Parte 5: Genesi di Ledger Recover – Sicurezza operativa | Registro

Finora, abbiamo mostrato nelle parti 1 e 2, come Ledger Recover divide il tuo seme in azioni ed invia tali condivisioni in modo sicuro a amici fornitori di backup affidabili. Nella parte 3, abbiamo mostrato come farlo conserva (e ripristina) in modo sicuro le quote del tuo seed, protetti da crittografia hardware, legati alla tua identità e diversificati. Nella parte 4, abbiamo esplorato come riesce a farlo Ledger Recover dare accesso al backup a te e solo a te.

È giunto il momento di esaminare più da vicino come garantiamo la massima sicurezza a livello operativo. In sintesi, la sicurezza operativa si ottiene:

• Rafforzare l'infrastruttura alla base di Ledger Recover,
• Applicare la separazione dei compiti ai diversi operatori di Ledger Recover,
• Monitoraggio di componenti e operazioni critiche,
• Implementazione di una risposta all'incidente specifica per Recover.

Immergiamoci nei dettagli di ciò che significa ciascuno di questi elementi.

Rafforzamento delle infrastrutture

Il rafforzamento dell’infrastruttura può assumere molte forme. È un esercizio a 360° che coinvolge un'ampia gamma di attività guidate da un'analisi approfondita dei rischi per la sicurezza. Di solito inizia mantenendo un catalogo di scenari di attacco che potrebbero portare a problemi di sicurezza (come fughe di dati, imitazione di client che portano al ripristino non autorizzato di condivisioni, sistemi non reattivi e interruzione del servizio). La prevenzione di questi problemi a livello operativo è organizzata attorno ad attività come l’isolamento delle risorse, la regolamentazione dell’accesso al sistema, il controllo del traffico di rete, la gestione delle vulnerabilità e molto altro.

Ecco una carrellata delle nostre misure chiave per rafforzare l'infrastruttura di Ledger Recover:

Disponibilità del servizio

L'infrastruttura è progettata in modo che ci sia nessun singolo punto di guasto (NSPOF), il che significa che il sistema è resistente al guasto di qualsiasi componente. Prendiamo il seguente esempio: i nostri data center sono serviti da due fornitori di servizi Internet (ISP) indipendenti, alle due estremità opposte dell'edificio. Se la fibra viene danneggiata a causa di lavori di costruzione in corso in una parte dell'edificio, i dati verranno semplicemente instradati attraverso l'altro ISP. La manutenzione senza interruzioni è un altro vantaggio che migliora la disponibilità. Dato che esistono almeno due istanze di tutti i componenti software di Ledger Recover, possiamo riconfigurare il sistema per utilizzare solo l'istanza A durante la sostituzione/aggiornamento/riparazione dell'istanza B.

Accesso amministrativo limitato alle applicazioni Ledger Recover

Solo a un gruppo ridotto di utenti viene concesso l'accesso amministrativo alle risorse dedicate a Ledger Recover. Più breve è l'elenco degli utenti, più possiamo ridurre il rischio che minacce interne ottengano l'accesso amministrativo.

Data center fisici protetti

Gli HSM dei provider di backup sono ospitati in geograficamente ridondante data center fisici, protetti dalle minacce fisiche e virtuali utilizzando tecniche e procedure di sicurezza di livello industriale. Il livello di protezione fisica garantisce che nessun individuo non autorizzato possa allontanarsi casualmente con un HSM. Affidarsi a data center dislocati su più siti significa che se in una sede si verifica un problema, un'altra posizione può subentrare, fornendolo disponibilità ininterrotta del servizio. Ultimo ma non meno importante, la gestione dei nostri HSM ci offre controllo su chi ha accesso a loro e quale codice viene distribuito su di esse.

Isolamento delle risorse di Ledger Recover

Tutte le risorse di Ledger Recover sono isolate da qualsiasi altra risorsa all'interno dei fornitori di servizi di Ledger Recover, inclusi Coincover e Ledger. Questo isolamento è necessario per garantire di poter contenere potenziali attacchi da una sezione di rete volti a sfruttare le risorse di altre sezioni di rete.

Sicurezza a livello di codice garantita tramite più pilastri

• Usiamo scanner di codici per aiutarci a identificare e affrontare tempestivamente le vulnerabilità, impedendo loro di entrare nella produzione.
• Code is rivisto e approvato by una squadra indipendente di quello che sviluppa Ledger Recover. Questa separazione è ancora un'altra misura per contribuire a migliorare la qualità complessiva del codice individuando difetti logici che potrebbero portare a problemi di sicurezza.
• Il codice del moduli critici di Ledger Recover è firmato utilizzando una firma crittografica. La firma viene parzialmente generata in base al contenuto del codice, impedendo la distribuzione di codice manomesso confrontando la firma con il suo valore previsto. Questo controllo di sicurezza viene eseguito prima dell'esecuzione del codice.

Controllo del traffico di rete

Il traffico di rete è strettamente controllato tramite policy che definiscono le regole per i flussi di traffico per tutti e 3 i provider di backup. Di definire regole per il traffico consentito e negato, limitiamo la superficie di attacco e riduciamo il rischio di accessi non autorizzati. Inoltre, limitare la comunicazione tra i singoli servizi garantisce che il movimento laterale dell'attaccante è limitato, anche se un componente è compromesso. Inoltre, applichiamo l'autenticazione Mutual TLS (mTLS) per prevenire attacchi Man-in-the-Middle (MiM). Verificando l'identità di entrambe le parti con certificati, il TLS reciproco lo garantisce solo le entità fidate possono stabilire una connessione sicura.

Rotazione della chiave

crittografia Tasti (utilizzati, ad esempio, per crittografare dati o comunicazioni). cambiato regolarmente in linea con le migliori pratiche di crittografia. Il vantaggio è che se una chiave viene compromessa, il file il danno è limitato al tempo tra le rotazioni e ai dati crittografati con la vecchia chiave.

Sicurezza del traffico in uscita

Il traffico in uscita è limitato ai soli domini e indirizzi IP conosciuti (provider di backup, fornitori di servizi). Limitare e monitorare il traffico in uscita è un modo per farlo stai attento a potenziali fughe di dati. Se il volume dei flussi di dati in uscita è superiore al previsto, un utente malintenzionato potrebbe estrarre dati sensibili dal sistema Ledger Recover su scala significativa. 

Sicurezza del traffico in entrata

Il traffico in entrata è protetto da una combinazione di tecniche anti-DDoS, Web Application Filtering (WAF) e di filtraggio IP. Gli attacchi DDoS (Distributed Denial of Service) provocano danni sovraccaricando di richieste il sistema bersaglio. Limitare il numero di richieste in arrivo è una misura ben nota contro tali attacchi. Ora, non tutti gli attacchi riguardano la quantità, alcuni riguardano la qualità. È qui che entra in gioco il WAF. WAF esamina le richieste in arrivo e controlla il comportamento previsto: se la richiesta mira ad ottenere un accesso non autorizzato o a manipolare dati, il filtro blocca la richiesta. Infine, il filtraggio IP utilizza la doppia tecnica di a) whitelisting, cioè permettendo traffico solo da indirizzi IP specifici o intervalli e b) lista nera, cioè bloccando traffico proveniente da IP di aggressori noti.       

Gestione delle vulnerabilità

I componenti dell'infrastruttura Ledger Recover sono continui e sistematici digitalizzato per vulnerabilità note e configurazione erratae le patch/aggiornamenti vengono applicati regolarmente. Ciò aiuta la risposta ai nuovi tipi di minacce non appena emergono e mantiene le misure di sicurezza aggiornate e di livello mondiale.

Separazione dei compiti

La separazione dei compiti è al centro della strategia di sicurezza di Ledger Recover. 

La separazione dei compiti tra i vari Fornitori di backup (parte 3) e Fornitore IDVs (parte 4) è stata descritta nei post precedenti. Potresti ricordare che ci sono:

• 3 condivisioni della Secret Recovery Phrase gestite da 3 fornitori di backup indipendenti (con in più la diversificazione del database per prevenire collusioni)
• 2 validatori di identità indipendenti (provider IDV)

A livello infrastrutturale, separazione dei compiti viene applicata tra i diversi ruoli coinvolti nello sviluppo e nel funzionamento di Ledger Recover.

Inoltre, combiniamo la separazione dei compiti con la principio del “privilegio minimo”.. Il “privilegio minimo” è il principio applicato agli operatori e agli amministratori di sistema: viene concesso loro il diritto di fare solo ciò di cui hanno bisogno, garantendo che ricevano il livello più basso di autorizzazione richiesto per svolgere le loro funzioni. 

Così, quando Il “privilegio minimo” è combinato con la “separazione dei compiti”, vari ruoli di amministratore sono assegnati a persone diverse in modo che nessuna singola persona possa danneggiare/compromettere la riservatezza o l'integrità di qualsiasi componente del sistema. Ad esempio, gli sviluppatori del codice Ledger Recover non hanno accesso al sistema che esegue il codice da loro scritto.

Governance: Quorum

Similmente ai meccanismi di consenso di Blockchain che garantiscono integrità e sicurezza facendo verificare i blocchi da più attori, abbiamo adottato un quorum all'interno del sistema Ledger Recover per migliorare la nostra sicurezza operativa.

Nonostante i nostri accurati controlli sui precedenti dei nostri dipendenti, resta il fatto che gli esseri umani possono essere un anello debole in qualsiasi sistema e la criptosfera non fa eccezione. Incidenti di sicurezza di alto profilo, come il Hack di Mt.Gox del 2014, dimostrano come gli individui possano essere sfruttati o portare a falle di sicurezza. Le persone possono essere influenzate o costrette attraverso varie motivazioni – Denaro, Ideologia, Coercizione, Ego (aka, MICE(S)) – rendendo anche i controlli dei precedenti più rigorosi non del tutto infallibili.

Per mitigare tali rischi, utilizziamo un sistema basato sul concetto di quorum. Questo quadro richiede il consenso di almeno tre persone autorizzate provenienti da diversi team o dipartimenti all'interno dei fornitori di backup prima che possa essere intrapresa qualsiasi decisione significativa o azione critica. 

Il numero esatto delle persone coinvolte nei nostri diversi quorum rimane segreto per motivi di sicurezza. Tuttavia, la sua semplice esistenza migliora in modo significativo la nostra sicurezza operativa diluendo la potenziale influenza di ogni singolo individuo compromesso.

Ecco alcune delle attività in cui utilizziamo i quorum:

1. Generazione delle chiavi private per gli HSM di Ledger Recover: Questa operazione fondamentale è salvaguardata da quorum indipendenti all'interno di ciascuna entità: Coincover, EscrowTech e Ledger. Ciascun membro di questi quorum distinti deve essere presente per generare chiavi private nei rispettivi HSM. Ogni membro del quorum ha accesso a una chiave di backup, fondamentale per ripristinare e rigenerare i segreti HSM, se necessario. Questa struttura non solo protegge dal rischio che qualsiasi persona abbia un'influenza indebita su uno dei tre HSM del provider di backup, ma migliora anche l'integrità complessiva del sistema poiché ciascun quorum opera in modo indipendente e non è a conoscenza delle specifiche dell'altro.

2. Decidere un rilascio eccezionale della quota di un cliente: Situazioni specifiche, anche se rare, possono richiedere uno svincolo eccezionale della quota di un cliente. Ciò potrebbe essere dovuto a errori di verifica dell'identità (cambio di nome, deturpazione fisica, ecc.) o se le nostre misure di sicurezza non divulgate bloccano erroneamente un dispositivo nella lista nera. Quando si verifica una situazione del genere, si riunisce un quorum composto da più persone dei fornitori di backup. Questa procedura, che necessita di un ampio consenso, garantisce che le decisioni non vengano prese in modo affrettato o unilaterale, aumentando così la sicurezza del cliente. Ogni membro del quorum utilizza il proprio dispositivo Ledger Nano (con il proprio pin) per approvare il rilascio, aggiungendo un ulteriore livello di sicurezza contro possibili collusioni o errori individuali.

3. Firma dell'aggiornamento del codice firmware HSM: prima di distribuire un nuovo aggiornamento firmware agli HSM, il nostro team di sicurezza del prodotto, Ledger Donjon, conduce un processo di revisione completo. Essendo parte del quorum del firmware, il Ledger Donjon garantisce che nessuna backdoor o codice dannoso sia stato introdotto da un interno malintenzionato o che una pipeline di sviluppo compromessa tramite un attacco alla catena di fornitura. In questo modo, mantengono l'integrità e la sicurezza dell'aggiornamento del firmware.

4. Aggiornamento del codice firmware dei dispositivi Signing Ledger (Nano e Stax): Proprio come il firmware per gli HSM, gli aggiornamenti al firmware del nostro dispositivo Ledger passano attraverso un rigoroso processo di revisione e richiedono l'approvazione del quorum prima di essere proposti ai nostri utenti tramite Ledger Live.

In conclusione, i quorum sono parte integrante dell'architettura di sicurezza di Ledger Recover. Svolgono un ruolo importante nel rafforzare le difese contro le minacce interne canaglia e la collusione durante le operazioni vitali. Sfruttando la sicurezza di prim'ordine dei dispositivi e dei servizi Ledger, i quorum aiutano a garantire la fiducia e a proteggere le risorse digitali degli utenti da utenti interni malintenzionati.

Monitoraggio di componenti e operazioni critiche

Mentre approfondiamo questo capitolo, è importante notare che, per motivi di sicurezza, stiamo divulgando solo un sottoinsieme delle attività di monitoraggio estese per il servizio Ledger Recover. Pur mantenendo il nostro impegno per la trasparenza, riconosciamo anche l’importanza di mantenere la discrezione sui dettagli dei controlli interni e sul monitoraggio della sicurezza operativa.

In Ledger, la sicurezza è la nostra priorità. È al centro delle nostre soluzioni, che sono basate su robusti protocolli crittografici come dettagliato nel nostro Libro bianco sul recupero del registro. Ma il nostro lavoro continua oltre la creazione di sistemi sicuri. Monitoriamo e valutiamo costantemente le nostre operazioni, cercando eventuali attività sospette. Questa vigilanza continua rafforza il nostro atteggiamento in materia di sicurezza, garantendo che siamo sempre pronti a rispondere. 

Esploriamo alcuni esempi del nostro approccio multilivello:

Monitoraggio delle attività dell'amministratore: Applichiamo un rigoroso controllo degli accessi per i nostri amministratori. Non solo richiediamo la 2FA (autenticazione a due fattori) per tutte le connessioni amministrative alla nostra infrastruttura, ma imponiamo anche la convalida a più persone per l'accesso amministrativo all'infrastruttura sulle parti critiche del sistema. Inoltre, i nostri sistemi registrano e tracciano meticolosamente ogni attività amministrativa. Questi registri vengono incrociati automaticamente con i nostri sistemi di ticketing interni per rilevare eventuali azioni non pianificate. Questa cauta correlazione ci consente di allertare tempestivamente i nostri team di sicurezza in merito a qualsiasi comportamento insolito o sospetto, rafforzando la nostra sicurezza operativa.

Controllo incrociato tra i provider di backup: Trasparenza e responsabilità costituiscono la base delle relazioni tra i fornitori di backup, Ledger, EscrowTech e Coincover. Abbiamo stabilito uno scambio in tempo reale di registri utilizzati per il monitoraggio e la sicurezza del sistema. Ciò consente la verifica incrociata delle attività. Se viene rilevata un'incoerenza, il servizio viene immediatamente bloccato per proteggere le risorse degli utenti.

Supervisione dell'attività di rilascio eccezionale: I rari casi di rilascio manuale delle condivisioni vengono meticolosamente controllati attraverso un processo multi-quorum, come spiegato nella sezione precedente. Dopo l'esecuzione dell'attività di rilascio eccezionale, i sistemi Ledger Recover procedono con un monitoraggio completo, inclusa la registrazione dettagliata e l'analisi delle parti coinvolte, il tempo di operazione e altri dettagli rilevanti. Questo processo, che coinvolge sia l'esecuzione multi-quorum che il monitoraggio post-azione, garantisce che il rilascio eccezionale di azioni sia strettamente controllato in tutte le fasi del processo decisionale.

Sfruttare la gestione delle informazioni e degli eventi sulla sicurezza (SIEM): La soluzione SIEM costituisce una parte cruciale della strategia di monitoraggio di Ledger Recover. Questo SIEM dedicato migliora la capacità di identificare e rispondere a potenziali problemi di sicurezza in tempo reale. È ottimizzato per identificare una varietà di indicatori di compromissione (IoC) basati sui log dell'applicazione Ledger Recover e del cluster, grazie a regole di rilevamento specifiche sviluppate appositamente per il servizio Ledger Recover. Se viene rilevato un IoC personalizzato, la risposta è automatica e immediata: l'intero cluster viene bloccato finché non viene condotta un'analisi approfondita. Nel servizio Ledger Recover la riservatezza è prioritaria rispetto alla disponibilità del servizio per garantire la massima protezione del patrimonio degli utenti.

Nel panorama dinamico della sicurezza informatica, abbiamo messo a punto strategie e preparati per vari scenari. Il nostro modello di minaccia tiene conto della situazione improbabile in cui più amministratori dell'infrastruttura di diversi fornitori di backup potrebbero essere compromessi. Con misure di salvaguardia rigorose e risposte automatiche in atto, il servizio Ledger Recover mira a garantire la continua sicurezza delle risorse degli utenti anche in circostanze straordinarie. Nella sezione seguente, delineeremo le misure di risposta globali ideate per affrontare tali situazioni ipotetiche.

Risposta agli incidenti specifici di Ledger Recover

Con il servizio Ledger Recover è stata costruita una strategia di Incident Response, progettata in collaborazione con i tre fornitori di backup. Una parte centrale di questa strategia sono le protezioni automatiche che bloccano immediatamente l’intero sistema non appena rilevano attività sospette in qualsiasi parte dell’infrastruttura. 

In sostanza, nel servizio Ledger Recover è stato integrato un protocollo “sempre sicuro, mai dispiaciuto”. La sicurezza è la priorità numero uno ed è un impegno su cui non si scenderà mai a compromessi. 

Mentre ci impegniamo continuamente a fornire un'esperienza utente fluida per integrare i prossimi 100 milioni di persone in Web3, non esiteremo mai ad attivare queste misure di sicurezza, bloccando efficacemente l'intero servizio Ledger Recover, se si presenta una potenziale minaccia. Nella nostra missione di protezione, la scelta tra eseguire un servizio potenzialmente compromesso e garantire la massima sicurezza è chiara: scegliamo la sicurezza.

Conclusione

Eccoci giunti alla fine della parte relativa alla sicurezza operativa di questa serie. In questa parte, abbiamo cercato di rispondere a qualsiasi dubbio tu possa avere riguardo a come viene garantita l'inespugnabilità delle misure di sicurezza del sistema Ledger Recover. Abbiamo parlato dell'infrastruttura, della separazione dei compiti, della governance e del monitoraggio e infine della strategia di Incident Response. 

Grazie ancora per aver letto fino a questo punto! Ora dovresti avere una conoscenza completa della sicurezza operativa di Ledger Recover. La parte finale di questa serie di post sul blog riguarderà gli ultimi dubbi sulla sicurezza che abbiamo avuto e, più precisamente: come abbiamo gestito i nostri controlli di sicurezza interni ed esterni per garantire il massimo livello di sicurezza ai nostri utenti? Rimani sintonizzato! 

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security