Часть 5: Генезис восстановления реестра – операционная безопасность | Леджер

До сих пор в частях 1 и 2 мы показали, как восстановить Ledger. делит ваше семя на доли и безопасно отправляет эти акции в друзья доверенные поставщики резервного копирования. В третьей части мы показали, как это безопасно хранит (и восстанавливает) доли вашего семени, защищенный аппаратным шифрованием, привязанный к вашей личности и разнообразный. В части 4 мы рассмотрели, как Ledger Recover позволяет предоставить доступ к резервной копии только вам и вам.

Настало время более пристально взглянуть на то, как мы обеспечиваем максимальную безопасность на оперативном уровне. Вкратце, эксплуатационная безопасность достигается за счет:

• Укрепление инфраструктуры, лежащей в основе Ledger Recover,
• Применение разделения обязанностей к различным операторам Ledger Recover,
• Мониторинг критически важных компонентов и операций,
• Реализация реагирования на инциденты, специфичные для восстановления.

Давайте углубимся в детали того, что означает каждый из этих элементов.

Укрепление инфраструктуры

Укрепление инфраструктуры проявляется во многих формах. Это упражнение на 360°, которое включает в себя широкий спектр действий, основанных на тщательном анализе рисков безопасности. Обычно все начинается с ведения каталога сценариев атак, которые могут привести к проблемам безопасности (таким как утечка данных, выдача себя за клиента, ведущая к несанкционированному восстановлению общих ресурсов, зависание систем и сбои в обслуживании). Предотвращение этих проблем на оперативном уровне организовано вокруг таких действий, как изоляция ресурсов, регулирование доступа к системе, контроль сетевого трафика, управление уязвимостями и многое другое.

Вот краткое изложение наших ключевых мер по укреплению инфраструктуры Ledger Recover:

Доступность услуги

Инфраструктура спроектирована так, что есть нет единой точки отказа (NSPOF)Это означает, что система устойчива к сбою любого компонента. Давайте возьмем следующий пример: наши центры обработки данных обслуживаются двумя независимыми интернет-провайдерами (ISP), расположенными в двух противоположных концах здания. Если оптоволокно будет повреждено из-за продолжающихся строительных работ в одной части здания, данные будут просто перенаправлены через другого интернет-провайдера. Бесперебойное обслуживание — еще одно преимущество, повышающее доступность. Учитывая, что существует как минимум два экземпляра всех программных компонентов Ledger Recover, мы можем перенастроить систему для использования только экземпляра A при замене/обновлении/исправлении экземпляра B.

Ограниченный доступ администратора к приложениям Ledger Recover.

Только ограниченному набору пользователей предоставляется доступ администратора к ресурсам, предназначенным для восстановления Ledger. Чем короче список пользователей, тем больше мы можем снизить риск того, что инсайдерские угрозы получат доступ администратора.

Защищенные физические центры обработки данных

HSM поставщиков резервного копирования размещаются в географически избыточен физические центры обработки данных, защищенные от физических и виртуальных угроз с помощью методы и процедуры безопасности отраслевого уровня. Уровень физической защиты гарантирует, что ни один посторонний человек не сможет случайно уйти с HSM. Использование центров обработки данных на нескольких объектах означает, что если в одном месте возникнет проблема, другое может взять на себя управление, обеспечивая бесперебойная доступность сервиса. И последнее, но не менее важное: управление собственными HSM дает нам контроль над тем, кто имеет доступ им и какой код развернут на них.

Изоляция ресурсов Ledger Recover

Все ресурсы Ledger Recover изолированы от любых других ресурсов поставщиков услуг Ledger Recover, в том числе внутри Coincover и Ledger. Эта изоляция необходима для того, чтобы мы могли сдерживать потенциальные атаки со стороны одного фрагмента сети, направленные на эксплуатацию ресурсов других фрагментов сети.

Безопасность на уровне кода, обеспечиваемая несколькими компонентами

• МЫ ИСПОЛЬЗУЕМ сканеры кода чтобы помочь нам выявить и устранить уязвимости на раннем этапе, не допуская их попадания в рабочую среду.
• Code is отзывы и одобрено by независимая команда того, кто разрабатывает Ledger Recover. Такое разделение является еще одной мерой, помогающей улучшить общее качество кода путем выявления логических ошибок, которые могут привести к проблемам с безопасностью.
• Кодекс критические модули восстановления Ledger подписано с использованием криптографической подписи. Подпись частично генерируется на основе содержимого кода, что предотвращает развертывание поддельного кода путем сравнения подписи с ее ожидаемым значением. Эта проверка безопасности выполняется до выполнения кода.

Контроль сетевого трафика

Сетевой трафик строго контролируется с помощью политик, которые определяют правила для потоков трафика для всех трех поставщиков резервного копирования. К определение правил для разрешенного и запрещенного трафика, мы ограничиваем поверхность атаки и снижаем риск несанкционированного доступа. Кроме того, ограничение связи между отдельными службами гарантирует, что боковое движение злоумышленника ограничено, даже если один компонент скомпрометирован. Кроме того, мы применяем взаимную аутентификацию TLS (mTLS) для предотвращения атак типа «человек посередине» (MiM). Проверяя личность обеих сторон с помощью сертификатов, взаимный TLS гарантирует, что только доверенные лица могут установить безопасное соединение.

Ключевое вращение

Шифрование ключи (используются, например, для шифрования данных или связи) регулярно менялся в соответствии с лучшими практиками криптографии. Преимущество этого подхода в том, что если ключ будет скомпрометирован, ущерб ограничен времени между вращениями и данным, зашифрованным старым ключом.

Безопасность исходящего трафика

Исходящий трафик ограничен только известными доменами и IP-адресами (поставщики резервного копирования, поставщики услуг). Ограничение и мониторинг исходящего трафика – это способ будьте внимательны к возможным утечкам данных. Если объем исходящих потоков данных превышает ожидаемый, злоумышленник может извлекать конфиденциальные данные из системы Ledger Recover в значительных масштабах. 

Безопасность входящего трафика

Входящий трафик защищен сочетанием методов защиты от DDoS, фильтрации веб-приложений (WAF) и IP-фильтрации. Распределенные атаки типа «отказ в обслуживании» (DDoS) наносят вред, переполняя целевую систему запросами. Ограничение количества входящих запросов является хорошо известной мерой против таких атак. Однако не все атаки направлены на количество, некоторые из них — на качество. Здесь в игру вступает WAF. WAF просматривает входящие запросы и проверяет их предполагаемое поведение: если запрос направлен на получение несанкционированного доступа или манипулирование данными, фильтр блокирует запрос. Наконец, IP-фильтрация использует двойной метод: а) белый список, то есть позволяя трафик только с определенных IP-адресов или диапазоны, и б) занесение в черный список, то есть блокировка трафик с известных IP-адресов злоумышленника.       

Управление уязвимостями

Компоненты инфраструктуры Ledger Recover постоянно и систематически обновляются. сканирования на наличие известных уязвимостей и неправильной конфигурации, а исправления/обновления применяются регулярно. Это помогает реагировать на новые типы угроз по мере их появления и поддерживать меры безопасности на современном уровне и на мировом уровне.

Разделение обязанностей

Разделение обязанностей лежит в основе стратегии безопасности Ledger Recover. 

Разделение обязанностей между различными Поставщики резервного копирования (часть 3) и IDV-провайдерs (часть 4) было описано в предыдущих постах. Вы помните, что есть:

• 3 раздела секретной фразы восстановления, управляемые 3 независимыми поставщиками резервного копирования (с диверсификацией базы данных для предотвращения сговора)
• 2 независимых валидатора личности (поставщики IDV)

На уровне инфраструктуры, разделение обязанностей применены между различными ролями, участвующими в разработке и эксплуатации Ledger Recover.

Кроме того, мы совмещаем разделение обязанностей с принцип «наименьших привилегий». «Наименьшие привилегии» — это принцип, применяемый к системным операторам и администраторам: им предоставлено право делать только то, что им нужно делать, гарантируя, что им предоставлен самый низкий уровень разрешений, необходимый для выполнения их обязанностей. 

Поэтому, когда «наименьшие привилегии» сочетаются с «разделением обязанностей», разные роли администратора назначаются разным людям так, чтобы ни один человек не мог повредить/скомпрометировать конфиденциальность или целостность любого компонента системы. Например, разработчики кода Ledger Recover не имеют доступа к системе, в которой выполняется написанный ими код.

Управление: Кворумы

Подобно механизмам консенсуса блокчейнов, которые гарантируют целостность и безопасность за счет проверки блоков несколькими участниками, мы внедрили кворум в системе Ledger Recover для повышения нашей операционной безопасности.

Несмотря на тщательную проверку биографических данных наших сотрудников, факт остается фактом: люди могут быть слабым звеном в любой системе, и криптосфера не является исключением. Громкие инциденты безопасности, такие как Взлом Mt.Gox 2014 года, продемонстрировать, как отдельные лица могут быть использованы или привести к нарушениям безопасности. На людей можно влиять или принуждать их по различным мотивам – деньги, идеология, принуждение, эго (также известное как MICE(S)) – что делает даже самые строгие проверки анкетных данных не совсем надежными.

Для снижения таких рисков мы используем систему, основанную на концепции кворума. Эта структура требует консенсуса как минимум трех уполномоченных лиц из разных групп или отделов поставщиков резервного копирования, прежде чем можно будет принять какие-либо важные решения или критические действия. 

Точное количество людей, участвующих в наших различных кворумах, остается нераскрытым по соображениям безопасности. Тем не менее, само его существование значительно повышает нашу оперативную безопасность, ослабляя потенциальное влияние любого отдельного скомпрометированного человека.

Вот некоторые виды деятельности, в которых мы используем кворумы:

1. Генерация закрытых ключей для HSM Ledger Recover: Эта критически важная операция защищена независимыми кворумами внутри каждой организации — Coincover, EscrowTech и Ledger. Каждый член этих отдельных кворумов должен присутствовать для генерации закрытых ключей в своих соответствующих HSM. Каждый член кворума имеет доступ к резервному ключу, который имеет решающее значение для восстановления и регенерации секретов HSM в случае необходимости. Эта структура не только защищает от риска неправомерного влияния какого-либо лица на один из трех HSM провайдера резервного копирования, но также повышает общую целостность системы, поскольку каждый кворум работает независимо и не знает особенностей друг друга.

2. Принятие решения об исключительном высвобождении доли клиента: Конкретные, хотя и редкие, ситуации могут потребовать исключительного высвобождения доли клиента. Это может произойти из-за сбоев при проверке личности (изменение имени, физическое обезображивание и т. д.) или из-за того, что наши нераскрытые меры безопасности ошибочно блокируют устройство в черном списке. Когда возникает такая ситуация, собирается кворум, состоящий из нескольких лиц из поставщиков резервных копий. Эта процедура, требующая широкого консенсуса, гарантирует, что решения не будут приниматься поспешно или в одностороннем порядке, тем самым повышая безопасность клиентов. Каждый член кворума использует свое устройство Ledger Nano (со своим собственным PIN-кодом) для утверждения выпуска, добавляя еще один уровень безопасности от возможного сговора или индивидуальных ошибок.

3. Подписание обновления кода прошивки HSM: Прежде чем развертывать новое обновление прошивки для HSM, наша команда по безопасности продуктов, Ledger Donjon, проводит комплексный процесс проверки. Будучи частью кворума встроенного ПО, Ledger Donjon гарантирует, что никакие бэкдоры или вредоносный код не будут внедрены злоумышленниками-инсайдерами или скомпрометированы конвейером разработки в результате атаки на цепочку поставок. Таким образом, они поддерживают целостность и безопасность обновления прошивки.

4. Обновление кода прошивки устройств Signing Ledger (Nano & Stax): Как и прошивки для HSM, обновления прошивки нашего устройства Ledger проходят строгий процесс проверки и требуют одобрения кворума, прежде чем они будут предложены нашим пользователям через Ledger Live.

Подводя итоги, кворумы являются неотъемлемой частью архитектуры безопасности Ledger Recover. Они играют важную роль в укреплении защиты от внутренних мошеннических угроз и сговора во время жизненно важных операций. Используя первоклассную безопасность устройств и сервисов Ledger, кворумы помогают обеспечить доверие и защитить цифровые активы пользователей от злоумышленников-инсайдеров.

Мониторинг критически важных компонентов и операций

Углубляясь в эту главу, важно отметить, что по соображениям безопасности мы раскрываем только часть обширных действий по мониторингу службы Ledger Recover. Хотя мы придерживаемся своей приверженности прозрачности, мы также признаем важность сохранения конфиденциальности в отношении деталей внутреннего контроля и мониторинга операционной безопасности.

В Ledger безопасность является нашим приоритетом. Он лежит в основе наших решений, построенных на надежных криптографических протоколах, как подробно описано в нашем Технический документ по восстановлению Ledger. Но наша работа выходит за рамки создания безопасных систем. Мы постоянно отслеживаем и оцениваем нашу деятельность, выявляя любые подозрительные действия. Такая постоянная бдительность укрепляет нашу позицию безопасности, гарантируя, что мы всегда готовы отреагировать. 

Давайте рассмотрим несколько примеров нашего многоуровневого подхода:

Мониторинг деятельности администратора: Мы обеспечиваем строгий контроль доступа для наших администраторов. Нам не только требуется 2FA (двухфакторная аутентификация) для всех административных подключений к нашей инфраструктуре, но мы также требуем проверки несколькими людьми для доступа к инфраструктуре администратора в критических частях системы. Кроме того, наши системы тщательно регистрируют и отслеживают все административные действия. Эти журналы автоматически сверяются с нашими внутренними системами обработки заявок для обнаружения любых незапланированных действий. Такая осторожная корреляция позволяет нам оперативно предупреждать наши службы безопасности о любом необычном или подозрительном поведении, повышая нашу операционную безопасность.

Перекрестный контроль среди поставщиков резервного копирования: Прозрачность и подотчетность составляют основу отношений между поставщиками резервного копирования, Ledger, EscrowTech и Coincover. Мы наладили обмен журналами в реальном времени, которые используются для мониторинга и безопасности системы. Это позволяет осуществлять перекрестную проверку деятельности. Если обнаружено какое-либо несоответствие, служба немедленно блокируется для защиты активов пользователей.

Надзор за исключительной деятельностью по выпуску: Редкие случаи выпуска акций вручную тщательно контролируются с помощью процесса с участием нескольких кворумов, как мы объяснили в предыдущем разделе. После выполнения операции по исключительному выпуску системы Ledger Recover приступают к комплексному мониторингу, включая подробную регистрацию и анализ участвующих сторон, времени работы и других соответствующих деталей. Этот процесс, включающий как выполнение с несколькими кворумами, так и мониторинг после действия, гарантирует, что исключительный выпуск акций строго контролируется на всех этапах процесса принятия решений.

Использование информации о безопасности и управления событиями (SIEM): Решение SIEM является важной частью стратегии мониторинга Ledger Recover. Этот специализированный SIEM расширяет возможности выявления потенциальных проблем безопасности и реагирования на них в режиме реального времени. Он точно настроен для выявления различных индикаторов компрометации (IoC) на основе журналов кластера и приложений Ledger Recover благодаря специальным правилам обнаружения, специально разработанным для службы Ledger Recover. Если обнаружен пользовательский IoC, ответ будет автоматическим и немедленным — весь кластер блокируется до тех пор, пока не будет проведен тщательный анализ. В службе Ledger Recover конфиденциальность имеет приоритет над доступностью услуги, чтобы обеспечить максимальную защиту активов пользователей.

В динамичной среде кибербезопасности мы разработали стратегию и подготовились к различным сценариям. Наша модель угроз учитывает маловероятную ситуацию, когда несколько администраторов инфраструктуры от разных поставщиков резервного копирования могут быть скомпрометированы. Благодаря строгим мерам защиты и автоматическим ответам служба Ledger Recover стремится обеспечить постоянную безопасность активов пользователей даже в таких чрезвычайных обстоятельствах. В следующем разделе мы опишем комплексные меры реагирования, разработанные для решения таких гипотетических ситуаций.

Реагирование на инциденты, связанные с восстановлением Ledger

Благодаря услуге Ledger Recover была разработана стратегия реагирования на инциденты, разработанная совместно с тремя поставщиками резервного копирования. Центральной частью этой стратегии являются автоматические средства защиты, которые немедленно блокируют всю систему при обнаружении подозрительной активности в любой части инфраструктуры. 

По сути, в службу Ledger Recover встроен протокол «всегда безопасно, никогда не сожалей». Безопасность является приоритетом номер один, и это обязательство никогда не будет поставлено под угрозу. 

Хотя мы постоянно стремимся обеспечить беспрепятственный пользовательский опыт для включения в Web100 следующих 3 миллионов человек, мы без колебаний активируем эти меры безопасности. эффективная блокировка всей службы восстановления реестра в случае возникновения потенциальной угрозы. В нашей миссии по защите выбор между запуском потенциально скомпрометированной службы и обеспечением максимальной безопасности очевиден — мы выбираем безопасность.

Заключение

Вот мы и подошли к концу части этой серии, посвященной оперативной безопасности. В этой части мы постарались ответить на любые ваши вопросы относительно того, как обеспечивается неуязвимость мер безопасности системы Ledger Recover. Мы говорили об инфраструктуре, разделении обязанностей, управлении и мониторинге и, наконец, о стратегии реагирования на инциденты. 

Еще раз спасибо, что дочитали до этого момента! Теперь у вас должно быть полное представление об операционной безопасности Ledger Recover. Заключительная часть этой серии сообщений в блоге будет посвящена последним проблемам безопасности, с которыми мы столкнулись, а точнее: как мы проводили внутренние и внешние проверки безопасности, чтобы гарантировать максимальный уровень безопасности нашим пользователям? Следите за обновлениями! 

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security