Część 5: Geneza odzyskiwania księgi — bezpieczeństwo operacyjne | Księga główna

Jak dotąd pokazaliśmy w części 1 i 2, jak Ledger Recover dzieli Twoje ziarno na udziały i wysyła te akcje w sposób bezpieczny do przyjaciele zaufani dostawcy kopii zapasowych. W części 3 pokazaliśmy jak to jest bezpiecznie przechowuje (i przywraca) udziały w swoich nasionach, chronione szyfrowaniem sprzętowym, powiązane z Twoją tożsamością i zróżnicowane. W części 4 sprawdziliśmy, jak radzi sobie Ledger Recover daj dostęp do kopii zapasowej tylko Tobie i Tobie.

Nadszedł czas, aby przyjrzeć się bliżej, w jaki sposób zapewniamy maksymalne bezpieczeństwo na poziomie operacyjnym. W skrócie bezpieczeństwo operacyjne osiąga się poprzez:

• Wzmocnienie infrastruktury leżącej u podstaw Ledger Recover,
• Zastosowanie podziału obowiązków dla różnych operatorów Ledger Recover,
• Monitorowanie krytycznych komponentów i operacji,
• Wdrażanie reakcji na incydenty specyficznej dla odzyskiwania.

Przyjrzyjmy się szczegółowo, co oznacza każdy z tych elementów.

Utwardzanie infrastruktury

Utwardzanie infrastruktury może przybierać różne formy. Jest to ćwiczenie 360°, które obejmuje szeroki zakres działań opartych na dokładnej analizie zagrożeń bezpieczeństwa. Zwykle rozpoczyna się od utrzymania katalogu scenariuszy ataków, które mogą prowadzić do problemów z bezpieczeństwem (takich jak wycieki danych, podszywanie się pod klientów prowadzące do nieautoryzowanego przywrócenia udziałów, brak reakcji systemów i zakłócenia usług). Zapobieganie tym problemom na poziomie operacyjnym opiera się na takich działaniach, jak izolacja zasobów, regulacja dostępu do systemu, kontrola ruchu sieciowego, zarządzanie podatnościami i wiele innych.

Oto podsumowanie naszych kluczowych działań mających na celu wzmocnienie infrastruktury Ledger Recover:

Dostępność usługi

Infrastruktura jest tak zaprojektowana, żeby była brak pojedynczego punktu awarii (NSPOF), co oznacza, że ​​system jest odporny na awarię dowolnego komponentu. Weźmy następujący przykład: nasze centra danych są obsługiwane przez dwóch niezależnych dostawców usług internetowych (ISP) na dwóch przeciwległych końcach budynku. Jeśli światłowód zostanie uszkodzony w wyniku trwających prac budowlanych w jednej części budynku, dane zostaną po prostu przesłane przez drugiego dostawcę usług internetowych. Konserwacja bez zakłóceń to kolejna korzyść zwiększająca dostępność. Biorąc pod uwagę, że istnieją co najmniej dwie instancje wszystkich komponentów oprogramowania Ledger Recover, możemy ponownie skonfigurować system tak, aby podczas wymiany/aktualizacji/naprawiania instancji B używał tylko instancji A.

Ograniczony dostęp administratora do aplikacji Ledger Recover

Tylko ograniczona grupa użytkowników otrzymuje dostęp administracyjny do zasobów poświęconych Ledger Recover. Im krótsza lista użytkowników, tym bardziej możemy zmniejszyć ryzyko, że zagrożenia wewnętrzne uzyskają dostęp administratora.

Zabezpieczone fizyczne centra danych

Hostowane są moduły HSM dostawców kopii zapasowych geograficznie zbędne fizyczne centra danych, chronione przed zagrożeniami fizycznymi i wirtualnymi przy użyciu techniki i procedury bezpieczeństwa klasy branżowej. Poziom ochrony fizycznej gwarantuje, że żadna nieupoważniona osoba nie może bezmyślnie uciec z modułem HSM. Poleganie na centrach danych znajdujących się w wielu lokalizacjach oznacza, że ​​jeśli w jednej lokalizacji wystąpi problem, inna lokalizacja może przejąć kontrolę nieprzerwana dostępność usług. Wreszcie, co nie mniej ważne, daje nam zarządzanie własnymi HSM kontrolę nad tym, kto ma dostęp do nich i jaki kod jest wdrożony na nich.

Izolacja zasobów Ledger Recover

Wszystkie zasoby Ledger Recover są odizolowane od wszelkich innych zasobów dostawców usług Ledger Recover, w tym Coincover i Ledger. Ta izolacja jest konieczna, aby zapewnić możliwość powstrzymania potencjalnych ataków z jednego segmentu sieci, których celem jest wykorzystanie zasobów innych segmentów sieci.

Bezpieczeństwo na poziomie kodu zapewnione poprzez wiele filarów

• Używamy pliki skanery kodów aby pomóc nam wcześnie zidentyfikować i wyeliminować luki, zapobiegając przedostawaniu się ich do środowiska produkcyjnego.
• Code is recenzja i zatwierdzone by niezależny zespół tego, który opracowuje Ledger Recover. To oddzielenie jest kolejnym środkiem pomagającym poprawić ogólną jakość kodu poprzez wychwytywanie błędów logicznych, które mogą prowadzić do problemów związanych z bezpieczeństwem.
• Kod programu moduły krytyczne programu Ledger Recover jest podpisane przy użyciu podpisu kryptograficznego. Podpis jest częściowo generowany na podstawie zawartości kodu, co zapobiega wprowadzeniu zmodyfikowanego kodu poprzez porównanie podpisu z jego oczekiwaną wartością. Ta kontrola bezpieczeństwa jest wykonywana przed wykonaniem kodu.

Kontrola ruchu sieciowego

Ruch sieciowy jest ściśle kontrolowany za pomocą zasad definiujących reguły przepływu ruchu dla wszystkich 3 dostawców kopii zapasowych. Przez definiowanie reguł ruchu dozwolonego i zabronionegoograniczamy powierzchnię ataku i zmniejszamy ryzyko nieupoważnionego dostępu. Ponadto ograniczenie komunikacji pomiędzy poszczególnymi usługami zapewnia, że ruch boczny atakującego jest ograniczony, nawet jeśli jeden element jest naruszony. Ponadto stosujemy wzajemne uwierzytelnianie TLS (mTLS), aby zapobiegać atakom typu Man-in-the-Middle (MiM). Weryfikacja tożsamości obu stron za pomocą certyfikatów zapewnia to wzajemne TLS tylko zaufane podmioty mogą nawiązać bezpieczne połączenie.

Rotacja klucza

Szyfrowanie Klawisze (używane na przykład do szyfrowania danych lub komunikacji). zmieniane regularnie zgodnie z najlepszymi praktykami kryptograficznymi. Zaletą tego jest to, że jeśli klucz zostanie naruszony, plik szkody są ograniczone do czasu pomiędzy obrotami i do danych zaszyfrowanych starym kluczem.

Bezpieczeństwo ruchu wychodzącego

Ruch wychodzący jest ograniczony tylko do znanych domen i adresów IP (dostawcy kopii zapasowych, dostawcy usług). Sposobem na to jest ograniczanie i monitorowanie ruchu wychodzącego bądź czujny na potencjalne wycieki danych. Jeśli ilość wychodzących przepływów danych jest większa niż oczekiwano, złośliwy aktor może wyodrębniać wrażliwe dane z systemu Ledger Recover na znaczną skalę. 

Bezpieczeństwo ruchu przychodzącego

Ruch przychodzący jest chroniony przez kombinację technik ochrony przed atakami DDoS, filtrowania aplikacji internetowych (WAF) i filtrowania adresów IP. Rozproszone ataki typu „odmowa usługi” (DDoS) wyrządzają szkody poprzez przepełnienie systemu docelowego żądaniami. Ograniczanie liczby przychodzących żądań jest dobrze znanym środkiem przeciwko takim atakom. Nie wszystkie ataki dotyczą ilości, niektóre dotyczą jakości. Tutaj do akcji wkracza WAF. WAF przegląda przychodzące żądania i sprawdza ich zamierzone zachowanie: jeśli żądanie ma na celu uzyskanie nieautoryzowanego dostępu lub manipulację danymi, filtr blokuje żądanie. Wreszcie filtrowanie IP wykorzystuje podwójną technikę: a) Biała lista, czyli przyzwolenie ruch tylko z określonych adresów IP lub zakresy oraz b) czarnej liścieczyli blokowanie ruch ze znanych adresów IP atakujących.       

Zarządzanie podatnością

Elementy infrastruktury Ledger Recover są aktualizowane w sposób ciągły i systematyczny skanowane ze względu na znane luki i błędną konfigurację, a poprawki/aktualizacje są regularnie stosowane. Pomaga to reagować na pojawiające się nowe rodzaje zagrożeń i zapewniać aktualność środków bezpieczeństwa na światowym poziomie.

Rozdzielenie obowiązków

Podział obowiązków stanowi rdzeń strategii bezpieczeństwa Ledger Recover. 

Podział obowiązków pomiędzy różnymi osobami Dostawcy kopii zapasowych (część 3) i Dostawca IDVs (część 4) została opisana w poprzednich postach. Być może pamiętasz, że istnieją:

• 3 udziały Secret Recovery Phrase zarządzane przez 3 niezależnych dostawców kopii zapasowych (z dywersyfikacją baz danych w celu zapobiegania zmowie)
• 2 niezależne walidatory tożsamości (dostawcy IDV)

Na poziomie infrastruktury Rozdzielenie obowiązków jest stosowany pomiędzy różnymi rolami zaangażowanymi w rozwój i działanie Ledger Recover.

Dodatkowo łączymy podział obowiązków z zasada „najmniejszych przywilejów”.. „Najmniejsze uprawnienia” to zasada stosowana wobec operatorów i administratorów systemów: przyznano im prawo do robienia tylko tego, co muszą, zapewniając, że otrzymają oni najniższy poziom uprawnień wymaganych do wykonywania swoich obowiązków. 

Więc kiedy „najmniejsze przywileje” łączą się z „rozdzieleniem obowiązków”, różne role administratora są przydzielane różnym osobom tak, aby żadna pojedyncza osoba nie mogła uszkodzić/naruszyć poufności lub integralności jakiegokolwiek elementu systemu. Na przykład twórcy kodu Ledger Recover nie mają dostępu do systemu, w którym działa napisany przez nich kod.

Zarządzanie: Kwora

Podobnie jak mechanizmy konsensusu Blockchains, które gwarantują integralność i bezpieczeństwo poprzez weryfikację bloków przez wielu aktorów, przyjęliśmy kworum w systemie Ledger Recover, aby zwiększyć nasze bezpieczeństwo operacyjne.

Pomimo dokładnego sprawdzenia przeszłości naszych pracowników faktem pozostaje, że ludzie mogą być słabym ogniwem w każdym systemie, a kryptosfera nie jest wyjątkiem. Głośne incydenty związane z bezpieczeństwem, takie jak Hack Mt.Gox z 2014 r, wykazać, w jaki sposób można wykorzystywać poszczególne osoby lub prowadzić do luk w zabezpieczeniach. Na ludzi można wpływać lub zmuszać ich różnymi motywacjami – pieniędzmi, ideologią, przymusem, ego (inaczej MICE(S)) – co sprawia, że ​​nawet najbardziej rygorystyczne weryfikacje przeszłości nie są całkowicie niezawodne.

Aby ograniczyć tego rodzaju ryzyko, stosujemy system oparty na koncepcji kworum. Ramy te wymagają konsensusu co najmniej trzech upoważnionych osób z różnych zespołów lub działów dostawców kopii zapasowych, zanim będzie można podjąć jakiekolwiek istotne decyzje lub krytyczne działania. 

Dokładna liczba osób zaangażowanych w nasze różne kwora pozostaje nieujawniona ze względów bezpieczeństwa. Jednak samo jego istnienie znacznie zwiększa nasze bezpieczeństwo operacyjne, osłabiając potencjalny wpływ jakiejkolwiek pojedynczej zagrożonej osoby.

Oto niektóre zajęcia, podczas których wykorzystujemy kwora:

1. Generowanie kluczy prywatnych dla modułów HSM Ledger Recover: Ta krytyczna operacja jest zabezpieczona przez niezależne kwora w każdym podmiocie – Coincover, EscrowTech i Ledger. Każdy członek tych odrębnych kworów musi być obecny, aby wygenerować klucze prywatne w swoich odpowiednich modułach HSM. Każdy członek kworum ma dostęp do klucza zapasowego, który w razie potrzeby ma kluczowe znaczenie dla przywracania i ponownego generowania sekretów HSM. Struktura ta nie tylko chroni przed ryzykiem, że jakakolwiek osoba będzie miała nadmierny wpływ na jeden z trzech modułów HSM dostawcy kopii zapasowych, ale także zwiększa ogólną integralność systemu, ponieważ każde kworum działa niezależnie i nie jest świadome swojej specyfiki.

2. Podjęcie decyzji o wyjątkowym wydaniu udziału klienta: Szczególne, choć rzadkie sytuacje mogą wymagać wyjątkowego zwolnienia udziału klienta. Mogą one wynikać z niepowodzeń weryfikacji tożsamości (zmiana nazwy, zniekształcenie fizyczne itp.) lub jeśli nasze nieujawnione środki bezpieczeństwa nieprawidłowo blokują urządzenie na czarnej liście. Kiedy pojawia się taka sytuacja, zbiera się kworum składające się z wielu osób z dostawców zapasowych. Procedura ta, wymagająca szerokiego konsensusu, gwarantuje, że decyzje nie będą podejmowane pochopnie i jednostronnie, zwiększając tym samym bezpieczeństwo klientów. Każdy członek kworum korzysta ze swojego urządzenia Ledger Nano (z własnym kodem PIN), aby zatwierdzić publikację, co stanowi kolejną warstwę zabezpieczeń przed możliwą zmową lub indywidualnymi błędami.

3. Podpisywanie aktualizacji kodu oprogramowania sprzętowego HSM: Przed wdrożeniem nowej aktualizacji oprogramowania sprzętowego w modułach HSM nasz zespół ds. bezpieczeństwa produktów, Ledger Donjon, przeprowadza kompleksowy proces przeglądu. Będąc częścią kworum oprogramowania sprzętowego, Ledger Donjon zapewnia, że ​​żaden backdoor ani złośliwy kod nie został wprowadzony przez złośliwego informatora lub przejęty proces rozwoju w wyniku ataku na łańcuch dostaw. W ten sposób zachowują integralność i bezpieczeństwo aktualizacji oprogramowania sprzętowego.

4. Aktualizacja kodu oprogramowania sprzętowego urządzeń Signing Ledger (Nano i Stax): Podobnie jak oprogramowanie sprzętowe modułów HSM, aktualizacje oprogramowania sprzętowego naszych urządzeń Ledger przechodzą rygorystyczny proces przeglądu i wymagają zatwierdzenia przez kworum, zanim zostaną zaproponowane naszym użytkownikom za pośrednictwem Ledger Live.

Podsumowując, kwora są integralną częścią architektury zabezpieczeń Ledger Recover. Odgrywają ważną rolę we wzmacnianiu obrony przed wewnętrznymi zagrożeniami i zmową podczas kluczowych operacji. Wykorzystując najwyższe zabezpieczenia urządzeń i usług Ledger, kwora pomagają zapewnić zaufanie i chronić zasoby cyfrowe użytkowników przed złośliwymi osobami.

Monitorowanie krytycznych komponentów i operacji

Zagłębiając się w ten rozdział, warto zauważyć, że ze względów bezpieczeństwa ujawniamy jedynie podzbiór obszernych działań monitorujących usługę Ledger Recover. Podtrzymujemy nasze zobowiązanie do przejrzystości, ale zdajemy sobie również sprawę, jak ważne jest zachowanie dyskrecji w odniesieniu do szczegółów kontroli wewnętrznej i monitorowania pod kątem bezpieczeństwa operacyjnego.

W Ledger bezpieczeństwo jest naszym priorytetem. Jest to rdzeń naszych rozwiązań, które opierają się na solidnych protokołach kryptograficznych, jak opisano szczegółowo w naszym Dokumentacja dotycząca odzyskiwania księgi głównej. Ale nasza praca wykracza poza tworzenie bezpiecznych systemów. Stale monitorujemy i oceniamy naszą działalność, wyszukując podejrzane działania. Ta ciągła czujność wzmacnia naszą postawę w zakresie bezpieczeństwa, zapewniając, że zawsze jesteśmy gotowi zareagować. 

Przyjrzyjmy się kilku przykładom naszego wielowarstwowego podejścia:

Działania administratora monitorowania: Egzekwujemy rygorystyczną kontrolę dostępu dla naszych administratorów. Nie tylko wymagamy uwierzytelniania 2FA (two-factor Authentication) dla wszystkich połączeń administracyjnych z naszą infrastrukturą, ale także zalecamy wieloosobową weryfikację dostępu administratora do infrastruktury w krytycznych częściach systemu. Co więcej, nasze systemy skrupulatnie rejestrują i śledzą każdą czynność administracyjną. Dzienniki te są automatycznie łączone z naszymi wewnętrznymi systemami zgłoszeń w celu wykrycia wszelkich nieplanowanych działań. Ta ostrożna korelacja pozwala nam szybko ostrzegać nasze zespoły ds. bezpieczeństwa o wszelkich nietypowych lub podejrzanych zachowaniach, wzmacniając nasze bezpieczeństwo operacyjne.

Kontrola krzyżowa wśród dostawców kopii zapasowych: Przejrzystość i odpowiedzialność stanowią podstawę relacji pomiędzy dostawcami kopii zapasowych, Ledger, EscrowTech i Coincover. Uruchomiliśmy wymianę logów w czasie rzeczywistym, służącą do monitorowania i bezpieczeństwa systemu. Umożliwia to krzyżową weryfikację działań. W przypadku wykrycia jakiejkolwiek niespójności usługa jest natychmiast blokowana, aby chronić zasoby użytkowników.

Nadzorowanie wyjątkowych działań związanych z wydaniem: Rzadkie przypadki ręcznego zwalniania udziałów są szczegółowo kontrolowane w procesie obejmującym wiele kworum, jak wyjaśniliśmy w poprzedniej sekcji. Po wykonaniu czynności związanej z wydaniem wyjątkowym systemy Ledger Recover przystępują do kompleksowego monitorowania, w tym szczegółowego rejestrowania i analizy zaangażowanych stron, czasu operacji i innych istotnych szczegółów. Proces ten, obejmujący zarówno realizację wielokworum, jak i monitorowanie po zakończeniu działań, zapewnia ścisłą kontrolę nadzwyczajnego zwolnienia akcji na wszystkich etapach procesu decyzyjnego.

Wykorzystanie informacji o bezpieczeństwie i zarządzanie zdarzeniami (SIEM): Rozwiązanie SIEM stanowi kluczową część strategii monitorowania Ledger Recover. Ten dedykowany SIEM zwiększa zdolność identyfikowania potencjalnych problemów bezpieczeństwa i reagowania na nie w czasie rzeczywistym. Jest dostosowany do identyfikowania różnych wskaźników zagrożenia (IoC) na podstawie dzienników klastra i aplikacji Ledger Recover, dzięki specyficznym regułom wykrywania opracowanym specjalnie dla usługi Ledger Recover. W przypadku wykrycia niestandardowego IoC reakcja jest automatyczna i natychmiastowa – cały klaster zostaje zablokowany do czasu przeprowadzenia dokładnej analizy. W usłudze Ledger Recover poufność ma pierwszeństwo przed dostępnością usługi, aby zapewnić najwyższą ochronę aktywów użytkowników.

W dynamicznym krajobrazie cyberbezpieczeństwa opracowaliśmy strategię i przygotowaliśmy się na różne scenariusze. Nasz model zagrożeń uwzględnia mało prawdopodobną sytuację, w której może zostać naruszonych bezpieczeństwo wielu administratorów infrastruktury pochodzących od różnych dostawców kopii zapasowych. Dzięki rygorystycznym zabezpieczeniom i automatycznym reakcjom usługa Ledger Recover ma na celu zapewnienie ciągłego bezpieczeństwa aktywów użytkowników nawet w tak nadzwyczajnych okolicznościach. W poniższej sekcji przedstawimy kompleksowe środki reagowania opracowane w celu poradzenia sobie z takimi hipotetycznymi sytuacjami.

Reakcja na incydent specyficzna dla programu Ledger Recover

Dzięki usłudze Ledger Recover opracowano strategię reagowania na incydenty, opracowaną wspólnie z trzema dostawcami kopii zapasowych. Centralną częścią tej strategii są automatyczne zabezpieczenia, które natychmiast blokują cały system po wykryciu podejrzanej aktywności w dowolnej części infrastruktury. 

Zasadniczo w usłudze Ledger Recover wbudowano protokół „zawsze bezpieczny, nigdy nie przepraszam”. Bezpieczeństwo jest priorytetem numer jeden i jest to zobowiązanie, którego nigdy nie można naruszyć. 

Chociaż stale staramy się zapewnić bezproblemową obsługę użytkowników, aby umożliwić wprowadzenie kolejnych 100 milionów ludzi do Web3, nigdy nie zawahamy się aktywować tych zabezpieczeń, skutecznie blokując całą usługę Ledger Recover, jeśli pojawi się potencjalne zagrożenie. W ramach naszej misji ochrony wybór pomiędzy uruchomieniem potencjalnie zagrożonej usługi a zapewnieniem najwyższego bezpieczeństwa jest jasny – wybieramy bezpieczeństwo.

Wnioski

Dotarliśmy do końca części tej serii poświęconej bezpieczeństwu operacyjnemu. W tej części staraliśmy się odpowiedzieć na wszelkie Państwa wątpliwości dotyczące sposobu zapewnienia niezniszczalności zabezpieczeń systemu Ledger Recover. Rozmawialiśmy o infrastrukturze, podziale obowiązków, zarządzaniu i monitorowaniu, a na koniec o strategii reagowania na incydenty. 

Jeszcze raz dziękuję za przeczytanie aż do tego momentu! Powinieneś teraz mieć pełną wiedzę na temat bezpieczeństwa operacyjnego Ledger Recover. Ostatnia część tej serii postów na blogu będzie poświęcona ostatnim obawom związanym z bezpieczeństwem, jakie mieliśmy, a dokładniej: w jaki sposób zarządzaliśmy naszymi wewnętrznymi i zewnętrznymi audytami bezpieczeństwa, aby zagwarantować naszym użytkownikom maksymalny poziom bezpieczeństwa? Czekać na dalsze informacje! 

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security