osassa olemme yrittäneet vastata kaikkiin mahdollisiin huolenaiheisiisi, jotka koskevat Ledger Recover -järjestelmän turvatoimien vallitsemattomuuden varmistamista. Puhuimme infrastruktuurista, tehtävien jaosta, hallinnosta ja valvonnasta ja lopuksi välikohtausstrategiasta. 

Kiitos vielä kerran, kun luit tähän asti! Sinulla pitäisi nyt olla kattava käsitys Ledger Recoverin käyttöturvallisuudesta. Tämän blogikirjoitussarjan viimeinen osa käsittelee viimeisimpiä tietoturvaongelmiamme, ja tarkemmin sanottuna: kuinka onnistuimme sisäisten ja ulkoisten tietoturva-auditointiemme takaamiseksi käyttäjillemme mahdollisimman korkeatasoisen turvallisuuden takaamiseksi? Pysy kanavalla! 

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security