Bagian 5: Kejadian Pemulihan Buku Besar – Keamanan Operasional | buku besar

Sejauh ini, kami telah menunjukkan di bagian 1 dan 2, bagaimana Ledger Recover membagi benih Anda menjadi beberapa bagian dan mengirimkan saham tersebut dengan aman untuk teman penyedia cadangan tepercaya. Di bagian 3, kami telah menunjukkan caranya menyimpan (dan memulihkan) bagian benih Anda dengan aman, dilindungi oleh enkripsi perangkat keras, terikat dengan identitas Anda dan terdiversifikasi. Di bagian 4, kita telah menjelajahi cara Ledger Recover mengelolanya memberikan akses ke cadangan Anda hanya kepada Anda dan Anda saja.

Sekarang saatnya untuk melihat lebih dekat bagaimana kita memastikan keamanan maksimum di tingkat operasional. Sekilas, keamanan operasional dicapai dengan:

• Memperkuat infrastruktur yang mendasari Ledger Recover,
• Menerapkan pemisahan tugas ke berbagai operator Ledger Recover,
• Memantau komponen dan operasi penting,
• Menerapkan Respons Insiden Khusus Pemulihan.

Mari selami detail arti masing-masing item tersebut.

Pengerasan infrastruktur

Pengerasan infrastruktur terjadi dalam berbagai bentuk. Ini adalah latihan 360° yang melibatkan berbagai aktivitas yang didorong oleh analisis risiko keamanan yang menyeluruh. Biasanya dimulai dengan menyimpan katalog skenario serangan yang dapat menyebabkan masalah keamanan (seperti kebocoran data, peniruan identitas klien yang menyebabkan pemulihan saham yang tidak sah, sistem yang tidak responsif, dan gangguan layanan). Pencegahan masalah ini di tingkat operasional diorganisir melalui aktivitas seperti isolasi sumber daya, pengaturan akses sistem, pengendalian lalu lintas jaringan, manajemen kerentanan, dan banyak lagi.

Berikut ini ikhtisar langkah-langkah utama kami untuk memperkuat infrastruktur Ledger Recover:

ketersediaan layanan

Infrastruktur dirancang sedemikian rupa tidak ada satu titik kegagalan (NSPOF), artinya sistem tahan terhadap kegagalan komponen apa pun. Mari kita ambil contoh berikut: pusat data kita dilayani oleh dua penyedia layanan Internet (ISP) independen, di dua ujung gedung yang berlawanan. Jika fiber rusak karena pekerjaan konstruksi yang sedang berlangsung di satu bagian gedung, data hanya akan disalurkan melalui ISP lainnya. Pemeliharaan bebas gangguan adalah manfaat lain yang meningkatkan ketersediaan. Mengingat setidaknya ada dua instance dari semua komponen perangkat lunak Ledger Recover, kita dapat mengkonfigurasi ulang sistem untuk hanya menggunakan instance A saat mengganti/meningkatkan/memperbaiki instance B.

Akses admin terbatas ke aplikasi Ledger Recover

Hanya kumpulan pengguna yang dikurangi diberikan akses admin ke sumber daya yang didedikasikan untuk Ledger Recover. Semakin pendek daftar pengguna, semakin kami dapat mengurangi risiko ancaman orang dalam mendapatkan akses admin.

Pusat data fisik yang aman

HSM Penyedia Cadangan dihosting di secara geografis berlebihan pusat data fisik, dilindungi dari ancaman fisik dan virtual menggunakan teknik dan prosedur keamanan tingkat industri. Tingkat perlindungan fisik memastikan bahwa tidak ada orang yang tidak berkepentingan yang dapat dengan mudah meninggalkan HSM. Mengandalkan pusat data di beberapa lokasi berarti jika satu lokasi mengalami masalah, lokasi lain dapat mengambil alih ketersediaan layanan tanpa gangguan. Yang terakhir, mengelola HSM kita sendiri memberi kita manfaat kontrol atas siapa yang mempunyai akses ke mereka dan kode apa yang diterapkan pada mereka.

Isolasi sumber daya Ledger Recover

Semua sumber daya Ledger Recover diisolasi dari sumber daya lain dalam penyedia layanan Ledger Recover, termasuk dalam Coincover dan Ledger. Isolasi ini diperlukan untuk memastikan bahwa kita dapat menahan potensi serangan dari satu irisan jaringan yang bertujuan mengeksploitasi sumber daya dari irisan jaringan lainnya.

Keamanan tingkat kode dijamin melalui berbagai pilar

• Kami menggunakan pemindai kode untuk membantu kami mengidentifikasi dan mengatasi kerentanan sejak dini, mencegahnya memasuki tahap produksi.
• Kode is review jurnal dan disetujui by sebuah tim yang mandiri dari yang mengembangkan Ledger Recover. Pemisahan ini merupakan langkah lain untuk membantu meningkatkan kualitas kode secara keseluruhan dengan menangkap kelemahan logis yang mungkin menyebabkan masalah keamanan.
• Kode dari modul penting dari Pemulihan Buku Besar adalah ditandatangani menggunakan tanda tangan kriptografi. Tanda tangan sebagian dihasilkan berdasarkan konten kode, mencegah penerapan kode yang dirusak dengan membandingkan tanda tangan dengan nilai yang diharapkan. Pemeriksaan keamanan ini dilakukan sebelum kode dieksekusi.

Kontrol lalu lintas jaringan

Lalu lintas jaringan dikontrol secara ketat melalui kebijakan yang menentukan aturan arus lalu lintas untuk ketiga Penyedia Cadangan. Oleh mendefinisikan aturan untuk lalu lintas yang diizinkan dan ditolak, kami membatasi permukaan serangan dan mengurangi risiko akses tidak sah. Selain itu, membatasi komunikasi antar layanan individual akan memastikan bahwa pergerakan lateral penyerang terbatas, bahkan jika salah satu komponennya terganggu. Selain itu, kami menerapkan autentikasi mutual TLS (mTLS) untuk mencegah serangan Man-in-the-Middle (MiM). Dengan memverifikasi identitas kedua belah pihak dengan sertifikat, TLS bersama memastikan hal itu hanya entitas tepercaya yang dapat membuat sambungan aman.

Rotasi kunci

enkripsi kunci-kunci (digunakan, misalnya, untuk mengenkripsi data atau komunikasi) adalah diubah secara teratur sejalan dengan praktik terbaik kriptografi. Keuntungannya adalah jika kunci disusupi, kerusakannya terbatas dengan waktu antara rotasi dan data yang dienkripsi dengan kunci lama.

Keamanan lalu lintas keluar

Lalu lintas keluar terbatas pada domain dan alamat IP yang diketahui saja (Penyedia Cadangan, penyedia layanan). Membatasi dan memantau lalu lintas keluar adalah salah satu caranya tetap waspada terhadap potensi kebocoran data. Jika volume aliran data keluar lebih tinggi dari yang diharapkan, pelaku kejahatan mungkin mengekstraksi data sensitif dari sistem Ledger Recover dalam skala yang signifikan. 

Keamanan lalu lintas masuk

Lalu lintas masuk dilindungi oleh kombinasi anti-DDoS, Web Application Filtering (WAF), dan teknik pemfilteran IP. Serangan penolakan layanan terdistribusi (DDoS) menimbulkan kerugian karena memenuhi sistem target dengan permintaan. Membatasi jumlah permintaan yang masuk adalah tindakan yang terkenal untuk melawan serangan semacam itu. Saat ini, tidak semua serangan berkaitan dengan kuantitas, beberapa di antaranya berkaitan dengan kualitas. Di sinilah WAF berperan. WAF melihat permintaan masuk dan memeriksa perilaku yang dimaksudkan: jika permintaan bertujuan untuk mendapatkan akses tidak sah atau memanipulasi data, filter akan memblokir permintaan tersebut. Terakhir, pemfilteran IP menggunakan teknik ganda a) daftar putih, yaitu mengizinkan lalu lintas hanya dari alamat IP tertentu atau rentang, dan b) daftar hitam, yaitu memblokir lalu lintas dari IP penyerang yang dikenal.       

Manajemen kerentanan

Komponen infrastruktur Ledger Recover dilakukan secara terus menerus dan sistematis dipindai untuk kerentanan dan kesalahan konfigurasi yang diketahui, dan tambalan/pembaruan diterapkan secara berkala. Hal ini membantu respons terhadap jenis ancaman baru yang muncul dan menjaga langkah-langkah keamanan tetap mutakhir dan berkelas dunia.

Pemisahan tugas

Pemisahan tugas merupakan inti dari strategi keamanan Ledger Recover. 

Pemisahan tugas antar berbagai Penyedia Cadangan (bagian 3) dan Penyedia IDVs (part 4) sudah dijelaskan pada postingan sebelumnya. Anda mungkin ingat bahwa ada:

• 3 pembagian Frase Pemulihan Rahasia yang dikelola oleh 3 Penyedia Cadangan independen (dengan diversifikasi basis data di atas untuk mencegah kolusi)
• 2 Validator Identitas independen (Penyedia IDV)

Di tingkat infrastruktur, pemisahan tugas diterapkan antara berbagai peran yang terlibat dalam pengembangan dan pengoperasian Ledger Recover.

Selain itu, kami menggabungkan pemisahan tugas dengan prinsip “hak istimewa yang paling kecil”.. “Hak istimewa paling kecil” adalah prinsip yang diterapkan pada operator dan administrator sistem: mereka diberikan hak untuk melakukan hanya apa yang perlu mereka lakukan, memastikan mereka diberi izin tingkat terendah yang diperlukan untuk melaksanakan tugasnya. 

Jadi, ketika “hak istimewa yang paling kecil” digabungkan dengan “pemisahan tugas”, berbagai peran admin dialokasikan ke orang yang berbeda sehingga tidak ada satu orang pun yang dapat merusak/mengganggu kerahasiaan atau integritas komponen sistem apa pun. Misalnya, pengembang kode Ledger Recover tidak memiliki akses ke sistem yang menjalankan kode yang mereka tulis.

Tata Kelola : Kuorum

Mirip dengan mekanisme konsensus Blockchain yang menjamin integritas dan keamanan dengan meminta banyak aktor memverifikasi blok, kami telah mengadopsi kuorum dalam sistem Ledger Recover untuk meningkatkan keamanan operasional kami.

Meskipun kami melakukan pemeriksaan latar belakang yang ketat terhadap karyawan kami, faktanya tetap bahwa manusia dapat menjadi titik lemah dalam sistem apa pun, dan cryptosphere tidak terkecuali. Insiden keamanan tingkat tinggi, seperti Peretasan Gunung Gox tahun 2014, menunjukkan bagaimana individu dapat dieksploitasi atau menyebabkan kelemahan keamanan. Orang dapat dipengaruhi atau dipaksa melalui berbagai motivasi – Uang, Ideologi, Pemaksaan, Ego (alias, MICE(S)) – sehingga pemeriksaan latar belakang yang paling ketat pun tidak sepenuhnya mudah dilakukan.

Untuk memitigasi risiko tersebut, kami menggunakan sistem berdasarkan konsep kuorum. Kerangka kerja ini memerlukan konsensus setidaknya tiga individu yang berwenang dari tim atau departemen berbeda dalam penyedia pencadangan sebelum keputusan signifikan atau tindakan penting dapat diambil. 

Jumlah pasti orang yang terlibat dalam berbagai kuorum kami masih dirahasiakan karena alasan keamanan. Namun, keberadaannya secara signifikan meningkatkan keamanan operasional kami dengan mengurangi potensi pengaruh individu mana pun yang disusupi.

Berikut adalah beberapa kegiatan di mana kami menggunakan kuorum:

1. Menghasilkan kunci pribadi untuk Ledger Recover HSM: Operasi penting ini dilindungi oleh kuorum independen dalam setiap entitas – Coincover, EscrowTech, dan Ledger. Setiap anggota kuorum yang berbeda ini harus hadir untuk menghasilkan kunci privat di HSM masing-masing. Setiap anggota kuorum memiliki akses ke kunci cadangan, yang sangat penting untuk memulihkan dan membuat ulang rahasia HSM mereka jika diperlukan. Struktur ini tidak hanya melindungi terhadap risiko siapa pun mempunyai pengaruh yang tidak semestinya terhadap salah satu dari tiga HSM penyedia cadangan, namun juga meningkatkan integritas sistem secara keseluruhan karena setiap kuorum beroperasi secara independen dan tidak mengetahui spesifikasi masing-masing kuorum.

2. Memutuskan pelepasan luar biasa bagian pelanggan: Situasi spesifik, meskipun jarang, mungkin memerlukan pelepasan bagian pelanggan yang luar biasa. Hal ini dapat disebabkan oleh kegagalan Verifikasi Identitas (perubahan nama, cacat fisik, dll.), atau jika tindakan keamanan kami yang dirahasiakan secara keliru memblokir perangkat dalam daftar hitam. Ketika situasi seperti ini muncul, kuorum yang terdiri dari beberapa individu dari penyedia cadangan akan berkumpul. Prosedur ini, yang memerlukan konsensus luas, memastikan bahwa keputusan tidak diambil secara tergesa-gesa atau sepihak, sehingga meningkatkan keamanan pelanggan. Setiap anggota kuorum menggunakan perangkat Ledger Nano mereka (dengan pin mereka sendiri) untuk menyetujui rilis, menambahkan lapisan keamanan lain terhadap kemungkinan kolusi atau kesalahan individu.

3. Menandatangani pembaruan kode firmware HSM: Sebelum menerapkan pembaruan firmware baru ke HSM, tim keamanan produk kami, Ledger Donjon, melakukan proses peninjauan komprehensif. Menjadi bagian dari kuorum firmware, Ledger Donjon memastikan bahwa tidak ada pintu belakang atau kode berbahaya yang diperkenalkan oleh orang dalam yang jahat atau jalur pengembangan yang disusupi melalui serangan rantai pasokan. Dengan begitu, mereka menjaga integritas dan keamanan pembaruan firmware.

4. Pembaruan kode firmware perangkat Ledger (Nano & Stax): Sama seperti firmware untuk HSM, pembaruan firmware perangkat Ledger kami melalui proses peninjauan yang ketat dan memerlukan persetujuan kuorum sebelum diusulkan kepada pengguna kami melalui Ledger Live.

Sebagai penutup, kuorum adalah bagian integral dari arsitektur keamanan Ledger Recover. Mereka memainkan peran penting dalam memperkuat pertahanan terhadap ancaman internal dan kolusi selama operasi penting. Memanfaatkan keamanan terbaik perangkat dan layanan Ledger, kuorum membantu memastikan kepercayaan dan melindungi aset digital pengguna dari orang dalam yang jahat.

Memantau komponen dan operasi penting

Saat kami mempelajari bab ini, penting untuk dicatat bahwa, demi alasan keamanan, kami hanya mengungkapkan sebagian dari aktivitas pemantauan ekstensif untuk layanan Ledger Recover. Meskipun kami memegang teguh komitmen kami terhadap transparansi, kami juga menyadari pentingnya menjaga kebijaksanaan seputar rincian pengendalian internal dan pemantauan keamanan operasional.

Di Ledger, keamanan adalah prioritas kami. Ini adalah inti dari solusi kami, yang dibangun di atas protokol kriptografi yang kuat seperti yang dirinci dalam kami Buku putih Pemulihan Buku Besar. Namun pekerjaan kami terus berlanjut melampaui penciptaan sistem yang aman. Kami terus memantau dan menilai operasi kami, mencari aktivitas mencurigakan. Kewaspadaan yang berkelanjutan ini memperkuat sikap keamanan kami, memastikan kami selalu siap merespons. 

Mari kita jelajahi beberapa contoh pendekatan berlapis-lapis:

Kegiatan Administrator Pemantauan: Kami menerapkan kontrol akses yang ketat untuk administrator kami. Kami tidak hanya memerlukan 2FA (Otentikasi Dua Faktor) untuk semua koneksi administratif ke infrastruktur kami, namun kami juga mewajibkan validasi beberapa orang untuk akses infrastruktur administrator pada bagian penting sistem. Selain itu, sistem kami dengan cermat mencatat dan melacak setiap aktivitas administratif. Log ini direferensi silang secara otomatis dengan sistem tiket internal kami untuk mendeteksi tindakan yang tidak direncanakan. Korelasi yang hati-hati ini memungkinkan kami untuk segera memperingatkan tim keamanan kami tentang perilaku apa pun yang tidak biasa atau mencurigakan, sehingga memperkuat keamanan operasional kami.

Kontrol Silang Antar Penyedia Cadangan: Transparansi dan akuntabilitas menjadi dasar hubungan antara penyedia cadangan, Ledger, EscrowTech, dan Coincover. Kami telah melakukan pertukaran log secara real-time yang digunakan untuk pemantauan dan keamanan sistem. Hal ini memungkinkan verifikasi silang aktivitas. Jika ada ketidakkonsistenan yang terdeteksi, layanan akan segera dikunci untuk melindungi aset pengguna.

Mengawasi Aktivitas Pelepasan Luar Biasa: Kasus pelepasan saham manual yang jarang terjadi dikontrol dengan cermat melalui proses multi-kuorum seperti yang kami jelaskan di bagian sebelumnya. Setelah pelaksanaan Aktivitas Rilis Luar Biasa, sistem Ledger Recover melanjutkan dengan pemantauan komprehensif, termasuk pencatatan log dan analisis terperinci dari pihak-pihak yang terlibat, waktu pengoperasian, dan detail relevan lainnya. Proses ini, yang melibatkan pelaksanaan multi-kuorum dan pemantauan pasca-tindakan, memastikan bahwa pelepasan saham luar biasa dikontrol dengan ketat di semua tahap proses pengambilan keputusan.

Memanfaatkan Informasi Keamanan dan Manajemen Acara (SIEM): Solusi SIEM merupakan bagian penting dari strategi pemantauan Ledger Recover. SIEM khusus ini meningkatkan kemampuan untuk mengidentifikasi dan merespons potensi masalah keamanan secara real-time. Ini disesuaikan untuk mengidentifikasi berbagai Indikator Kompromi (IoC) berdasarkan klaster dan log aplikasi Ledger Recover, berkat aturan deteksi khusus yang dikembangkan secara khusus untuk layanan Ledger Recover. Jika IoC khusus terdeteksi, respons akan otomatis dan langsung – seluruh klaster akan dikunci hingga analisis menyeluruh dilakukan. Dalam layanan Ledger Recover, kerahasiaan diprioritaskan daripada ketersediaan layanan untuk memastikan perlindungan maksimal terhadap aset pengguna.

Dalam lanskap keamanan siber yang dinamis, kami telah menyusun strategi dan mempersiapkan berbagai skenario. Model ancaman kami memperhitungkan situasi yang tidak mungkin terjadi di mana beberapa administrator infrastruktur dari penyedia cadangan berbeda mungkin disusupi. Dengan pengamanan yang ketat dan respons otomatis, layanan Ledger Recover bertujuan untuk memastikan keamanan aset pengguna yang berkelanjutan bahkan dalam keadaan luar biasa seperti itu. Pada bagian berikut, kami akan menguraikan langkah-langkah respons komprehensif yang dibangun untuk mengatasi situasi hipotetis tersebut.

Respons Insiden Khusus Pemulihan Buku Besar

Dengan layanan Ledger Recover, strategi Incident Response telah dibangun, dirancang secara kolaboratif dengan tiga penyedia cadangan. Bagian penting dari strategi ini adalah pengamanan otomatis yang segera mengunci seluruh sistem saat mendeteksi aktivitas mencurigakan di bagian mana pun dari infrastruktur. 

Intinya, protokol “selalu aman, tidak pernah menyesal” telah direkayasa ke dalam layanan Ledger Recover. Keamanan adalah prioritas nomor satu, dan ini merupakan komitmen yang tidak akan pernah bisa dikompromikan. 

Meskipun kami terus berupaya untuk memberikan pengalaman pengguna yang lancar agar 100 juta orang berikutnya dapat bergabung dengan Web3, kami tidak akan pernah ragu untuk mengaktifkan perlindungan ini, secara efektif mengunci seluruh layanan Ledger Recover, jika potensi ancaman muncul. Dalam misi kami untuk melindungi, pilihan antara menjalankan layanan yang berpotensi disusupi dan memastikan keamanan tertinggi sudah jelas – kami memilih keamanan.

Kesimpulan

Di sini kita berada di akhir bagian Keamanan Operasional dari seri ini. Pada bagian ini, kami telah mencoba menjawab segala kekhawatiran Anda mengenai bagaimana langkah-langkah keamanan sistem Ledger Recover dapat dipastikan tidak dapat ditembus. Kami berbicara tentang infrastruktur, pemisahan tugas, tata kelola dan pemantauan, dan terakhir strategi Incident Response. 

Terima kasih sekali lagi telah membaca sampai titik ini! Anda sekarang harus memiliki pemahaman komprehensif tentang keamanan operasional Ledger Recover. Bagian terakhir dari rangkaian postingan blog ini adalah tentang masalah keamanan terakhir yang kami alami, dan lebih tepatnya: bagaimana kami mengelola audit keamanan internal dan eksternal untuk menjamin tingkat keamanan maksimum bagi pengguna kami? Pantau terus! 

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security