Parte 5: Gênese da Recuperação do Ledger – Segurança Operacional | Razão

Até agora, mostramos nas partes 1 e 2 como o Ledger Recover divide sua semente em ações e envia esses compartilhamentos com segurança para amigos provedores de backup confiáveis. Na parte 3, mostramos como armazena (e restaura) com segurança as ações de sua semente, protegido por criptografia de hardware, vinculado à sua identidade e diversificado. Na parte 4, exploramos como o Ledger Recover consegue dar acesso ao seu backup para você e somente você.

Chegou a altura de analisar mais de perto a forma como garantimos a máxima segurança a nível operacional. Num relance, a segurança operacional é alcançada através de:

• Fortalecendo a infraestrutura que sustenta o Ledger Recover,
• Aplicando separação de funções aos vários operadores do Ledger Recover,
• Monitoramento de componentes e operações críticas,
• Implementando uma resposta a incidentes específica para recuperação.

Vamos mergulhar nos detalhes do que cada um desses itens significa.

Endurecimento da infraestrutura

O fortalecimento da infraestrutura ocorre de várias formas. É um exercício de 360° que envolve uma ampla gama de atividades impulsionadas por uma análise minuciosa dos riscos de segurança. Geralmente começa mantendo um catálogo de cenários de ataque que podem levar a problemas de segurança (como vazamentos de dados, representação de clientes que levam à restauração não autorizada de compartilhamentos, sistemas que não respondem e interrupção de serviço). A prevenção destes problemas a nível operacional é organizada em torno de atividades como isolamento de recursos, regulação de acesso ao sistema, controlo de tráfego de rede, gestão de vulnerabilidades e muito mais.

Aqui está um resumo de nossas principais medidas para fortalecer a infraestrutura do Ledger Recover:

Serviço disponível

A infraestrutura é projetada para que haja nenhum ponto único de falha (NSPOF), o que significa que o sistema é resiliente à falha de qualquer componente. Vejamos o seguinte exemplo: nossos data centers são atendidos por dois provedores de serviços de Internet (ISPs) independentes, em duas extremidades opostas do edifício. Se a fibra for danificada devido a trabalhos de construção em curso numa parte do edifício, os dados serão simplesmente encaminhados através do outro ISP. A manutenção sem interrupções é outro benefício que aumenta a disponibilidade. Dado que existem pelo menos duas instâncias de todos os componentes de software do Ledger Recover, podemos reconfigurar o sistema para usar apenas a instância A enquanto substituímos/atualizamos/corrigimos a instância B.

Acesso de administrador limitado aos aplicativos Ledger Recover

Com apenas um conjunto reduzido de usuários recebe acesso de administrador aos recursos dedicados ao Ledger Recover. Quanto menor a lista de usuários, mais podemos reduzir o risco de ameaças internas obterem acesso de administrador.

Data centers físicos seguros

Os HSMs dos Provedores de Backup estão hospedados em geograficamente redundante data centers físicos, protegidos contra ameaças físicas e virtuais usando técnicas e procedimentos de segurança de nível industrial. O nível de proteção física garante que nenhum indivíduo não autorizado possa sair casualmente com um HSM. Depender de data centers em vários locais significa que, se um local enfrentar um problema, outro local poderá assumir o controle, fornecendo disponibilidade ininterrupta de serviço. Por último, mas não menos importante, gerenciar nossos próprios HSMs nos dá controle sobre quem tem acesso para eles e qual código é implantado sobre eles.

Isolamento de recursos do Ledger Recover

Todos os recursos do Ledger Recover são isolados de quaisquer outros recursos dos provedores de serviços do Ledger Recover, inclusive dentro do Coincover e do Ledger. Este isolamento é necessário para garantir que possamos conter ataques potenciais de uma fatia da rede destinada a explorar recursos de outras fatias da rede.

Segurança em nível de código garantida por vários pilares

• Usamos scanners de código para nos ajudar a identificar e resolver vulnerabilidades antecipadamente, evitando que elas cheguem à produção.
• Code is Comentários e aprovado by uma equipe independente daquele que está desenvolvendo o Ledger Recover. Esta separação é mais uma medida para ajudar a melhorar a qualidade geral do código, detectando falhas lógicas que podem levar a preocupações de segurança.
• O código do módulos críticos do Ledger Recover é assinado usando uma assinatura criptográfica. A assinatura é parcialmente gerada com base no conteúdo do código, evitando a implantação de código adulterado ao comparar a assinatura com seu valor esperado. Essa verificação de segurança é feita antes da execução do código.

Controle de tráfego de rede

O tráfego de rede é rigorosamente controlado por meio de políticas que definem regras para fluxos de tráfego para todos os três provedores de backup. Por definindo regras para tráfego permitido e negado, limitamos a superfície de ataque e reduzimos o risco de acessos não autorizados. Além disso, restringir a comunicação entre serviços individuais garante que o o movimento lateral do atacante é limitado, mesmo se um componente estiver comprometido. Além disso, aplicamos autenticação TLS mútua (mTLS) para evitar ataques Man-in-the-Middle (MiM). Ao verificar a identidade de ambas as partes com certificados, o TLS mútuo garante que apenas entidades confiáveis ​​podem estabelecer uma conexão segura.

Rotação de chave

Criptografia chaves (usados, por exemplo, para criptografar dados ou comunicações) são mudou regularmente de acordo com as melhores práticas de criptografia. A vantagem disso é que se uma chave for comprometida, o o dano é limitado ao tempo entre as rotações e aos dados criptografados com a chave antiga.

Segurança do tráfego de saída

O tráfego de saída é limitado apenas a domínios e endereços IP conhecidos (provedores de backup, provedores de serviços). Limitar e monitorar o tráfego de saída é uma forma de fique alerta para possíveis vazamentos de dados. Se o volume de fluxos de dados de saída for maior do que o esperado, um agente mal-intencionado poderá extrair dados confidenciais do sistema Ledger Recover em uma escala significativa. 

Segurança do tráfego de entrada

O tráfego de entrada é protegido por uma combinação de técnicas anti-DDoS, Web Application Filtering (WAF) e filtragem de IP. Os ataques distribuídos de negação de serviço (DDoS) causam danos ao sobrecarregar o sistema alvo com solicitações. Limitando o número de solicitações recebidas é uma medida bem conhecida contra tais ataques. Agora, nem todos os ataques são sobre quantidade, alguns deles são sobre qualidade. É aqui que o WAF entra em jogo. WAF analisa as solicitações recebidas e inspeciona o comportamento pretendido: se a solicitação visa obter acesso não autorizado ou manipular dados, o filtro bloqueia a solicitação. Finalmente, a filtragem IP emprega a técnica dupla de a) lista branca, ou seja, permitir tráfego apenas de endereços IP específicos ou intervalos, e b) lista negra, ou seja, bloqueando tráfego de IPs de invasores conhecidos.       

Gerenciamento de vulnerabilidade

Os componentes da infraestrutura do Ledger Recover são contínua e sistematicamente digitalizada para vulnerabilidades conhecidas e configuração incorreta, e patches/atualizações são aplicados regularmente. Isto ajuda a responder a novos tipos de ameaças à medida que surgem e a manter as medidas de segurança atualizadas e de classe mundial.

Separação de deveres

A separação de funções está no centro da estratégia de segurança do Ledger Recover. 

A separação de funções entre os vários Provedores de backup (parte 3) e Provedor de IDVs (parte 4) foi descrito nos posts anteriores. Você deve se lembrar que existem:

• 3 compartilhamentos da Frase de Recuperação Secreta gerenciados por 3 Provedores de Backup independentes (com diversificação de banco de dados no topo para evitar conluio)
• 2 validadores de identidade independentes (provedores de IDV)

Ao nível da infra-estrutura, separação de deveres é aplicado entre as diferentes funções envolvidas no desenvolvimento e operação do Ledger Recover.

Além disso, combinamos a separação de funções com a Princípio do “menor privilégio”. “Privilégio mínimo” é o princípio aplicado aos operadores e administradores do sistema: eles recebem o direito de fazer apenas o que precisam fazer, garantindo que recebam o nível mais baixo de permissão necessário para desempenhar suas funções. 

Então, quando “privilégio mínimo” é combinado com “separação de funções”, várias funções administrativas são alocadas para pessoas diferentes para que nenhuma pessoa possa danificar/comprometer a confidencialidade ou integridade de qualquer componente do sistema. Por exemplo, os desenvolvedores do código Ledger Recover não têm acesso ao sistema que está executando o código que escreveram.

Governança: Quóruns

Semelhante aos mecanismos de consenso dos Blockchains que garantem integridade e segurança ao ter múltiplos atores verificando os blocos, adotamos um quórum dentro do sistema Ledger Recover para melhorar nossa segurança operacional.

Apesar de nossas robustas verificações de antecedentes de nossos funcionários, permanece o fato de que os humanos podem ser um elo fraco em qualquer sistema, e a criptosfera não é exceção. Incidentes de segurança de alto perfil, como o Hack do Monte Gox de 2014, demonstrar como os indivíduos podem ser explorados ou levar a falhas de segurança. As pessoas podem ser influenciadas ou coagidas através de várias motivações – Dinheiro, Ideologia, Coerção, Ego (também conhecido como MICE(S)) – tornando até mesmo as verificações de antecedentes mais rigorosas não totalmente infalíveis.

Para mitigar esses riscos, utilizamos um sistema baseado no conceito de quórum. Esta estrutura requer o consenso de pelo menos três indivíduos autorizados de diferentes equipes ou departamentos dos provedores de backup antes que qualquer decisão significativa ou ação crítica possa ser tomada. 

O número exato de pessoas envolvidas nos nossos diferentes quóruns permanece desconhecido por razões de segurança. Ainda assim, a sua mera existência aumenta significativamente a nossa segurança operacional, diluindo a influência potencial de qualquer indivíduo comprometido.

Aqui estão algumas das atividades em que usamos quóruns:

1. Gerando as chaves privadas para Ledger Recover HSMs: Esta operação crítica é protegida por quóruns independentes dentro de cada entidade – Coincover, EscrowTech e Ledger. Cada membro desses quóruns distintos deverá estar presente para gerar chaves privadas em seus respectivos HSMs. Cada membro do quórum tem acesso a uma chave de backup, que é crucial para restaurar e regenerar os seus segredos HSM, se necessário. Essa estrutura não apenas protege contra o risco de qualquer pessoa ter influência indevida sobre um dos três HSMs do provedor de backup, mas também melhora a integridade geral do sistema, pois cada quorum opera de forma independente e não tem conhecimento das especificidades um do outro.

2. Decidir sobre uma liberação excepcional da parcela de um cliente: Situações específicas, embora raras, podem exigir a liberação excepcional de uma parcela do cliente. Isso pode ser devido a falhas na verificação de identidade (mudança de nome, desfiguração física, etc.) ou se nossas medidas de segurança não divulgadas bloquearem incorretamente um dispositivo na lista negra. Quando tal situação surge, um quórum composto por vários indivíduos dos provedores de backup se reúne. Este procedimento, que necessita de amplo consenso, garante que as decisões não sejam tomadas de forma precipitada ou unilateral, aumentando assim a segurança do cliente. Cada membro do quórum usa seu dispositivo Ledger Nano (com seu próprio pin) para aprovar o lançamento, adicionando mais uma camada de segurança contra possíveis conluios ou erros individuais.

3. Assinando a atualização do código de firmware HSM: Antes de implantar uma nova atualização de firmware nos HSMs, nossa equipe de segurança de produto, Ledger Donjon, conduz um processo de revisão abrangente. Fazendo parte do quórum de firmware, o Ledger Donjon garante que nenhum backdoor ou código malicioso foi introduzido por um insider mal-intencionado ou por um pipeline de desenvolvimento comprometido por meio de ataque à cadeia de suprimentos. Dessa forma, mantêm a integridade e a segurança da atualização do firmware.

4. Atualização do código de firmware dos dispositivos Ledger de assinatura (Nano e Stax): Assim como o firmware dos HSMs, as atualizações do firmware do nosso dispositivo Ledger passam por um processo de revisão rigoroso e exigem aprovação de quórum antes de serem propostas aos nossos usuários por meio do Ledger Live.

Concluindo, os quóruns são parte integrante da arquitetura de segurança do Ledger Recover. Desempenham um papel importante no fortalecimento das defesas contra ameaças internas desonestas e conluio durante operações vitais. Aproveitando a segurança de alto nível dos dispositivos e serviços Ledger, os quóruns ajudam a garantir a confiança e a proteger os ativos digitais dos usuários contra pessoas mal-intencionadas.

Monitorando componentes e operações críticas

À medida que nos aprofundamos neste capítulo, é importante observar que, por motivos de segurança, estamos divulgando apenas um subconjunto das extensas atividades de monitoramento do serviço Ledger Recover. Embora mantenhamos o nosso compromisso com a transparência, também reconhecemos a importância de manter a discrição em torno dos detalhes dos controlos internos e da monitorização da segurança operacional.

Na Ledger, a segurança é nossa prioridade. Está no centro de nossas soluções, que são construídas em protocolos criptográficos robustos, conforme detalhado em nosso Documento de recuperação do Ledger. Mas o nosso trabalho continua além da criação de sistemas seguros. Monitoramos e avaliamos constantemente nossas operações, em busca de atividades suspeitas. Esta vigilância contínua fortalece a nossa postura de segurança, garantindo que estamos sempre prontos para responder. 

Vamos explorar alguns exemplos de nossa abordagem multicamadas:

Monitoramento das atividades do administrador: Aplicamos um controle de acesso rigoroso para nossos administradores. Não apenas exigimos 2FA (autenticação de dois fatores) para todas as conexões administrativas à nossa infraestrutura, mas também exigimos validação de várias pessoas para acesso de administrador à infraestrutura em partes críticas do sistema. Além disso, nossos sistemas registram e rastreiam meticulosamente todas as atividades administrativas. Esses registros são cruzados automaticamente com nossos sistemas internos de tickets para detectar quaisquer ações não planejadas. Esta correlação cautelosa permite-nos alertar prontamente as nossas equipas de segurança sobre qualquer comportamento incomum ou suspeito, reforçando a nossa segurança operacional.

Controle cruzado entre provedores de backup: Transparência e responsabilidade constituem a base das relações entre os fornecedores de backup, Ledger, EscrowTech e Coincover. Estabelecemos uma troca em tempo real de logs usados ​​para monitoramento e segurança do sistema. Isso permite a verificação cruzada de atividades. Caso seja detectada alguma inconsistência, o serviço é imediatamente bloqueado para proteger os ativos dos usuários.

Supervisionando atividades de lançamento excepcionais: Os raros casos de liberação manual de compartilhamentos são meticulosamente controlados por meio de um processo multiquórum, conforme explicamos na seção anterior. Após a execução da Atividade de Liberação Excepcional, os sistemas Ledger Recover procedem com um monitoramento abrangente, incluindo registro detalhado e análise das partes envolvidas, tempo de operação e outros detalhes relevantes. Este processo, que envolve tanto a execução multiquórum como o acompanhamento pós-ação, garante que a liberação excepcional de ações seja rigorosamente controlada em todas as etapas do processo de tomada de decisão.

Aproveitando o gerenciamento de informações e eventos de segurança (SIEM): A solução SIEM é uma parte crucial da estratégia de monitoramento do Ledger Recover. Este SIEM dedicado aprimora a capacidade de identificar e responder a possíveis problemas de segurança em tempo real. Ele foi ajustado para identificar uma variedade de indicadores de comprometimento (IoCs) com base em logs de cluster e do aplicativo Ledger Recover, graças a regras de detecção específicas desenvolvidas especificamente para o serviço Ledger Recover. Se um IoC personalizado for detectado, a resposta será automática e imediata – todo o cluster será bloqueado até que uma análise completa seja realizada. No serviço Ledger Recover, a confidencialidade é priorizada em relação à disponibilidade do serviço para garantir a máxima proteção dos ativos dos usuários.

No cenário dinâmico da segurança cibernética, traçamos estratégias e nos preparamos para diversos cenários. Nosso modelo de ameaças leva em conta a situação improvável em que vários administradores de infraestrutura de diferentes provedores de backup possam ser comprometidos. Com salvaguardas rigorosas e respostas automáticas em vigor, o serviço Ledger Recover visa garantir a segurança contínua dos ativos dos utilizadores, mesmo em circunstâncias tão extraordinárias. Na secção seguinte, descreveremos as medidas de resposta abrangentes criadas para enfrentar tais situações hipotéticas.

Resposta a incidentes específicos do Ledger Recover

Com o serviço Ledger Recover, foi construída uma estratégia de resposta a incidentes, projetada em colaboração com os três provedores de backup. Uma parte central desta estratégia são as salvaguardas automáticas que bloqueiam imediatamente todo o sistema ao detectar atividades suspeitas em qualquer parte da infraestrutura. 

Em essência, um protocolo “sempre seguro, nunca desculpe” foi desenvolvido no serviço Ledger Recover. A segurança é a prioridade número um e é um compromisso que nunca será comprometido. 

Embora nos esforcemos continuamente para fornecer uma experiência de usuário perfeita para integrar os próximos 100 milhões de pessoas na Web3, nunca hesitaremos em ativar essas proteções, bloqueando efetivamente todo o serviço Ledger Recover, se surgir uma ameaça potencial. Na nossa missão de proteger, a escolha entre executar um serviço potencialmente comprometido e garantir a segurança máxima é clara – nós escolhemos a segurança.

Conclusão

Aqui estamos no final da parte Segurança Operacional desta série. Nesta parte, tentamos responder a qualquer preocupação que você possa ter sobre como é garantida a impregnabilidade das medidas de segurança do sistema Ledger Recover. Falámos sobre a infra-estrutura, a separação de funções, a governação e monitorização e, finalmente, a estratégia de Resposta a Incidentes. 

Obrigado mais uma vez por ler até este ponto! Agora você deve ter uma compreensão abrangente da segurança operacional do Ledger Recover. A parte final desta série de postagens no blog será sobre as últimas preocupações de segurança que tivemos e, mais precisamente: como gerenciamos nossas auditorias de segurança internas e externas para garantir o nível máximo de segurança aos nossos usuários? Fique atento! 

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security