في ظل سوق العملات الرقمية المتقلبة والمتطورة، تواجه منصات تداول العملات الرقمية خصماً أكبر مصمماً على اختراق بيانات المستخدمين وأموالهم. هذا الأسبوع، أجرينا مقابلة حصرية مع جاستن هونغ، كبير مسؤولي أمن المعلومات في Flipster. تحدث هونغ عن كيفية تعزيز منصة تداول العملات الرقمية لأمنها من خلال الشهادات، وابتكار المنتجات، والاستجابة الفورية للتهديدات.
بحسب هونغ، أطلقت فليبستر
العمل في شركة فليبستر
س: مرحباً جاستن، من فضلك ابدأ بإخبارنا قليلاً عن نفسك، ودورك كرئيس تنفيذي لأمن المعلومات، ولماذا هو أمر ضروري لشركات Web3.
أ: لقد أمضيتُ السنوات الست عشرة الماضية في مجال الأمن السيبراني، ولديّ خبرة في قطاعات الخدمات المصرفية والتكنولوجيا المالية وتقنية البلوك تشين. لكل مجال تحدياته الخاصة، وقد ساهمت هذه التحديات مجتمعةً في تشكيل منهجي في التعامل مع الأمن، لا سيما في مجال Web3، حيث المخاطر بالغة الأهمية. مستوى المخاطر هنا لا يُضاهى في مجال التمويل التقليدي. هناك تحكم أكبر من المستخدم، وابتكارات أكثر، وللأسف، اهتمام أكبر من الجهات الخبيثة.
في شركة Flipster، أتولى قيادة قسم الأمن العالمي، الذي يشمل كل شيء بدءًا من إدارة المخاطر والامتثال وصولًا إلى الاستجابةdent وتضمين الأطر الدولية مثل ISO/IEC 27001 في عملياتنا. يشهد عالم العملات الرقمية تطورًا سريعًا، وتتطور التهديدات بالسرعة نفسها. نبني حلولنا مع وضع ذلك في الاعتبار، فنفكر دائمًا في المستقبل، لا نكتفي برد الفعل.
س: كيف تبدو تجربة العمل في Flipster في عالم منصات تداول العملات المشفرة سريع الخطى وعالي المخاطر؟
ج: هناك الكثير على المحك، وهذا تحديداً ما يجعل العمل مجزياً للغاية. الأمن في هذا المجال ليس عملاً سلبياً. أنت تواجه بعضاً من أكثر الخصوم إبداعاً وتصميماً في مجال التكنولوجيا. هذا يبقيك متيقظاً، ويجبرك على التطور باستمرار.
ما يُميّز Flipster هو التناغم التام بين جميع أفرادها. مهمتنا واضحة: بناء منصة تداول آمنة وموثوقة يُمكن الاعتماد عليها. ويتجلى هذا التركيز في أسلوب عملنا - التعاون الوثيق، وسرعة تلقي الملاحظات، والاختبار المستمر.
س: كيف defiالثقة في Flipster، وكيف يعمل فريقكم على بنائها والحفاظ عليها؟
ج: تُبنى الثقة بمرور الوقت من خلال الاتساق - أي التحلي بالشفافية والوضوح والمساءلة. نوضح كيفية إدارة المخاطر، وحماية أموال المستخدمين، والاستجابةdent. إذا حدث خطأ ما، يحق للمستخدمين معرفة ما حدث وكيف يتم التعامل معه.
في البنية التحتية، نعتمد نموذج انعدام الثقة. يُعامل كل نظام ومستخدم بنفس التدقيق، سواءً كان داخليًا أو خارجيًا. هذه العقلية تساعدنا على البقاء متقدمين على تهديدات التصيد الاحتيالي وغيرها من المخاطر الداخلية. لكن لا يمكن أن تأتي الحماية على حساب تجربة المستخدم. فنحن نعمل باستمرار على تحسين الميزات لجعلها أكثر أمانًا وسهولة في الاستخدام. عندما يتناغم هذان الأمران، لا يضطر المستخدمون للاختيار بين الأمان وسهولة الاستخدام.
شهادة Flipster ISO/IEC 27001 و CER.live
س: أصبحت منصات العملات الرقمية بؤرةًdentالأمنية، والتي غالبًا ما تؤدي إلى خسائر مالية فادحة. هل واجهتَ، أثناء عملك في Flipster، محاولةً كهذه، وكيف تعاملتَ معها؟
ج: لقد شهدنا نصيبنا منdent- هجمات DDoS، وحملات التصيد الاحتيالي، ومحاولات انتحال الشخصية، على سبيل المثال لا الحصر. هذه التهديدات حقيقية ومستمرة.
لنأخذ هجمات الحرمان من الخدمة الموزعة (DDoS) كمثال. حاول المهاجمون تعطيل منصتنا، بل ولجأوا إلى أساليب الابتزاز. لكننا نمتلك آليات كشف وتخفيف مدمجة في كل طبقة، وفرق الاستجابة لدينا مدربة على العمل بسرعة. في حالات التصيد الاحتيالي، انتحل المحتالون صفة متقدمين للوظائف أو شركاء لخداع فريقنا لفتح ملفات ضارة. صُممت أنظمتنا لاكتشاف هذه التهديدات بسرعة، ونجري تحليلاً معمقاً بعد كلdent لتعزيز دفاعاتنا بشكل أكبر.
س: حصل موقع Flipster مؤخرًا على شهادة AA من CER.live. ما الذي تتضمنه هذه الشهادة، وماذا تعني للمستخدمين؟
ج: منذ عام 2018 ، قامت CER.live بتقييم مئات منصات التداول باستخدام منهجية صارمة تعتمد على أكثر من 18 مؤشرًا أمنيًا. وهي واحدة من أكثر المعايير المستقلة الموثوقة dent هذا المجال.
بالنسبة للمستخدمين، يُعدّ هذا النوع من الشهادات مؤشراً واضحاً. فهو يُشير إلى أن جهة خارجية قد قامت بفحص منصتنا والتحقق من جودة أمانها. وإذا أضفنا إلى ذلك شهادة ISO/IEC 27001، فسيتضح لنا أن الشركة تُولي الثقة أهمية بالغة، ليس فقط في أقوالها، بل أيضاً في أساليب عملها.
س: بالإضافة إلى شهادة CER.live، ما هي ممارسات أو بروتوكولات الأمان الرئيسية التي طبقتها Flipster مؤخرًا والتي يجب على المستخدمين أن يكونوا على دراية بها؟
أ: لقد أطلقنا أكثر من 15 ميزة أمان على مستوى المنتج هذا العام. تشمل بعض التحسينات الرئيسية دعم رمز المرور، وقفل عمليات السحب، وقائمة العناوين المسموح بها. تمنح كل ميزة المستخدمين مزيدًا من التحكم وتضيف طبقة أخرى من الحماية.
أوصي دائمًا بتفعيل كلٍ من كلمات المرور ودفتر العناوين لعمليات السحب. هذه الخطوات البسيطة تُحدث فرقًا كبيرًا. كما أننا نعمل على تطوير أدوات جديدة لإدارة الأجهزة تُمكّن المستخدمين من tracوإدارة الأجهزة التي تصل إلى حساباتهم، وهي طريقة أخرى نساعدهم بها على التحكم الكامل في حساباتهم.
س: حصلت بعض المنصات على تصنيف AAA من CER.live. هل هذا هدفٌ لـ Flipster؟ ما هي الإجراءات الأمنية التي تعملون عليها لتحقيق ذلك؟
ج: هذا الأمر ضمن اهتماماتنا، ونحن نحرز تقدماً مطرداً. نركز حالياً على تعزيز حماية الخوادم، ونشر أدوات مكافحة التصيد الاحتيالي، ومنح المستخدمين تحكماً أكبر من خلال ميزات إدارة الأجهزة المحسّنة.
في نهاية المطاف، لا نسعى وراء الشهادات، بل نسعى وراء ما يُحسّن المنصة فعلاً لمستخدمينا. إذا أضاف شيء ما قيمة حقيقية وعزز دفاعاتنا، فإننا نُطوّره. تصنيف AAA هو إنجازٌ هام، وليس غايةً في حد ذاته.
مكافآت اكتشاف الثغرات الأمنية وميزات أمان إضافية
س: كيف تضمن Flipster تحفيز المتسللين ذوي القبعة البيضاء بطريقة تتوافق مع أهداف المنصة طويلة الأجل المتعلقة بالثقة والشفافية؟
ج: نحن نعمل مع هاكنبروف على برنامج مكافآت عام لاكتشاف الثغرات، مما يوفر للباحثين مسارًا واضحًا وموثوقًا لمشاركة نتائجهم معنا. يقوم فريقهم بمراجعة الطلبات من حيث التأثير والجودة، ونقدم مكافآت عادلة بناءً على مدى خطورة الثغرة.
لا يقتصر الأمر على اكتشاف الثغرات، بل يتعلق بإشراك مجتمع الأمن العالمي في مهمتنا. فعندما يدرك الباحثون أن عملهم يُقدّر ويُعمل به، يصبحون أكثر ميلاً للمساهمة في تعزيز منظومة الأمنtron. وهذا مكسب للجميع.
س: بصفتك مسؤول أمن المعلومات وقائد فكري في هذا المجال، ما هي النصائح التي تقدمها للشركات الأخرى التي تعمل على تحسين معاييرها الأمنية؟
ج: ابدأ بالأساسيات. تحدث معظم الاختراقات بسبب إغفال بعض الأمور الأساسية، مثل عدم تحديث البرامج، أو منح صلاحيات مفتوحة، أو ضعف التحكم في الوصول. إذا عالجت هذه الأمور بشكل صحيح، فستتخلص من جزء كبير من المخاطر.
إضافةً إلى ذلك، استثمر في موظفيك وعملياتك. قد تمتلك كل الأدوات المتاحة، ولكن إن لم تكن فرقك مدربة أو لم يتم اختبار خطط الاستجابةdent ، فأنت عرضة للخطر. ابنِ ثقافةً يكون فيها الأمن مسؤولية الجميع، وليس مسؤولية مسؤول أمن المعلومات فقط. قد يستغرق هذا التحول في التفكير وقتًا، ولكنه يستحق كل جهد يُبذل.
س: أخيرًا، تنتشر هجمات الهندسة الاجتماعية بشكل كبير في هذا المجال. ما هي الإجراءات التي اتخذتموها لضمان حماية المستخدمين، أو بالأحرى إبلاغهم بمحاولات اختراق حساباتهم؟
ج: نصنف الهندسة الاجتماعية إلى فئتين: اختراق الحسابات والتحويلات الاحتيالية. أولًا، قمنا بتضمين إجراءات حمايةtronمثل كلمات المرور، والمصادقة الثنائية، وتنبيهات تسجيل الدخول الفورية، وقائمة العناوين الموثوقة. قريبًا، سنضيف إدارة الأجهزة أيضًا.
يلعب تثقيف المستخدمين دورًا هامًا في مكافحة الاحتيال. ننشر تحديثات أمنية دورية، ونعمل على تطوير أدوات تُشير إلى عناوين البريد الإلكتروني المشبوهة أو المعروفة بعمليات الاحتيال. هدفنا هو تزويد المستخدمين بالمعرفة والأدوات اللازمة للحفاظ على سلامتهم. فالمستخدم المُطّلع هو أحد أفضل خطوط الدفاع.
