Deel 5: Ontstaan ​​van Ledger Recover – Operationele beveiliging | Grootboek

Tot nu toe hebben we in deel 1 en 2 laten zien hoe Ledger Recover splitst uw zaad in aandelen en verzendt deze aandelen veilig naar vrienden vertrouwde back-upproviders. In deel 3 hebben we laten zien hoe dat moet bewaart (en herstelt) veilig de aandelen van uw zaad, beschermd door hardware-encryptie, gekoppeld aan uw identiteit en gediversifieerd. In deel 4 hebben we onderzocht hoe Ledger Recover daarin slaagt geef toegang tot uw back-up aan u en alleen aan u.

Het is nu tijd om nader te bekijken hoe we op operationeel niveau maximale veiligheid garanderen. In één oogopslag wordt operationele veiligheid bereikt door:

• Het versterken van de infrastructuur die ten grondslag ligt aan Ledger Recover,
• Het toepassen van functiescheiding op de verschillende operators van Ledger Recover,
• Bewaken van kritische componenten en activiteiten,
• Implementatie van een Recover-specifieke Incident Response.

Laten we eens kijken naar de details van wat elk van deze items betekent.

Verharding van de infrastructuur

Verharding van de infrastructuur kent vele vormen. Het is een 360°-oefening die een breed scala aan activiteiten omvat, gedreven door een grondige analyse van veiligheidsrisico's. Het begint meestal met het bijhouden van een catalogus van aanvalsscenario's die tot beveiligingsproblemen kunnen leiden (zoals datalekken, het nabootsen van klanten die leiden tot het ongeoorloofd herstellen van aandelen, niet-reagerende systemen en verstoring van de dienstverlening). Het voorkomen van deze problemen op operationeel niveau is georganiseerd rond activiteiten zoals het isoleren van bronnen, regulering van systeemtoegang, controle van netwerkverkeer, beheer van kwetsbaarheden en nog veel meer.

Hier is een overzicht van onze belangrijkste maatregelen om de infrastructuur van Ledger Recover te versterken:

Beschikbaarheid van de dienst

De infrastructuur is zo ontworpen dat die er is geen enkel punt van falen (NSPOF), wat betekent dat het systeem bestand is tegen het falen van welk onderdeel dan ook. Laten we het volgende voorbeeld nemen: onze datacenters worden bediend door twee onafhankelijke internetproviders (ISP's), aan twee tegenoverliggende uiteinden van het gebouw. Als de glasvezel beschadigd raakt als gevolg van lopende bouwwerkzaamheden in een deel van het gebouw, worden de gegevens eenvoudigweg via de andere ISP gerouteerd. Storingsvrij onderhoud is nog een ander voordeel dat de beschikbaarheid vergroot. Gegeven dat er minstens twee exemplaren zijn van alle softwarecomponenten van Ledger Recover, kunnen we het systeem opnieuw configureren om alleen exemplaar A te gebruiken tijdens het vervangen/upgraden/repareren van exemplaar B.

Beperkte beheerderstoegang tot Ledger Recover-applicaties

Slechts Een kleiner aantal gebruikers krijgt beheerderstoegang naar de bronnen die zijn toegewezen aan Ledger Recover. Hoe korter de lijst met gebruikers, hoe meer we het risico kunnen verkleinen dat bedreigingen van binnenuit beheerderstoegang krijgen.

Beveiligde fysieke datacenters

De HSM's van de back-upproviders worden gehost in geografisch overbodig fysieke datacenters, beschermd tegen fysieke en virtuele bedreigingen beveiligingstechnieken en -procedures van industrieniveau. Het niveau van fysieke bescherming zorgt ervoor dat geen onbevoegde persoon zomaar met een HSM kan weglopen. Het vertrouwen op datacenters op meerdere locaties betekent dat als er op één locatie een probleem optreedt, een andere locatie het kan overnemen ononderbroken beschikbaarheid van diensten. Last but not least biedt het beheer van onze eigen HSM’s ons de mogelijkheid controle over wie toegang heeft naar hen en welke code wordt ingezet daarop.

Isolatie van Ledger Recover-resources

Alle Ledger Recover-bronnen zijn geïsoleerd van alle andere bronnen binnen de dienstverleners van Ledger Recover, inclusief binnen Coincover en Ledger. Deze isolatie is nodig om ervoor te zorgen dat we potentiële aanvallen van één netwerksegment kunnen tegenhouden, gericht op het exploiteren van bronnen van andere netwerksegmenten.

Beveiliging op codeniveau gegarandeerd via meerdere pijlers

• Wij gebruiken codescanners om ons te helpen kwetsbaarheden in een vroeg stadium te identificeren en aan te pakken, zodat ze niet in de productie terechtkomen.
• Code is beoordeeld en goedgekeurd by een teamonafhankelijk van degene die Ledger Recover ontwikkelt. Deze scheiding is nog een maatregel om de algehele kwaliteit van de code te helpen verbeteren door logische fouten op te sporen die tot beveiligingsproblemen kunnen leiden.
• De code van de kritische modules van Ledger Recover is ondertekend met een cryptografische handtekening. De handtekening wordt gedeeltelijk gegenereerd op basis van de inhoud van de code, waardoor de implementatie van gemanipuleerde code wordt voorkomen door de handtekening te vergelijken met de verwachte waarde. Deze veiligheidscontrole wordt uitgevoerd voordat de code wordt uitgevoerd.

Beheer van netwerkverkeer

Het netwerkverkeer wordt streng gecontroleerd via beleid dat regels definieert voor verkeersstromen voor alle drie de back-upproviders. Door het definiëren van regels voor toegestaan ​​en geweigerd verkeerbeperken we het aanvalsoppervlak en verkleinen we het risico op ongeautoriseerde toegang. Bovendien zorgt het beperken van de communicatie tussen individuele diensten ervoor dat de de zijwaartse beweging van de aanvaller is beperkt, zelfs als één onderdeel wordt aangetast. Daarnaast passen wij wederzijdse TLS (mTLS)-authenticatie toe om Man-in-the-Middle (MiM)-aanvallen te voorkomen. Door de identiteit van beide partijen te verifiëren met certificaten zorgt onderlinge TLS ervoor alleen vertrouwde entiteiten kunnen een veilige verbinding tot stand brengen.

Sleutelrotatie

Encryptie toetsen (bijvoorbeeld gebruikt om gegevens of communicatie te versleutelen) zijn regelmatig veranderd in overeenstemming met de beste praktijken op het gebied van cryptografie. Het voordeel hiervan is dat als een sleutel in gevaar komt, de de schade is beperkt naar de tijd tussen rotaties en naar de gegevens die zijn gecodeerd met de oude sleutel.

Beveiliging uitgaand verkeer

Uitgaand verkeer is beperkt tot bekende domeinen en IP-adressen (back-upproviders, serviceproviders). Het beperken en monitoren van uitgaand verkeer is een manier om dat te doen blijf alert op mogelijke datalekken. Als het volume aan uitgaande gegevensstromen groter is dan verwacht, kan een kwaadwillende actor op grote schaal gevoelige gegevens uit het Ledger Recover-systeem extraheren. 

Beveiliging van inkomend verkeer

Binnenkomend verkeer wordt beschermd door een combinatie van anti-DDoS, Web Application Filtering (WAF) en IP-filtertechnieken. Gedistribueerde denial-of-service (DDoS)-aanvallen veroorzaken schade door hun doelsysteem te overspoelen met verzoeken. Beperking van het aantal inkomende verzoeken is een bekende maatregel tegen dergelijke aanvallen. Nu gaan niet alle aanvallen over kwantiteit, sommige gaan over kwaliteit. Dit is waar WAF in het spel komt. WAF kijkt naar binnenkomende verzoeken en inspecteert hun beoogde gedrag: als het verzoek gericht is op het verkrijgen van ongeautoriseerde toegang of het manipuleren van gegevens, blokkeert het filter het verzoek. Ten slotte maakt IP-filtering gebruik van de dubbele techniek van a) whitelisting, dat wil zeggen: toestaan alleen verkeer vanaf specifieke IP-adressen of bereiken, en b) zwarte lijst, dat wil zeggen, blokkeren verkeer van bekende aanvaller-IP's.       

Beheer van kwetsbaarheden

De componenten van de Ledger Recover-infrastructuur zijn continu en systematisch gescand voor bekende kwetsbaarheden en verkeerde configuratie, en er worden regelmatig patches/updates toegepast. Dit helpt bij het reageren op nieuwe soorten bedreigingen wanneer deze zich voordoen en zorgt ervoor dat de beveiligingsmaatregelen up-to-date en van wereldklasse blijven.

Scheiding van verantwoordelijkheden

Het scheiden van taken vormt de kern van de beveiligingsstrategie van Ledger Recover. 

De scheiding van taken tussen de verschillende Back-upproviders (deel 3) en IDV-aanbieders (deel 4) is beschreven in de vorige berichten. U herinnert zich misschien dat er:

• 3 aandelen van de Secret Recovery Phrase beheerd door 3 onafhankelijke back-upproviders (met databasediversificatie bovenaan om collusie te voorkomen)
• 2 onafhankelijke identiteitsvalidators (IDV-providers)

Op infrastructuurniveau is scheiding van verantwoordelijkheden is toegepast tussen de verschillende rollen die betrokken zijn bij de ontwikkeling en werking van Ledger Recover.

Daarnaast combineren wij de functiescheiding met de het ‘least privilege’-principe. “Least privilege” is het principe dat wordt toegepast op systeembeheerders en beheerders: ze krijgen alleen het recht om te doen wat ze moeten doen, zodat zij het laagste niveau van toestemming krijgen dat nodig is om hun taken uit te voeren. 

Dus wanneer “least privilege” wordt gecombineerd met “scheiding van taken”, Er zijn verschillende beheerdersrollen toegewezen aan verschillende mensen zodat geen enkele persoon de vertrouwelijkheid of integriteit van enig systeemonderdeel kan beschadigen/in gevaar brengen. Ontwikkelaars van Ledger Recover-code hebben bijvoorbeeld geen toegang tot het systeem waarop de door hen geschreven code draait.

Bestuur: Quorums

Vergelijkbaar met de consensusmechanismen van Blockchains die integriteit en veiligheid garanderen door meerdere actoren blokken te laten verifiëren, hebben we een quorum aangenomen binnen het Ledger Recover-systeem om onze operationele veiligheid te verbeteren.

Ondanks onze robuuste antecedentenonderzoeken van onze medewerkers blijft het een feit dat mensen een zwakke schakel in elk systeem kunnen zijn, en de cryptosfeer vormt hierop geen uitzondering. Spraakmakende veiligheidsincidenten, zoals de Mount Gox-hack uit 2014aantonen hoe individuen kunnen worden uitgebuit of tot veiligheidslekken kunnen leiden. Mensen kunnen worden beïnvloed of gedwongen door middel van verschillende motivaties – geld, ideologie, dwang, ego (ook bekend als MICE(S)) – waardoor zelfs de strengste antecedentenonderzoeken niet geheel onfeilbaar zijn.

Om dergelijke risico's te beperken, gebruiken we een systeem dat gebaseerd is op het concept van een quorum. Dit raamwerk vereist de consensus van ten minste drie geautoriseerde personen uit verschillende teams of afdelingen binnen back-upproviders voordat er belangrijke beslissingen of kritische acties kunnen worden genomen. 

Het exacte aantal personen dat betrokken is bij onze verschillende quorums wordt om veiligheidsredenen niet bekendgemaakt. Toch vergroot het loutere bestaan ​​ervan onze operationele veiligheid aanzienlijk door de potentiële invloed van elk afzonderlijk gecompromitteerd individu te verkleinen.

Hier volgen enkele activiteiten waarbij we quorums gebruiken:

1. Het genereren van de privésleutels voor Ledger Recover HSM's: Deze kritieke operatie wordt beschermd door onafhankelijke quorums binnen elke entiteit – Coincover, EscrowTech en Ledger. Elk lid van deze afzonderlijke quorums moet aanwezig zijn om privésleutels in hun respectievelijke HSM's te genereren. Elk quorumlid heeft toegang tot een back-upsleutel, die van cruciaal belang is voor het herstellen en opnieuw genereren van hun HSM-geheimen, indien nodig. Deze structuur beschermt niet alleen tegen het risico dat een persoon ongepaste invloed heeft op een van de drie HSM's van de back-upprovider, maar verbetert ook de algehele systeemintegriteit omdat elk quorum onafhankelijk opereert en zich niet bewust is van elkaars specifieke kenmerken.

2. Het beslissen over een uitzonderlijke vrijgave van een klantaandeel: Specifieke, zij het zeldzame, situaties kunnen een uitzonderlijke vrijgave van het aandeel van een klant vereisen. Deze kunnen te wijten zijn aan fouten in de identiteitsverificatie (naamswijziging, fysieke misvorming, enz.), of als onze niet bekendgemaakte beveiligingsmaatregelen een apparaat ten onrechte op de zwarte lijst blokkeren. Wanneer een dergelijke situatie zich voordoet, komt er een quorum samen dat bestaat uit meerdere personen van de back-upproviders. Deze procedure, die een brede consensus vereist, zorgt ervoor dat beslissingen niet overhaast of eenzijdig worden genomen, waardoor de veiligheid van de klant wordt vergroot. Elk lid van het quorum gebruikt zijn Ledger Nano-apparaat (met zijn eigen pincode) om de release goed te keuren, waardoor een extra beveiligingslaag wordt toegevoegd tegen mogelijke samenzwering of individuele fouten.

3. Ondertekening HSM-firmwarecode-update: Voordat een nieuwe firmware-update voor de HSM's wordt geïmplementeerd, voert ons productbeveiligingsteam, de Ledger Donjon, een uitgebreid beoordelingsproces uit. Als onderdeel van het firmwarequorum zorgt de Ledger Donjon ervoor dat er geen backdoors of kwaadaardige code zijn geïntroduceerd door een kwaadwillende insider of een gecompromitteerde ontwikkelingspijplijn via een supply chain-aanval. Op die manier behouden ze de integriteit en veiligheid van de firmware-update.

4. Firmwarecode-update voor Ledger-apparaten (Nano & Stax) ondertekenen: Net als de firmware voor de HSM's ondergaan updates van de firmware van ons Ledger-apparaat een strikt beoordelingsproces en vereisen ze quorumgoedkeuring voordat ze via Ledger Live aan onze gebruikers worden voorgesteld.

Kortom, quorums zijn een integraal onderdeel van de beveiligingsarchitectuur van Ledger Recover. Ze spelen een belangrijke rol bij het versterken van de verdediging tegen interne dreigingen en samenzwering tijdens cruciale operaties. Door gebruik te maken van de eersteklas beveiliging van Ledger-apparaten en -services helpen quorums het vertrouwen te waarborgen en de digitale activa van gebruikers te beschermen tegen kwaadwillende insiders.

Bewaken van kritische componenten en activiteiten

Terwijl we ons verdiepen in dit hoofdstuk, is het belangrijk op te merken dat we om veiligheidsredenen slechts een subset van de uitgebreide monitoringactiviteiten voor de Ledger Recover-service openbaar maken. Hoewel we vasthouden aan onze toewijding aan transparantie, erkennen we ook het belang van het handhaven van discretie met betrekking tot de details van de interne controles en het toezicht op de operationele veiligheid.

Bij Ledger is veiligheid onze prioriteit. Het vormt de kern van onze oplossingen, die zijn gebouwd op robuuste cryptografische protocollen zoals beschreven in onze Grootboekherstel whitepaper. Maar ons werk gaat verder dan het creëren van veilige systemen. We monitoren en beoordelen onze activiteiten voortdurend, op zoek naar verdachte activiteiten. Deze voortdurende waakzaamheid versterkt ons veiligheidsbeleid en zorgt ervoor dat we altijd klaar staan ​​om te reageren. 

Laten we enkele voorbeelden bekijken van onze meerlaagse aanpak:

Beheerdersactiviteiten monitoren: We handhaven een strenge toegangscontrole voor onze beheerders. We hebben niet alleen 2FA (Two-Factor Authentication) nodig voor alle administratieve verbindingen met onze infrastructuur, maar we verplichten ook validatie door meerdere personen voor toegang tot de beheerdersinfrastructuur op kritieke delen van het systeem. Bovendien registreren en volgen onze systemen elke administratieve activiteit nauwgezet. Er wordt automatisch naar deze logboeken verwezen met onze interne ticketingsystemen om ongeplande acties te detecteren. Deze voorzichtige correlatie stelt ons in staat om onze beveiligingsteams onmiddellijk te waarschuwen voor ongebruikelijk of verdacht gedrag, waardoor onze operationele veiligheid wordt versterkt.

Kruiscontrole tussen back-upproviders: Transparantie en verantwoording vormen de basis van de relaties tussen de backup providers, Ledger, EscrowTech en Coincover. We hebben een realtime uitwisseling van logboeken tot stand gebracht die worden gebruikt voor systeemmonitoring en beveiliging. Dit maakt kruisverificatie van activiteiten mogelijk. Als er inconsistenties worden gedetecteerd, wordt de service onmiddellijk vergrendeld om de eigendommen van gebruikers te beschermen.

Toezicht houden op uitzonderlijke vrijgaveactiviteiten: De zeldzame gevallen van handmatige vrijgave van aandelen worden nauwgezet gecontroleerd via een proces met meerdere quorums, zoals we in de vorige sectie hebben uitgelegd. Na de uitvoering van de uitzonderlijke vrijgaveactiviteit gaan Ledger Recover-systemen verder met uitgebreide monitoring, inclusief gedetailleerde registratie en analyse van de betrokken partijen, het tijdstip van gebruik en andere relevante details. Dit proces, dat zowel de multi-quorumuitvoering als de post-action monitoring omvat, zorgt ervoor dat de uitzonderlijke vrijgave van aandelen in alle fasen van het besluitvormingsproces streng wordt gecontroleerd.

Gebruik maken van beveiligingsinformatie en gebeurtenisbeheer (SIEM): De SIEM-oplossing vormt een cruciaal onderdeel van de Ledger Recover-monitoringstrategie. Deze speciale SIEM verbetert de mogelijkheid om potentiële beveiligingsproblemen in realtime te identificeren en erop te reageren. Het is verfijnd om een ​​verscheidenheid aan Indicators of Compromise (IoC's) te identificeren op basis van cluster- en Ledger Recover-applicatielogboeken, dankzij specifieke detectieregels die speciaal zijn ontwikkeld voor de Ledger Recover-service. Als een aangepaste IoC wordt gedetecteerd, volgt er automatisch en onmiddellijk een reactie: het hele cluster wordt vergrendeld totdat een grondige analyse is uitgevoerd. In de Ledger Recover-service krijgt vertrouwelijkheid prioriteit boven de beschikbaarheid van de service om de grootst mogelijke bescherming van de activa van gebruikers te garanderen.

In het dynamische landschap van cyberbeveiliging hebben we een strategie ontwikkeld en ons voorbereid op verschillende scenario's. Ons dreigingsmodel houdt rekening met de onwaarschijnlijke situatie waarin meerdere infrastructuurbeheerders van verschillende back-upproviders in gevaar kunnen komen. Met strenge veiligheidsmaatregelen en automatische reacties streeft de Ledger Recover-service ernaar de voortdurende veiligheid van de activa van gebruikers te garanderen, zelfs in dergelijke buitengewone omstandigheden. In het volgende gedeelte schetsen we de alomvattende responsmaatregelen die zijn ontwikkeld om dergelijke hypothetische situaties aan te pakken.

Ledger Recover-specifieke incidentrespons

Met de Ledger Recover-service is een Incident Response-strategie ontwikkeld, die in samenwerking met de drie back-upproviders is ontworpen. Een centraal onderdeel van deze strategie zijn automatische beveiligingen die het hele systeem onmiddellijk vergrendelen bij het detecteren van verdachte activiteiten in enig deel van de infrastructuur. 

In wezen is er een ‘altijd veilig, nooit sorry’-protocol ingebouwd in de Ledger Recover-service. Beveiliging is prioriteit nummer één, en het is een verplichting waar nooit concessies aan zullen worden gedaan. 

Hoewel we er voortdurend naar streven om een ​​naadloze gebruikerservaring te bieden om de volgende 100 miljoen mensen toegang te geven tot Web3, zullen we nooit aarzelen om deze beveiligingen te activeren. het effectief afsluiten van de gehele Ledger Recover-service, als zich een potentiële bedreiging voordoet. In onze missie om te beschermen is de keuze tussen het runnen van een mogelijk gecompromitteerde dienst en het garanderen van ultieme veiligheid duidelijk: wij kiezen voor veiligheid.

Conclusie

Hier zijn we aan het einde van het deel Operationele beveiliging van deze serie. In dit deel hebben we geprobeerd al uw zorgen te beantwoorden over de manier waarop de ondoordringbaarheid van de beveiligingsmaatregelen van het Ledger Recover-systeem wordt gewaarborgd. We hebben gesproken over de infrastructuur, de scheiding van taken, het bestuur en de monitoring, en ten slotte de Incident Response-strategie. 

Nogmaals bedankt voor het lezen tot op dit punt! U zou nu een uitgebreid inzicht moeten hebben in de operationele veiligheid van Ledger Recover. Het laatste deel van deze blogpostreeks gaat over de laatste beveiligingsproblemen die we hadden, en preciezer: hoe hebben we onze interne en externe beveiligingsaudits beheerd om het maximale beveiligingsniveau voor onze gebruikers te garanderen? Blijf kijken! 

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security