5. del: Genesis of Ledger Recover – Operativna varnost | Ledger

Do sedaj smo v 1. in 2. delu pokazali, kako obnoviti Ledger razdeli vaše seme na delnice in varno pošlje te delnice do prijatelji zaupanja vrednih ponudnikov varnostnih kopij. V 3. delu smo pokazali, kako varno shrani (in obnovi) deleže vašega semena, zaščiten s strojno enkripcijo, vezan na vašo identiteto in raznolik. V 4. delu smo raziskali, kako Ledger Recover uspe omogoči dostop do varnostne kopije samo vam in vam.

Zdaj je čas, da podrobneje pogledamo, kako zagotavljamo maksimalno varnost na operativni ravni. Na kratko je operativna varnost dosežena z:

• Okrepitev infrastrukture, ki podpira Ledger Recover,
• Uporaba ločevanja dolžnosti za različne operaterje Ledger Recover,
• Spremljanje kritičnih komponent in operacij,
• Implementacija odziva na incidente, specifičnega za Recover.

Poglobimo se v podrobnosti o tem, kaj vsak od teh elementov pomeni.

Utrjevanje infrastrukture

Utrjevanje infrastrukture je na voljo v številnih oblikah. Gre za 360° vajo, ki vključuje širok nabor dejavnosti, ki jih vodi temeljita analiza varnostnih tveganj. Običajno se začne z vzdrževanjem kataloga scenarijev napadov, ki bi lahko povzročili varnostne težave (kot so uhajanje podatkov, lažno predstavljanje strank, kar vodi do nepooblaščene obnovitve skupnih rab, neodzivni sistemi in motnje storitev). Preprečevanje teh težav na operativni ravni je organizirano okoli dejavnosti, kot so izolacija virov, regulacija dostopa do sistema, nadzor omrežnega prometa, upravljanje ranljivosti in še veliko več.

Tukaj je povzetek naših ključnih ukrepov za utrjevanje infrastrukture Ledger Recover:

Dostopnost storitve

Infrastruktura je zasnovana tako, da obstaja brez ene same točke odpovedi (NSPOF), kar pomeni, da je sistem odporen na okvaro katere koli komponente. Vzemimo naslednji primer: naše podatkovne centre oskrbujeta dva neodvisna ponudnika internetnih storitev (ISP) na dveh nasprotnih koncih stavbe. Če je vlakno poškodovano zaradi tekočih gradbenih del v enem delu stavbe, bodo podatki preprosto preusmerjeni prek drugega ponudnika internetnih storitev. Vzdrževanje brez motenj je še ena prednost, ki povečuje razpoložljivost. Glede na to, da obstajata vsaj dva primerka vseh komponent programske opreme Ledger Recover, lahko znova konfiguriramo sistem tako, da uporablja samo primerek A, medtem ko zamenjamo/nadgradimo/popravimo primerek B.

Omejen skrbniški dostop do aplikacij Ledger Recover

Samo a zmanjšanemu naboru uporabnikov je dodeljen skrbniški dostop do virov, ki so namenjeni Ledger Recover. Čim krajši je seznam uporabnikov, tem bolj lahko zmanjšamo tveganje, da bodo grožnje z notranjimi informacijami pridobile skrbniški dostop.

Zavarovani fizični podatkovni centri

HSM-ji ponudnikov varnostnega kopiranja gostujejo v geografsko odveč fizični podatkovni centri, zaščiteni pred fizičnimi in virtualnimi grožnjami z uporabo industrijske varnostne tehnike in postopki. Stopnja fizične zaščite zagotavlja, da nobena nepooblaščena oseba ne more mimogrede oditi s HSM. Zanašanje na podatkovne centre na več lokacijah pomeni, da če se na eni lokaciji pojavi težava, jo lahko prevzame druga lokacija, ki zagotavlja neprekinjena razpoložljivost storitev. Nenazadnje nam upravljanje lastnih HSM daje nadzor nad tem, kdo ima dostop njim in katera koda je nameščena na njih.

Izolacija virov Ledger Recover

Vsi viri Ledger Recover so izolirani od vseh drugih virov znotraj ponudnikov storitev Ledger Recover, vključno s Coincoverjem in Ledgerjem. Ta izolacija je potrebna za zagotovitev, da lahko zadržimo morebitne napade iz ene omrežne rezine, katerih cilj je izkoriščanje virov drugih omrežnih rezin.

Varnost na ravni kode, zagotovljena prek več stebrov

• Mi uporabljamo skenerji kod da nam pomaga zgodaj prepoznati in odpraviti ranljivosti ter jim preprečiti, da bi se prebile v proizvodnjo.
• Koda is Pregledal in odobreno by neodvisna ekipa tistega, ki razvija Ledger Recover. To ločevanje je še en ukrep za izboljšanje splošne kakovosti kode z lovljenjem logičnih napak, ki bi lahko povzročile pomisleke glede varnosti.
• Koda kritičnih modulov Ledger Recover je podpisan s kriptografskim podpisom. Podpis je delno ustvarjen na podlagi vsebine kode, kar preprečuje uvedbo spremenjene kode s primerjavo podpisa z njegovo pričakovano vrednostjo. To varnostno preverjanje se opravi pred izvedbo kode.

Nadzor omrežnega prometa

Omrežni promet je strogo nadzorovan s pravilniki, ki določajo pravila za prometne tokove za vse 3 ponudnike varnostnih kopij. Avtor: določanje pravil za dovoljen in prepovedan promet, omejimo napadalno površino in zmanjšamo tveganje nepooblaščenih dostopov. Prav tako omejevanje komunikacije med posameznimi storitvami zagotavlja, da bočno gibanje napadalca je omejeno, tudi če je ena komponenta ogrožena. Poleg tega uporabljamo vzajemno preverjanje pristnosti TLS (mTLS), da preprečimo napade Man-in-the-Middle (MiM). S preverjanjem istovetnosti obeh strani s certifikati medsebojni TLS zagotavlja, da samo zaupanja vredne osebe lahko vzpostavijo varno povezavo.

Vrtenje ključev

šifriranje tipke (ki se uporabljajo na primer za šifriranje podatkov ali komunikacije). redno spreminjal v skladu z najboljšimi praksami kriptografije. Prednost tega je, da če je ključ ogrožen, škoda je omejena na čas med rotacijami in na podatke, šifrirane s starim ključem.

Varnost odhodnega prometa

Odhodni promet je omejen samo na znane domene in naslove IP (ponudniki varnostnih kopij, ponudniki storitev). Omejevanje in spremljanje odhodnega prometa je način za bodite pozorni na morebitno uhajanje podatkov. Če je obseg odhodnih podatkovnih tokov večji od pričakovanega, lahko zlonamerni akter v velikem obsegu črpa občutljive podatke iz sistema Ledger Recover. 

Varnost vhodnega prometa

Dohodni promet je zaščiten s kombinacijo anti-DDoS, filtriranja spletnih aplikacij (WAF) in tehnik filtriranja IP. Distributed denial-of-service (DDoS) napadi povzročajo škodo tako, da njihov ciljni sistem preplavijo z zahtevami. Omejitev števila dohodnih zahtevkov je znan ukrep proti tovrstnim napadom. Niso vsi napadi povezani s količino, nekateri so povezani s kakovostjo. Tukaj nastopi WAF. WAF pogleda dohodne zahteve in pregleduje njihovo nameravano vedenje: če je namen zahteve pridobiti nepooblaščen dostop ali manipulirati s podatki, filter blokira zahtevo. Končno, filtriranje IP uporablja dvojno tehniko a) seznam dovoljenih, torej dopuščanje promet samo z določenih naslovov IP ali obsege in b) črni seznam, torej blokiranje prometa z znanih IP-jev napadalcev.       

Upravljanje ranljivosti

Komponente infrastrukture Ledger Recover so stalno in sistematično skenirano za znane ranljivosti in napačno konfiguracijo, popravki/posodobitve pa se redno uporabljajo. To pomaga pri odzivu na nove vrste groženj, ko se pojavijo, in ohranja varnostne ukrepe posodobljene in vrhunske.

Ločitev dolžnosti

Ločevanje dolžnosti je jedro varnostne strategije Ledger Recover. 

Ločitev dolžnosti med različnimi Ponudniki varnostnih kopij (3. del) in Ponudnik IDVs (4. del) je bil opisan v prejšnjih objavah. Morda se spomnite, da obstajajo:

• 3 deleži Secret Recovery Phrase, ki jih upravljajo 3 neodvisni ponudniki varnostnih kopij (z diverzifikacijo baze podatkov na vrhu, da se prepreči tajno dogovarjanje)
• 2 neodvisna potrjevalnika identitete (ponudnika IDV)

Na ravni infrastrukture, ločitev dolžnosti se uporablja med različnimi vlogami, vključenimi v razvoj in delovanje Ledger Recover.

Poleg tega združujemo ločitev dolžnosti z načelo "najmanjših privilegijev".. "Najmanj privilegij" je načelo, ki se uporablja za sistemske operaterje in skrbnike: podeljene so jim pravice, da naredijo le tisto, kar morajo storiti, s čimer zagotovijo najnižjo raven dovoljenja, ki je potrebna za opravljanje njihovih nalog. 

Torej, kdaj »najmanj privilegij« je združen z »ločitvijo dolžnosti«, različne skrbniške vloge so dodeljene različnim osebam tako da nobena oseba ne more poškodovati/ogroziti zaupnosti ali celovitosti katere koli komponente sistema. Na primer, razvijalci kode Ledger Recover nimajo dostopa do sistema, ki izvaja kodo, ki so jo napisali.

Upravljanje: sklepčnost

Podobno kot pri konsenznih mehanizmih verige blokov, ki zagotavljajo celovitost in varnost z več akterji, ki preverjajo bloke, smo sprejeli kvorum znotraj sistema Ledger Recover za izboljšanje naše operativne varnosti.

Kljub našim strogim preverjanjem preteklosti za naše zaposlene ostaja dejstvo, da so ljudje lahko šibki člen v katerem koli sistemu in kriptosfera ni izjema. Odmevni varnostni incidenti, kot je Vdor na Mt. Gox iz leta 2014, prikazujejo, kako je mogoče posameznike izkoriščati ali povzročiti varnostne pomanjkljivosti. Na ljudi je mogoče vplivati ​​ali jih prisiliti z različnimi motivacijami – denarjem, ideologijo, prisilo, egom (tudi MICE(S)) – zaradi česar tudi najstrožja preverjanja preteklosti niso povsem varna.

Za zmanjšanje tovrstnih tveganj uporabljamo sistem, ki temelji na konceptu sklepčnosti. Ta okvir zahteva soglasje vsaj treh pooblaščenih posameznikov iz različnih skupin ali oddelkov znotraj ponudnikov varnostnega kopiranja, preden se lahko sprejmejo pomembne odločitve ali kritična dejanja. 

Točno število oseb, vključenih v naše različne zbore, zaradi varnosti ostaja nerazkrito. Kljub temu njegov sam obstoj bistveno poveča našo operativno varnost, saj zmanjša potencialni vpliv katerega koli posameznega ogroženega posameznika.

Tukaj je nekaj dejavnosti, pri katerih uporabljamo sklepčnost:

1. Ustvarjanje zasebnih ključev za HSM Ledger Recover: To kritično operacijo varujejo neodvisni zbori znotraj vsake entitete – Coincover, EscrowTech in Ledger. Vsak član teh ločenih zborov mora biti prisoten, da ustvari zasebne ključe v svojih HSM. Vsak član kvoruma ima dostop do rezervnega ključa, ki je ključen za obnovitev in regeneracijo njihovih skrivnosti HSM, če je to potrebno. Ta struktura ne ščiti samo pred tveganjem, da bi katera koli oseba imela neupravičen vpliv na enega od treh HSM-jev ponudnika rezervnih kopij, ampak tudi izboljša celotno celovitost sistema, saj vsak zbor deluje neodvisno in se ne zaveda posebnosti drug drugega.

2. Odločitev o izredni sprostitvi deleža stranke: Posebne, čeprav redke situacije lahko zahtevajo izjemno sprostitev strankinega deleža. To je lahko posledica napak pri preverjanju identitete (sprememba imena, fizična iznakaženost itd.) ali če naši nerazkriti varnostni ukrepi napravo napačno blokirajo na črnem seznamu. Ko pride do takšne situacije, se zbere kvorum, ki ga sestavlja več posameznikov iz ponudnikov rezervnih kopij. Ta postopek, ki zahteva široko soglasje, zagotavlja, da odločitve niso sprejete naglo ali enostransko, s čimer se poveča varnost strank. Vsak član kvoruma uporablja svojo napravo Ledger Nano (z lastnim zatičem), da odobri izdajo, s čimer doda še eno plast varnosti pred morebitnim tajnim dogovorom ali posameznimi napakami.

3. Podpisovanje posodobitve kode vdelane programske opreme HSM: Pred uvedbo nove posodobitve vdelane programske opreme za HSM-je, naša skupina za varnost izdelkov, Ledger Donjon, izvede celovit postopek pregleda. Ker je del kvoruma vdelane programske opreme, Ledger Donjon zagotavlja, da nobena stranska vrata ali zlonamerna koda niso bila uvedena s strani zlonamernega insajderja ali ogroženega razvojnega cevovoda prek napada na dobavno verigo. Na ta način ohranijo celovitost in varnost posodobitve vdelane programske opreme.

4. Posodobitev kode strojne programske opreme za podpisovanje naprav Ledger (Nano & Stax): Podobno kot vdelana programska oprema za HSM gredo posodobitve vdelane programske opreme naše naprave Ledger skozi strog postopek pregleda in zahtevajo kvorumsko odobritev, preden so predlagane našim uporabnikom prek Ledger Live.

Če zaključimo, so zbori sestavni del varnostne arhitekture Ledger Recover. Imajo pomembno vlogo pri krepitvi obrambe pred notranjimi prevarantskimi grožnjami in tajnim dogovarjanjem med vitalnimi operacijami. Z izkoriščanjem vrhunske varnosti naprav in storitev Ledger kvorumi pomagajo zagotoviti zaupanje in zaščititi digitalna sredstva uporabnikov pred zlonamernimi notranjimi osebami.

Spremljanje kritičnih komponent in operacij

Ko se poglabljamo v to poglavje, je pomembno opozoriti, da iz varnostnih razlogov razkrivamo le del obsežnih nadzornih dejavnosti za storitev Ledger Recover. Čeprav stojimo za svojo zavezanostjo preglednosti, se zavedamo tudi pomena ohranjanja diskretnosti glede podrobnosti notranjega nadzora in spremljanja operativne varnosti.

Pri Ledgerju je varnost naša prednostna naloga. To je jedro naših rešitev, ki temeljijo na robustnih kriptografskih protokolih, kot je podrobno opisano v našem Bela knjiga Ledger Recover. Toda naše delo se nadaljuje dlje od ustvarjanja varnih sistemov. Naše delovanje nenehno spremljamo in ocenjujemo ter iščemo morebitne sumljive dejavnosti. Ta stalna budnost krepi našo varnostno držo in zagotavlja, da smo vedno pripravljeni na odziv. 

Raziščimo nekaj primerov našega večplastnega pristopa:

Spremljanje dejavnosti skrbnika: Uveljavljamo strog nadzor dostopa za naše skrbnike. Ne samo, da zahtevamo 2FA (dvostopenjsko avtentikacijo) za vse skrbniške povezave z našo infrastrukturo, ampak zahtevamo tudi preverjanje več oseb za skrbniški dostop do infrastrukture v kritičnih delih sistema. Poleg tega naši sistemi natančno beležijo in sledijo vsaki upravni dejavnosti. Ti dnevniki se samodejno navzkrižno sklicevajo z našimi internimi sistemi izdajanja vozovnic, da se zaznajo morebitna nenačrtovana dejanja. Ta previdna korelacija nam omogoča, da svoje varnostne ekipe takoj opozorimo na kakršno koli nenavadno ali sumljivo vedenje, kar krepi našo operativno varnost.

Navzkrižni nadzor med ponudniki varnostnih kopij: Preglednost in odgovornost tvorita osnovo odnosov med ponudniki varnostnih kopij, Ledger, EscrowTech in Coincover. Vzpostavili smo izmenjavo dnevnikov v realnem času, ki se uporabljajo za nadzor in varnost sistema. To omogoča navzkrižno preverjanje dejavnosti. Če se odkrije kakršna koli neskladnost, se storitev takoj zaklene, da se zaščitijo sredstva uporabnikov.

Nadzorovanje izjemnih dejavnosti izdajanja: Redki primeri ročne izdaje skupne rabe so natančno nadzorovani s postopkom več sklepčnosti, kot smo pojasnili v prejšnjem razdelku. Po izvedbi izjemne dejavnosti sprostitve sistemi Ledger Recover nadaljujejo s celovitim spremljanjem, vključno s podrobnim beleženjem in analizo vpletenih strani, časom delovanja in drugimi pomembnimi podrobnostmi. Ta proces, ki vključuje večkvorumsko izvedbo in spremljanje po akciji, zagotavlja, da je izredna sprostitev delnic strogo nadzorovana v vseh fazah postopka odločanja.

Izkoriščanje varnostnih informacij in upravljanja dogodkov (SIEM): Rešitev SIEM tvori ključni del strategije spremljanja Ledger Recover. Ta namenski SIEM izboljša sposobnost prepoznavanja in odzivanja na morebitne varnostne težave v realnem času. Natančno je nastavljen za prepoznavanje različnih indikatorjev ogroženosti (IoC) na podlagi grozdov in dnevnikov aplikacije Ledger Recover, zahvaljujoč posebnim pravilom zaznavanja, posebej razvitim za storitev Ledger Recover. Če je zaznan IoC po meri, je odziv samodejen in takojšen – celotna gruča je zaklenjena, dokler ni opravljena temeljita analiza. V storitvi Ledger Recover ima zaupnost prednost pred razpoložljivostjo storitve, da se zagotovi največja zaščita sredstev uporabnikov.

V dinamični pokrajini kibernetske varnosti smo izdelali strategijo in se pripravili na različne scenarije. Naš model groženj upošteva malo verjetno situacijo, v kateri je lahko ogroženih več skrbnikov infrastrukture različnih ponudnikov varnostnega kopiranja. S strogimi zaščitnimi ukrepi in samodejnimi odzivi je cilj storitve Ledger Recover zagotoviti stalno varnost premoženja uporabnikov tudi v takih izrednih okoliščinah. V naslednjem razdelku bomo opisali obsežne odzivne ukrepe, ki so oblikovani za reševanje takšnih hipotetičnih situacij.

Odziv na incidente, specifičen za Ledger Recover

S storitvijo Ledger Recover je bila zgrajena strategija odzivanja na incidente, ki je bila oblikovana v sodelovanju s tremi ponudniki varnostnih kopij. Osrednji del te strategije so avtomatske zaščite, ki takoj zaklenejo celoten sistem, ko zaznajo sumljivo dejavnost v katerem koli delu infrastrukture. 

V bistvu je bil v storitev Ledger Recover vgrajen protokol »vedno varno, nikoli žal«. Varnost je prednostna naloga številka ena in to je zaveza, ki ne bo nikoli ogrožena. 

Medtem ko si nenehno prizadevamo zagotoviti brezhibno uporabniško izkušnjo za vključitev naslednjih 100 milijonov ljudi v Web3, ne bomo nikoli oklevali z aktiviranjem teh zaščitnih ukrepov, učinkovito zaklepanje celotne storitve Ledger Recover, če pride do morebitne grožnje. V našem poslanstvu zaščite je izbira med izvajanjem potencialno ogrožene storitve in zagotavljanjem končne varnosti jasna – izbiramo varnost.

zaključek

Tukaj smo na koncu dela o operativni varnosti te serije. V tem delu smo poskušali odgovoriti na vse vaše pomisleke glede tega, kako je zagotovljena nepremagljivost varnostnih ukrepov sistema Ledger Recover. Govorili smo o infrastrukturi, delitvi nalog, upravljanju in spremljanju ter končno o strategiji odzivanja na incidente. 

Še enkrat hvala za branje do te točke! Zdaj bi morali celovito razumeti operativno varnost Ledger Recover. Zadnji del te serije objav v spletnem dnevniku bo govoril o zadnjih pomislekih glede varnosti, ki smo jih imeli, in natančneje: kako smo upravljali naše notranje in zunanje varnostne revizije, da bi našim uporabnikom zagotovili najvišjo raven varnosti? Ostani na vezi! 

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.ledger.com/blog/part-5-genesis-of-ledger-recover-operational-security