Partea 5: Geneza recuperării Ledger – Securitate operațională | Registrul mare

Până acum, am arătat în părțile 1 și 2 cum se recuperează Ledger îți împarte sămânța în acțiuni și trimite acele acțiuni în siguranță la Prietenii lui furnizori de rezervă de încredere. În partea 3, am arătat cum stochează (și restabilește) în siguranță părțile semințelor tale, protejat prin criptare hardware, legat de identitatea ta și diversificat. În partea 4, am explorat cum reușește Ledger Recover acordați acces la backup-ul dvs. numai dvs. și numai dvs.

Acum este momentul să aruncăm o privire mai atentă asupra modului în care asigurăm securitatea maximă la nivel operațional. Dintr-o privire, securitatea operațională se realizează prin:

• Consolidarea infrastructurii care stă la baza Ledger Recover,
• Aplicarea separării sarcinilor diferiților operatori ai Ledger Recover,
• Monitorizarea componentelor și operațiunilor critice,
• Implementarea unui răspuns la incident specific pentru recuperare.

Să ne aprofundăm în detalii despre ceea ce înseamnă fiecare dintre aceste elemente.

Întărirea infrastructurii

Întărirea infrastructurii vine în mai multe forme. Este un exercițiu la 360° care implică o gamă largă de activități conduse de o analiză amănunțită a riscurilor de securitate. De obicei, începe prin menținerea unui catalog de scenarii de atac care ar putea duce la probleme de securitate (cum ar fi scurgeri de date, uzurparea identității clienților care duc la restaurarea neautorizată a partajărilor, sistemele care nu răspund și întreruperea serviciului). Prevenirea acestor probleme la nivel operațional este organizată în jurul activităților precum izolarea resurselor, reglementarea accesului la sistem, controlul traficului în rețea, managementul vulnerabilităților și multe altele.

Iată o descriere a măsurilor noastre cheie pentru a consolida infrastructura Ledger Recover:

Disponibilitatea serviciului

Infrastructura este concepută astfel încât să existe niciun punct de eșec (NSPOF), ceea ce înseamnă că sistemul este rezistent la defecțiunea oricărei componente. Să luăm următorul exemplu: centrele noastre de date sunt deservite de doi furnizori de servicii Internet (ISP) independenți, la două capete opuse ale clădirii. Dacă fibra este deteriorată din cauza lucrărilor de construcție în curs într-o parte a clădirii, datele vor fi pur și simplu direcționate prin celălalt ISP. Întreținerea fără întreruperi este încă un alt beneficiu care sporește disponibilitatea. Având în vedere că există cel puțin două instanțe ale tuturor componentelor software ale Ledger Recover, putem reconfigura sistemul să utilizeze numai instanța A în timp ce înlocuim/actualizăm/reparăm instanța B.

Acces administrativ limitat la aplicațiile Ledger Recover

Doar a unui set redus de utilizatori li se acordă acces de administrator la resursele care sunt dedicate Ledger Recover. Cu cât lista de utilizatori este mai scurtă, cu atât mai mult putem reduce riscul ca amenințările interne să obțină acces de administrator.

Centre de date fizice securizate

HSM-urile furnizorilor de backup sunt găzduite în redundante din punct de vedere geografic centre de date fizice, protejate de amenințări fizice și virtuale folosind tehnici și proceduri de securitate de nivel industrial. Nivelul de protecție fizică asigură că nicio persoană neautorizată nu poate pleca întâmplător cu un HSM. Bazându-vă pe centre de date de pe mai multe site-uri înseamnă că, dacă o locație întâmpină o problemă, o altă locație poate prelua, oferind disponibilitate neîntreruptă a serviciului. Nu în ultimul rând, gestionarea propriilor noastre HSM-uri ne oferă control asupra cine are acces lor și ce cod este implementat pe ei.

Izolarea Ledger Recuperarea resurselor

Toate resursele Ledger Recover sunt izolate de orice alte resurse din cadrul furnizorilor de servicii Ledger Recover, inclusiv din Coincover și Ledger. Această izolare este necesară pentru a ne asigura că putem conține atacuri potențiale dintr-o secțiune de rețea care vizează exploatarea resurselor altor secțiuni de rețea.

Securitate la nivel de cod asigurată prin mai mulți piloni

• Noi folosim scanere de coduri pentru a ne ajuta să identificăm și să abordăm vulnerabilitățile de la început, împiedicându-le să se îndrepte spre producție.
• Cod is revizuite si aprobat by o echipă independentă a celui care dezvoltă Ledger Recover. Această separare este încă o măsură pentru a ajuta la îmbunătățirea calității generale a codului prin prinderea defectelor logice care ar putea duce la probleme de securitate.
• Codul module critice de Ledger Recover este semnat folosind o semnătură criptografică. Semnătura este parțial generată pe baza conținutului codului, prevenind implementarea codului falsificat prin compararea semnăturii cu valoarea sa așteptată. Această verificare de securitate se face înainte ca codul să fie executat.

Controlul traficului în rețea

Traficul în rețea este strict controlat prin politici care definesc reguli pentru fluxurile de trafic pentru toți cei 3 Furnizori de rezervă. De definirea regulilor pentru traficul permis și interzis, limităm suprafața de atac și reducem riscul acceselor neautorizate. De asemenea, restricționarea comunicării între serviciile individuale asigură că mișcarea laterală a atacatorului este limitată, chiar dacă o componentă este compromisă. În plus, aplicăm autentificarea TLS reciprocă (mTLS) pentru a preveni atacurile Man-in-the-Middle (MiM). Prin verificarea identității ambelor părți cu certificate, TLS reciproc asigură acest lucru numai entitățile de încredere pot stabili o conexiune sigură.

Rotirea tastelor

Criptare chei (utilizate, de exemplu, pentru a cripta date sau comunicații) sunt schimbată regulat în conformitate cu cele mai bune practici de criptare. Avantajul acestui lucru este că, dacă o cheie este compromisă, daunele sunt limitate la timpul dintre rotații și la datele criptate cu vechea cheie.

Securitatea traficului de ieșire

Traficul de ieșire este limitat doar la domenii cunoscute și adrese IP (furnizori de rezervă, furnizori de servicii). Limitarea și monitorizarea traficului de ieșire este o modalitate de a fiți atenți la potențialele scurgeri de date. Dacă volumul fluxurilor de date de ieșire este mai mare decât se aștepta, un actor rău intenționat ar putea extrage date sensibile din sistemul Ledger Recover la o scară semnificativă. 

Securitatea traficului de intrare

Traficul de intrare este protejat de o combinație de tehnici anti-DDoS, de filtrare a aplicațiilor web (WAF) și de filtrare IP. Atacurile distribuite de refuzare a serviciului (DDoS) provoacă prejudicii prin debordarea sistemului țintă cu cereri. Limitarea numărului de solicitări primite este o măsură binecunoscută împotriva unor astfel de atacuri. Acum, nu toate atacurile sunt legate de cantitate, unele dintre ele sunt despre calitate. Aici intervine WAF. WAF se uită la cererile primite și inspectează comportamentul propus: daca cererea are ca scop obtinerea de acces neautorizat sau manipularea datelor, filtrul blocheaza cererea. În cele din urmă, filtrarea IP utilizează tehnica dublă a) liste albe, adică permițând trafic numai de la anumite adrese IP sau intervale și b) pe lista neagră, adică blocarea trafic de la IP-uri cunoscute ale atacatorilor.       

Managementul vulnerabilității

Componentele infrastructurii Ledger Recover sunt continuu și sistematic scanate pentru vulnerabilități cunoscute și configurații greșite, iar patch-urile/actualizările sunt aplicate în mod regulat. Acest lucru ajută la răspunsul la noile tipuri de amenințări pe măsură ce apar și menține măsurile de securitate actualizate și de clasă mondială.

Separarea sarcinilor

Separarea sarcinilor se află în centrul strategiei de securitate a Ledger Recover. 

Separarea sarcinilor între diverse Furnizori de backup (partea 3) și Furnizorul IDVs (partea 4) a fost descrisă în postările anterioare. Poate vă amintiți că există:

• 3 acțiuni ale expresiei secrete de recuperare gestionate de 3 furnizori independenți de backup (cu diversificare a bazei de date pe deasupra pentru a preveni coluziunea)
• 2 validatori independenți de identitate (furnizori IDV)

La nivelul infrastructurii, separarea sarcinilor este aplicat între diferitele roluri implicate în dezvoltarea și funcționarea Ledger Recover.

În plus, combinăm separarea sarcinilor cu cea principiul „cel mai mic privilegiu”.. „Cel mai mic privilegiu” este principiul aplicat operatorilor și administratorilor de sistem: li se acordă dreptul de a face numai ceea ce trebuie să facă, asigurându-se că li se acordă cel mai scăzut nivel de permisiune necesar pentru a-și îndeplini atribuțiile. 

Deci când „cel mai mic privilegiu” este combinat cu „separarea sarcinilor”, diferite roluri de administrator sunt alocate unor persoane diferite astfel încât nicio persoană nu poate deteriora/compromite confidențialitatea sau integritatea oricărei componente ale sistemului. De exemplu, dezvoltatorii codului Ledger Recover nu au acces la sistemul care rulează codul pe care l-au scris.

Guvernare: cvorumuri

Similar mecanismelor de consens ale Blockchains care garantează integritatea și securitatea prin faptul că mai mulți actori verifică blocurile, am adoptat un cvorum în sistemul Ledger Recover pentru a ne îmbunătăți securitatea operațională.

În ciuda verificărilor noastre solide de antecedente pentru angajații noștri, rămâne faptul că oamenii pot fi o verigă slabă în orice sistem, iar criptosfera nu face excepție. Incidente de securitate importante, cum ar fi Hackul Mt. Gox din 2014, să demonstreze modul în care indivizii pot fi exploatați sau pot duce la erori de securitate. Oamenii pot fi influențați sau constrânși prin diverse motivații – Bani, Ideologie, Coerciție, Ego (alias, MICE(S)) – făcând chiar și cele mai stricte verificări ale antecedentelor să nu fie complet sigure.

Pentru a atenua astfel de riscuri, folosim un sistem bazat pe conceptul de cvorum. Acest cadru necesită consensul a cel puțin trei persoane autorizate din echipe sau departamente diferite din cadrul furnizorilor de rezervă înainte de a putea fi luate orice decizii semnificative sau acțiuni critice. 

Numărul exact de persoane implicate în diferitele noastre cvorumuri rămâne nedezvăluit din motive de securitate. Cu toate acestea, simpla sa existență îmbunătățește semnificativ securitatea noastră operațională prin diluarea influenței potențiale a oricărui individ compromis.

Iată câteva dintre activitățile în care folosim cvorumurile:

1. Generarea cheilor private pentru HSM-urile Ledger Recover: Această operațiune critică este protejată de cvorumuri independente din cadrul fiecărei entitati – Coincover, EscrowTech și Ledger. Fiecare membru al acestor cvorumuri distincte trebuie să fie prezent pentru a genera chei private în HSM-urile lor respective. Fiecare membru al cvorumului are acces la o cheie de rezervă, care este crucială pentru restaurarea și regenerarea secretelor HSM, dacă este necesar. Această structură nu numai că protejează împotriva riscului ca orice persoană să aibă o influență nejustificată asupra unuia dintre cele trei HSM-uri ale furnizorilor de rezervă, dar îmbunătățește și integritatea generală a sistemului, deoarece fiecare cvorum funcționează independent și nu este conștient de specificul celuilalt.

2. Decizia asupra unei eliberări excepționale a cotei unui client: Situațiile specifice, deși rare, pot necesita o eliberare excepțională a cotei unui client. Acestea se pot datora eșecurilor de verificare a identității (schimbarea numelui, desfigurarea fizică etc.) sau dacă măsurile noastre de securitate nedezvăluite blochează în mod incorect un dispozitiv pe lista neagră. Când apare o astfel de situație, se reunește un cvorum format din mai multe persoane de la furnizorii de rezervă. Această procedură, care necesită un consens larg, asigură că deciziile nu sunt luate în grabă sau unilateral, sporind astfel securitatea clienților. Fiecare membru al cvorumului își folosește dispozitivul Ledger Nano (cu propriul PIN) pentru a aproba lansarea, adăugând un alt nivel de securitate împotriva posibilelor coluziune sau erori individuale.

3. Semnarea actualizării codului firmware-ului HSM: Înainte de a implementa o nouă actualizare de firmware pentru HSM, echipa noastră de securitate a produsului, Ledger Donjon, desfășoară un proces cuprinzător de revizuire. Făcând parte din cvorumul firmware, Ledger Donjon se asigură că nu au fost introduse backdoors sau coduri rău intenționate de către un insider rău intenționat sau o conductă de dezvoltare compromisă prin atacul lanțului de aprovizionare. În acest fel, ei mențin integritatea și securitatea actualizării firmware-ului.

4. Actualizarea codului firmware pentru dispozitivele Ledger de semnare (Nano și Stax): La fel ca firmware-ul pentru HSM, actualizările firmware-ului dispozitivului nostru Ledger trec printr-un proces strict de revizuire și necesită aprobarea cvorumului înainte de a fi propuse utilizatorilor noștri prin Ledger Live.

În încheiere, cvorumurile sunt o parte integrantă a arhitecturii de securitate a Ledger Recover. Aceștia joacă un rol important în întărirea apărării împotriva amenințărilor interne necinstite și a coluziei în timpul operațiunilor vitale. Folosind securitatea de vârf a dispozitivelor și serviciilor Ledger, cvorumurile contribuie la asigurarea încrederii și la protejarea activelor digitale ale utilizatorilor împotriva persoanelor din interior rău intenționate.

Monitorizarea componentelor și operațiunilor critice

Pe măsură ce ne aprofundăm în acest capitol, este important să rețineți că, din motive de securitate, dezvăluim doar un subset al activităților extinse de monitorizare pentru serviciul Ledger Recover. Deși ne susținem angajamentul față de transparență, recunoaștem, de asemenea, importanța păstrării discreției în ceea ce privește detaliile controalelor interne și monitorizării securității operaționale.

La Ledger, securitatea este prioritatea noastră. Este în centrul soluțiilor noastre, care sunt construite pe protocoale criptografice robuste, așa cum este detaliat în documentul nostru Ledger Recuperare hârtie albă. Dar munca noastră continuă dincolo de crearea de sisteme securizate. Ne monitorizăm și evaluăm în mod constant operațiunile, căutând orice activități suspecte. Această vigilență continuă ne întărește poziția în materie de securitate, asigurându-ne că suntem întotdeauna gata să răspundem. 

Să explorăm câteva exemple ale abordării noastre pe mai multe straturi:

Monitorizarea activităților administratorului: Implementăm un control strict de acces pentru administratorii noștri. Nu numai că avem nevoie de 2FA (Autentificare în doi factori) pentru toate conexiunile administrative la infrastructura noastră, dar impunem și validarea mai multor persoane pentru accesul la infrastructura de administrator pe părțile critice ale sistemului. În plus, sistemele noastre înregistrează și urmăresc meticulos fiecare activitate administrativă. Aceste jurnale sunt încrucișate automat cu sistemele noastre interne de ticketing pentru a detecta orice acțiuni neplanificate. Această corelare prudentă ne permite să alertăm prompt echipele noastre de securitate cu privire la orice comportament neobișnuit sau suspect, întărind securitatea noastră operațională.

Control încrucișat printre furnizorii de backup: Transparența și responsabilitatea formează baza relațiilor dintre furnizorii de backup, Ledger, EscrowTech și Coincover. Am stabilit un schimb în timp real de jurnalele utilizate pentru monitorizarea și securitatea sistemului. Acest lucru permite verificarea încrucișată a activităților. Dacă se detectează orice inconsecvență, serviciul este blocat imediat pentru a proteja activele utilizatorilor.

Supravegherea activității de lansare excepționale: Rarele cazuri de lansări manuale de acțiuni sunt controlate meticulos printr-un proces multi-cvorum, așa cum am explicat în secțiunea anterioară. După executarea activității de lansare excepțională, sistemele Ledger Recover continuă cu o monitorizare completă, inclusiv înregistrarea detaliată și analizarea părților implicate, timpul de funcționare și alte detalii relevante. Acest proces, care implică atât execuția multi-cvorum, cât și monitorizarea post-acțiune, asigură că eliberarea excepțională a acțiunilor este strict controlată în toate etapele procesului decizional.

Utilizarea informațiilor de securitate și managementului evenimentelor (SIEM): Soluția SIEM este o parte crucială a strategiei de monitorizare Ledger Recover. Acest SIEM dedicat îmbunătățește capacitatea de a identifica și de a răspunde la potențiale probleme de securitate în timp real. Este ajustat pentru a identifica o varietate de indicatori de compromis (IoC) pe baza jurnalelor de aplicații Ledger Recover și cluster, datorită regulilor de detectare specifice dezvoltate special pentru serviciul Ledger Recover. Dacă este detectat un IoC personalizat, un răspuns este automat și imediat - întregul cluster este blocat până când este efectuată o analiză amănunțită. În serviciul Ledger Recover, confidențialitatea este prioritară față de disponibilitatea serviciului pentru a asigura cea mai mare protecție a activelor utilizatorilor.

În peisajul dinamic al securității cibernetice, ne-am creat o strategie și ne-am pregătit pentru diverse scenarii. Modelul nostru de amenințare ține cont de situația puțin probabilă în care mai mulți administratori de infrastructură de la diferiți furnizori de backup ar putea fi compromisi. Cu garanții riguroase și răspunsuri automate în vigoare, serviciul Ledger Recover își propune să asigure securitatea continuă a activelor utilizatorilor chiar și în astfel de circumstanțe extraordinare. În secțiunea următoare, vom sublinia măsurile de răspuns cuprinzătoare construite pentru a aborda astfel de situații ipotetice.

Răspuns la incident specific pentru recuperarea registrului

Cu serviciul Ledger Recover, a fost construită o strategie de răspuns la incident, proiectată în colaborare cu cei trei furnizori de backup. O parte centrală a acestei strategii sunt garanțiile automate care blochează imediat întregul sistem la detectarea activității suspecte în orice parte a infrastructurii. 

În esență, un protocol „întotdeauna sigur, niciodată nu îmi pare rău” a fost conceput în serviciul Ledger Recover. Securitatea este prioritatea numărul unu și este un angajament care nu va fi niciodată compromis. 

În timp ce ne străduim continuu să oferim o experiență perfectă pentru utilizator pentru a integra următorii 100 de milioane de oameni în Web3, nu vom ezita niciodată să activăm aceste măsuri de siguranță, blocarea efectivă a întregului serviciu Ledger Recover, dacă apare o potențială amenințare. În misiunea noastră de a proteja, alegerea între rularea unui serviciu potențial compromis și asigurarea securității supreme este clară – alegem securitatea.

Concluzie

Iată-ne la sfârșitul părții de securitate operațională a acestei serii. În această parte, am încercat să răspundem oricărei preocupări pe care o aveți cu privire la modul în care sunt asigurate inexpugnabilitatea măsurilor de securitate ale sistemului Ledger Recover. Am vorbit despre infrastructură, separarea sarcinilor, guvernare și monitorizare și, în final, strategia de răspuns la incident. 

Vă mulțumesc încă o dată pentru că ați citit până în acest punct! Acum ar trebui să aveți o înțelegere cuprinzătoare a securității operaționale a Ledger Recover. Partea finală a acestei serii de postări pe blog va fi despre ultimele preocupări de securitate pe care le-am avut și, mai precis: cum ne-am gestionat auditurile interne și externe de securitate pentru a garanta un nivel maxim de securitate utilizatorilor noștri? Rămâneţi aproape! 

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security