5. rész: A Ledger Recover létrejötte – Működési biztonság | Főkönyv

Eddig az 1. és 2. részben mutattuk be, hogyan működik a Ledger Recover osztja a magját részvényekre és a biztonságosan elküldi ezeket a megosztásokat nak nek barátok megbízható biztonsági mentési szolgáltatók. A 3. részben megmutattuk, hogyan biztonságosan tárolja (és visszaállítja) a vetőmag részvényeit, hardveres titkosítással védett, az Ön személyazonosságához kötött és változatos. A 4. részben megvizsgáltuk, hogyan sikerül a Ledger Recover csak neked és neked adj hozzáférést a biztonsági másolatodhoz.

Itt az ideje, hogy közelebbről megvizsgáljuk, hogyan biztosítjuk a maximális biztonságot működési szinten. Első pillantásra a működési biztonság a következőkkel érhető el:

• A Ledger Recovert alátámasztó infrastruktúra keményítése,
• A feladatok szétválasztása a Ledger Recover különböző üzemeltetői számára,
• A kritikus komponensek és műveletek figyelése,
• Helyreállítás-specifikus incidensreakció megvalósítása.

Nézzük meg, mit jelentenek ezek a tételek.

Az infrastruktúra keményítése

Az infrastruktúra keményítése számos formában létezik. Ez egy 360°-os gyakorlat, amely a biztonsági kockázatok alapos elemzésén alapuló tevékenységek széles skáláját foglalja magában. Általában a biztonsági problémákhoz (például adatszivárgáshoz, a megosztások jogosulatlan visszaállításához vezető ügyfelek személyes adataival való visszaéléshez, nem reagáló rendszerek és a szolgáltatás megszakadásához vezető) támadási forgatókönyvek katalógusának karbantartásával kezdődik. Ezeknek a problémáknak a megelőzése operatív szinten olyan tevékenységek köré szerveződik, mint az erőforrások elkülönítése, a rendszerhozzáférés szabályozása, a hálózati forgalom szabályozása, a sebezhetőség kezelése és még sok más.

Íme egy összefoglaló a Ledger Recover infrastruktúrájának megerősítésére irányuló legfontosabb intézkedéseinkről:

A szolgáltatás elérhetősége

Az infrastruktúra úgy van kialakítva, hogy legyen nincs egyetlen hibapont (NSPOF), ami azt jelenti, hogy a rendszer bármilyen összetevő meghibásodásával szemben ellenálló. Vegyük a következő példát: adatközpontjainkat két független internetszolgáltató (ISP) szolgálja ki, az épület két másik végében. Ha a szál az épület egyik részében folyamatban lévő építési munkálatok miatt megsérül, az adatokat egyszerűen a másik internetszolgáltatón keresztül továbbítják. A zavarmentes karbantartás egy másik előny, amely javítja a rendelkezésre állást. Tekintettel arra, hogy a Ledger Recover összes szoftverösszetevőjének legalább két példánya van, átállíthatjuk a rendszert úgy, hogy csak az A példányt használja a B példány cseréje/frissítése/javítása közben.

Korlátozott rendszergazdai hozzáférés a Ledger Recover alkalmazásokhoz

Csak egy csökkentett számú felhasználó kap adminisztrátori hozzáférést a Ledger Recovernek szentelt erőforrásokhoz. Minél rövidebb a felhasználók listája, annál inkább csökkenthetjük annak kockázatát, hogy a bennfentes fenyegetések rendszergazdai hozzáférést kapjanak.

Biztonságos fizikai adatközpontok

A biztonsági mentési szolgáltatók HSM-jeit a rendszer tárolja földrajzilag redundáns fizikai és virtuális fenyegetések ellen védett fizikai adatközpontok iparági szintű biztonsági technikák és eljárások. A fizikai védelem szintje biztosítja, hogy illetéktelen személy ne távozhasson véletlenül HSM-mel. Ha több webhelyen lévő adatközpontokra támaszkodik, az azt jelenti, hogy ha az egyik helyen problémát tapasztal, egy másik hely átveheti az irányítást, a szolgáltatás zavartalan elérhetősége. Végül, de nem utolsósorban a saját HSM-eink kezelése ad nekünk szabályozza, hogy kinek van hozzáférése nekik és milyen kód van telepítve rájuk.

A Ledger Recover erőforrások elkülönítése

Minden Ledger Recover erőforrás el van szigetelve a Ledger Recover szolgáltatóin belüli egyéb erőforrásoktól, beleértve a Coincovert és a Ledgert is. Erre az elkülönítésre azért van szükség, hogy meg tudjuk akadályozni az egyik hálózati szeletből származó potenciális támadásokat, amelyek célja a többi hálózati szelet erőforrásainak kihasználása.

A kódszintű biztonság több pilléren keresztül biztosított

• Az általunk használt kódolvasók hogy segítsen nekünk a sebezhetőségek korai felismerésében és kezelésében, megakadályozva, hogy bekerüljenek a termelésbe.
• Kód is felül és jóváhagyta by független csapat a Ledger Recovert fejlesztő program közül. Ez a szétválasztás egy újabb intézkedés a kód általános minőségének javítására azáltal, hogy feltárja azokat a logikai hibákat, amelyek biztonsági aggályokhoz vezethetnek.
• A. Kódja kritikus modulok a Ledger Recover kriptográfiai aláírással írták alá. Az aláírás részben a kód tartalma alapján jön létre, megakadályozva a manipulált kód telepítését az aláírás és a várt érték összehasonlításával. Ez a biztonsági ellenőrzés a kód végrehajtása előtt megtörténik.

Hálózati forgalomszabályozás

A hálózati forgalmat szigorúan szabályozzák az irányelvek, amelyek meghatározzák a forgalom áramlási szabályait mind a 3 biztonsági mentési szolgáltató számára. Által a megengedett és tiltott forgalom szabályainak meghatározása, korlátozzuk a támadási felületet és csökkentjük az illetéktelen hozzáférés kockázatát. Továbbá az egyes szolgáltatások közötti kommunikáció korlátozása biztosítja, hogy a a támadó oldalirányú mozgása korlátozott, még akkor is, ha az egyik összetevő sérül. Ezenkívül kölcsönös TLS (mTLS) hitelesítést alkalmazunk a Man-in-the-Middle (MiM) támadások megelőzésére. Mindkét fél azonosságának tanúsítványokkal történő ellenőrzésével a kölcsönös TLS biztosítja ezt csak megbízható entitások hozhatnak létre biztonságos kapcsolatot.

Kulcsforgatás

Titkosítás kulcsok (például adatok vagy kommunikáció titkosítására használják). rendszeresen változott összhangban a kriptográfiai bevált gyakorlatokkal. Ennek az az előnye, hogy ha egy kulcs sérül, a a kár korlátozott a forgatások közötti időre és a régi kulccsal titkosított adatokra.

Kimenő forgalom biztonsága

A kimenő forgalom csak ismert tartományokra és IP-címekre korlátozódik (Biztonsági mentési szolgáltatók, szolgáltatók). A kimenő forgalom korlátozása és figyelése egy módja annak figyeljen az esetleges adatszivárgásokra. Ha a kimenő adatfolyamok mennyisége nagyobb a vártnál, akkor előfordulhat, hogy egy rosszindulatú szereplő jelentős mértékben kinyeri az érzékeny adatokat a Ledger Recover rendszerből. 

Bejövő forgalom biztonsága

A bejövő forgalmat az anti-DDoS, a WAF (Web Application Filtering) és az IP-szűrési technikák kombinációja védi. Az elosztott szolgáltatásmegtagadási (DDoS) támadások kárt okoznak azáltal, hogy megtöltik a célrendszerüket kérésekkel. A bejövő kérések számának korlátozása jól ismert intézkedés az ilyen támadások ellen. Nos, nem minden támadás a mennyiségről szól, némelyikük a minőségről szól. Itt jön képbe a WAF. WAF megnézi a beérkező kéréseket és megvizsgálja szándékolt viselkedésüket: ha a kérés jogosulatlan hozzáférést vagy adatkezelést céloz, a szűrő blokkolja a kérést. Végül az IP-szűrés kettős technikát alkalmaz: a) whitelisting, vagyis lehetővé teszi csak meghatározott IP-címekről érkező forgalom vagy tartományok, és b) feketelista, azaz blokkolás ismert támadó IP-címekről származó forgalmat.       

Sebezhetőség kezelése

A Ledger Recover infrastruktúra összetevői folyamatosan és szisztematikusan szkennelt ismert sebezhetőségek és hibás konfiguráció miatt, és rendszeresen alkalmazzák a javításokat/frissítéseket. Ez segít az új típusú fenyegetésekre való reagálásban, amint azok megjelennek, és a biztonsági intézkedéseket naprakészen és világszínvonalon tartja.

A feladatok szétválasztása

A feladatok szétválasztása a Ledger Recover biztonsági stratégiájának középpontjában áll. 

A feladatok szétválasztása a különböző Biztonsági mentés szolgáltatók (3. rész) és IDV szolgáltatós (4. rész) az előző bejegyzésekben leírták. Emlékezhet, hogy vannak:

• A Secret Recovery Phrase 3 megosztása, amelyet 3 független biztonsági mentési szolgáltató kezel (az adatbázis diverzifikációjával az összejátszás elkerülése érdekében)
• 2 független személyazonosság-ellenőrző (IDV-szolgáltató)

Az infrastruktúra szintjén a feladatok szétválasztása alkalmazzák a Ledger Recover fejlesztésében és működtetésében részt vevő különböző szerepek között.

Ezen túlmenően a feladatok szétválasztását egyesítjük a „legkisebb kiváltság” elve. A „legkisebb kiváltság” a rendszerüzemeltetőkre és a rendszergazdákra alkalmazott elv: jogot kapnak arra, hogy csak azt tegyék, amit meg kell tenniükbiztosítva, hogy a feladataik ellátásához szükséges legalacsonyabb szintű engedélyt kapják. 

Így amikor A „legkisebb kiváltság” a „feladatok szétválasztásával” párosul, különböző adminisztrátori szerepkörök vannak kiosztva különböző személyeknek hogy egyetlen személy se sérthesse meg a rendszerelemek titkosságát vagy integritását. Például a Ledger Recover kód fejlesztői nem férnek hozzá ahhoz a rendszerhez, amelyen az általuk írt kód fut.

Irányítás: Kvórumok

A Blockchains konszenzusos mechanizmusaihoz hasonlóan, amelyek az integritást és a biztonságot garantálják azáltal, hogy több szereplő ellenőrzi a blokkokat, a Ledger Recover rendszeren belül határozatképességet fogadtunk el, hogy fokozzuk működési biztonságunkat.

Alkalmazottaink alapos háttérellenőrzése ellenére az a tény, hogy az ember bármely rendszerben gyenge láncszem lehet, és ez alól a kriptoszféra sem kivétel. Nagy horderejű biztonsági incidensek, mint pl Mt. Gox 2014-es feltörése, bemutatja, hogyan lehet az egyéneket kizsákmányolni, vagy miként vezethet biztonsági meghibásodásokhoz. Az embereket különféle motivációk – pénz, ideológia, kényszer, ego (más néven MICE(S)) – befolyásolhatják vagy kényszeríthetik, így a legszigorúbb háttérellenőrzés sem válik teljesen bolondbiztossá.

Az ilyen kockázatok mérséklésére a határozatképesség elvén alapuló rendszert alkalmazunk. Ehhez a keretrendszerhez a biztonsági mentési szolgáltatók különböző csapataiból vagy részlegeiből legalább három felhatalmazott személy konszenzusára van szükség ahhoz, hogy bármilyen jelentős döntést vagy kritikus intézkedést meg lehessen hozni. 

A különböző határozatképességünkben részt vevő személyek pontos számát biztonsági okokból nem hozták nyilvánosságra. Mindazonáltal puszta létezése jelentősen növeli működési biztonságunkat azáltal, hogy felhígítja egyetlen kompromittált személy potenciális befolyását.

Íme néhány tevékenység, ahol kvórumokat használunk:

1. Privát kulcsok előállítása a Ledger Recover HSM-ekhez: Ezt a kritikus műveletet az egyes entitásokon belüli független kvórumok biztosítják – Coincover, EscrowTech és Ledger. Ezen különálló kvórumok minden tagjának jelen kell lennie ahhoz, hogy privát kulcsokat hozzon létre a megfelelő HSM-ekben. Minden kvórumtag hozzáfér egy biztonsági mentési kulcshoz, amely elengedhetetlen a HSM-titkainak visszaállításához és szükség esetén újragenerálásához. Ez a struktúra nemcsak annak kockázata ellen véd, hogy bármely személy indokolatlan befolyást gyakoroljon a három biztonsági mentési szolgáltató HSM egyikére, hanem javítja a rendszer általános integritását is, mivel mindegyik kvórum függetlenül működik, és nincsenek tisztában egymás sajátosságaival.

2. Döntés az ügyfél részesedésének kivételes felszabadításáról: Bizonyos, bár ritka helyzetek megkövetelhetik az ügyfél részesedésének kivételes felszabadítását. Ennek oka lehet a személyazonosság-ellenőrzés hibája (névváltozás, fizikai eltorzulás stb.), vagy ha a nyilvánosságra nem hozott biztonsági intézkedéseink helytelenül blokkolnak egy eszközt. Ha ilyen helyzet áll elő, akkor a biztonsági mentési szolgáltatók több személyéből álló határozatképességű összeáll. Ez a széleskörű konszenzust igénylő eljárás biztosítja, hogy a döntések ne születjenek elhamarkodottan vagy egyoldalúan, ezzel is növelve az ügyfelek biztonságát. A kvórum minden tagja Ledger Nano eszközét használja (saját PIN-kóddal) a kiadás jóváhagyására, ami újabb biztonsági réteget ad az esetleges összejátszások vagy egyéni hibák ellen.

3. A HSM firmware kód frissítésének aláírása: Mielőtt új firmware-frissítést telepítene a HSM-ekre, termékbiztonsági csapatunk, a Ledger Donjon átfogó felülvizsgálati folyamatot végez. A firmware-kvórum részeként a Ledger Donjon biztosítja, hogy ne juttathasson be hátsó ajtót vagy rosszindulatú kódot rosszindulatú bennfentes, vagy egy kompromittált fejlesztési folyamat ellátási lánc támadása révén. Így megőrzik a firmware-frissítés integritását és biztonságát.

4. Aláíró Ledger eszközök (Nano és Stax) firmware kód frissítése: A HSM-ek firmware-éhez hasonlóan a Ledger eszközünk firmware-ének frissítései szigorú ellenőrzési folyamaton mennek keresztül, és határozatképességi jóváhagyást igényelnek, mielőtt a Ledger Live szolgáltatáson keresztül javasolnák a felhasználóknak.

Összefoglalva, a kvórumok a Ledger Recover biztonsági architektúrájának szerves részét képezik. Fontos szerepet játszanak a védelem megerősítésében a belső szélhámos fenyegetésekkel és az összejátszással szemben a létfontosságú műveletek során. A Ledger eszközök és szolgáltatások csúcsminőségű biztonságát kihasználva a kvórumok segítik a bizalmat, és megvédik a felhasználók digitális eszközeit a rosszindulatú bennfentesekkel szemben.

Kritikus összetevők és műveletek figyelése

Ahogy elmélyülünk ebben a fejezetben, fontos megjegyezni, hogy biztonsági okokból a Ledger Recover szolgáltatás kiterjedt felügyeleti tevékenységeinek csak egy részét közöljük. Miközben ragaszkodunk az átláthatóság iránti elkötelezettségünkhöz, elismerjük annak fontosságát is, hogy megőrizzük a diszkréciót a belső ellenőrzések részleteivel és a működési biztonság felügyeletével kapcsolatban.

A Ledgernél a biztonság a prioritásunk. Ez a megoldásaink középpontjában áll, amelyek robusztus kriptográfiai protokollokra épülnek, ahogyan azt a cikkünkben részletezzük Ledger Recover fehér könyv. Munkánk azonban a biztonságos rendszerek létrehozásán túl is folytatódik. Folyamatosan figyeljük és értékeljük működésünket, keresünk minden gyanús tevékenységet. Ez a folyamatos éberség megerősíti biztonsági álláspontunkat, biztosítva, hogy mindig készen álljunk reagálni. 

Nézzünk néhány példát többrétegű megközelítésünkre:

Adminisztrátori tevékenységek figyelése: Rendszergazdáink számára szigorú hozzáférés-ellenőrzést írunk elő. Nemcsak 2FA-t (kéttényezős hitelesítés) követelünk meg az infrastruktúránkhoz fűződő összes adminisztrációs kapcsolathoz, hanem többszemélyes érvényesítést is előírunk az adminisztrátori infrastruktúra-hozzáféréshez a rendszer kritikus részein. Ezenkívül rendszereink minden adminisztrációs tevékenységet aprólékosan naplóznak és nyomon követnek. Ezek a naplók automatikusan kereszthivatkozást kapnak belső jegyrendszereinkkel, hogy észleljenek minden nem tervezett műveletet. Ez az óvatos korreláció lehetővé teszi számunkra, hogy azonnal értesítsük biztonsági csapatainkat bármilyen szokatlan vagy gyanús viselkedésről, ami megerősíti működési biztonságunkat.

Keresztellenőrzés a biztonsági mentési szolgáltatók között: Az átláthatóság és az elszámoltathatóság képezi a biztonsági mentési szolgáltatók, a Ledger, az EscrowTech és a Coincover közötti kapcsolatok alapját. Valós idejű cserét hoztunk létre a rendszerfigyeléshez és a biztonsághoz használt naplók között. Ez lehetővé teszi a tevékenységek keresztellenőrzését. Ha bármilyen inkonzisztenciát észlel, a szolgáltatás azonnal zárolásra kerül a felhasználók eszközeinek védelme érdekében.

Rendkívüli kiadási tevékenység felügyelete: A kézi megosztási kiadások ritka eseteit egy többkvórumos folyamat aprólékosan ellenőrzi, amint azt az előző részben kifejtettük. A rendkívüli kiadási tevékenység végrehajtása után a Ledger Recover rendszerek átfogó monitorozást folytatnak, beleértve az érintett felek részletes naplózását és elemzését, a működési időt és egyéb releváns részleteket. Ez a folyamat, amely magában foglalja a több határozatképességű végrehajtást és az utólagos nyomon követést is, biztosítja, hogy a kivételes részvénykibocsátás szigorúan ellenőrzött legyen a döntéshozatali folyamat minden szakaszában.

Biztonsági információ- és eseménykezelés (SIEM): A SIEM megoldás a Ledger Recover felügyeleti stratégia döntő részét képezi. Ez a dedikált SIEM javítja a potenciális biztonsági problémák valós idejű azonosítását és reagálását. A kifejezetten a Ledger Recover szolgáltatáshoz kifejlesztett specifikus észlelési szabályoknak köszönhetően finomhangolású, hogy azonosítsa a kompromittálási jelzőszámokat (IoC) a fürt és a Ledger Recover alkalmazásnaplók alapján. Egyéni IoC észlelése esetén a válasz automatikus és azonnali – a teljes fürt zárolva lesz az alapos elemzés elvégzéséig. A Ledger Recover szolgáltatásban a bizalmas kezelés elsőbbséget élvez a szolgáltatás elérhetőségével szemben, így biztosítva a felhasználók eszközeinek maximális védelmét.

A kiberbiztonság dinamikus világában különféle forgatókönyveket alakítottunk ki és készítettünk elő. Fenyegetési modellünk figyelembe veszi azt a valószínűtlen helyzetet, amikor a különböző biztonsági mentési szolgáltatók több infrastruktúra-adminisztrátora kerülhet veszélybe. Szigorú biztosítékokkal és automatikus válaszlépésekkel a Ledger Recover szolgáltatás célja, hogy ilyen rendkívüli körülmények között is biztosítsa a felhasználók eszközeinek folyamatos biztonságát. A következő részben felvázoljuk azokat az átfogó válaszintézkedéseket, amelyek az ilyen hipotetikus helyzetek kezelésére készültek.

Főkönyvi helyreállítás-specifikus incidensreakció

A Ledger Recover szolgáltatással egy incidensreagálási stratégia készült, amelyet a három biztonsági mentési szolgáltatóval közösen terveztek. Ennek a stratégiának központi része az automatikus biztosítékok, amelyek azonnal zárolják a teljes rendszert, ha gyanús tevékenységet észlelnek az infrastruktúra bármely részén. 

Lényegében egy „mindig biztonságos, soha ne sajnálj” protokollt alakítottak ki a Ledger Recover szolgáltatásban. A biztonság az első számú prioritás, és ez egy olyan elkötelezettség, amely soha nem fog kompromisszumot kötni. 

Miközben folyamatosan arra törekszünk, hogy zökkenőmentes felhasználói élményt biztosítsunk a következő 100 millió ember számára a Web3-ban, soha nem fogunk habozni, hogy aktiváljuk ezeket a biztosítékokat, a teljes Ledger Recover szolgáltatás hatékony zárolása, ha potenciális veszély merül fel. Védelmi küldetésünkben egyértelmű a választás a potenciálisan veszélyeztetett szolgáltatás futtatása és a végső biztonság biztosítása között – mi a biztonságot választjuk.

Következtetés

Itt vagyunk a sorozat Működésbiztonsági részének végén. Ebben a részben megpróbáltuk megválaszolni aggályait, amelyek a Ledger Recover rendszer biztonsági intézkedéseinek bevehetetlenségének biztosításával kapcsolatosak. Szó esett az infrastruktúráról, a feladatok szétválasztásáról, az irányításról és a monitoringról, végül az incidensreagálási stratégiáról. 

Még egyszer köszönöm, hogy idáig végig olvastál! Most már átfogó ismeretekkel kell rendelkeznie a Ledger Recover működési biztonságáról. A blogbejegyzéssorozat utolsó része a legutóbbi biztonsági aggályainkról fog szólni, pontosabban arról, hogyan kezeltük belső és külső biztonsági auditjainkat annak érdekében, hogy a felhasználók számára a legmagasabb szintű biztonságot garantálhassuk? Maradjon velünk! 

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security