Approccio alla sicurezza di Flipster Exchange: domande e risposte su certificazioni di sicurezza, bug bounty e protezione degli utenti

In un mercato delle criptovalute volatile e in continua evoluzione, gli exchange di criptovalute si trovano ad affrontare un avversario più grande, determinato a compromettere i dati e i fondi degli utenti. Questa settimana, abbiamo incontrato Justin Hong, Chief Information Security Officer (CISO) di Flipster, per un'intervista esclusiva. Hong ha parlato di come la piattaforma di trading di criptovalute si rafforzi attraverso certificazioni, innovazione di prodotto e risposta alle minacce in tempo reale.

Secondo Hong, Flipster ha implementato oltre 15 aggiornamenti di sicurezza a livello di prodotto solo quest'anno. Questi aggiornamenti, unitamente alla certificazione ISO/IEC 27001 e al rating "AA" di CER.live, garantiscono agli utenti un ambiente di trading sicuro.

Lavorare presso Flipster

D: Ciao Justin, per favore, raccontaci un po' di te, del tuo ruolo di Chief Information Security Officer e perché è essenziale per le aziende Web3. 

R: Ho trascorso gli ultimi 16 anni nella sicurezza informatica, con esperienza nei settori bancario, fintech e blockchain. Ogni ambito presenta le sue sfide, e insieme hanno plasmato il mio approccio alla sicurezza, soprattutto nel Web3, dove la posta in gioco è particolarmente alta. Il livello di esposizione qui è diverso da qualsiasi cosa nella finanza tradizionale. C'è più controllo da parte degli utenti, più innovazione e, purtroppo, più attenzione da parte di malintenzionati.

In Flipster, dirigo la funzione di sicurezza globale, che copre ogni aspetto, dalla gestione del rischio e dalla conformità alla risposta aglident , fino all'integrazione di framework internazionali come ISO/IEC 27001 nelle nostre operazioni. Il settore delle criptovalute si muove rapidamente e le minacce si evolvono altrettanto rapidamente. Costruiamo tenendo presente questo aspetto, pensando sempre al futuro, non limitandoci a reagire.

D: Com'è lavorare presso Flipster nel mondo frenetico e ad alto rischio delle piattaforme di trading di criptovalute?

R: C'è molto in gioco, ed è proprio questo che rende il lavoro così gratificante. La sicurezza in questo ambito non è passiva. Ti trovi ad affrontare alcuni degli avversari più creativi e determinati del mondo della tecnologia. Ti mantiene vigile e ti costringe a continuare a evolverti.

Ciò che distingue Flipster è l'allineamento di tutti. La missione è chiara: siamo qui per costruire una piattaforma di trading sicura e affidabile su cui le persone possano contare. Questa attenzione si riflette nel nostro modo di lavorare: stretta collaborazione, feedback rapidi e test costanti. 

D: Come defila fiducia in Flipster e come lavora il tuo team per costruirla e mantenerla?

R: La fiducia si costruisce nel tempo attraverso la coerenza: trasparenza, chiarezza e responsabilità. Comunichiamo come gestiamo i rischi, proteggiamo i fondi degli utenti e rispondiamo aglident. Se qualcosa va storto, gli utenti hanno il diritto di sapere cosa è successo e come viene affrontato il problema.

Sul backend, adottiamo un modello zero-trust. Ogni sistema e utente viene trattato con lo stesso controllo, interno o esterno. Questa mentalità ci aiuta a prevenire le minacce di phishing e altri rischi interni. Ma la sicurezza non può andare a discapito dell'esperienza utente. Perfezioniamo costantemente le funzionalità per rendere il tutto più sicuro e intuitivo. Quando questi due aspetti funzionano in armonia, gli utenti non devono scegliere tra sicurezza e usabilità.

Certificazione ISO/IEC 27001 e CER.live di Flipster

D: Le piattaforme crittografiche stanno diventando un focolaio didentdi sicurezza, che nella maggior parte dei casi comportano la perdita di ingenti somme di denaro. Durante il tuo lavoro presso Flipster, ti è mai capitato di imbatterti in un tentativo del genere e come hai fatto a contenerlo?

R: Abbiamo assistito adent: attacchi DDoS, campagne di phishing e tentativi di impersonificazione, per citarne alcuni. Queste minacce sono reali e costanti.

Prendiamo ad esempio gli attacchi DDoS. Gli aggressori hanno tentato di compromettere la nostra piattaforma e hanno persino tentato tattiche di riscatto. Ma abbiamo integrato controlli di rilevamento e mitigazione a ogni livello e i nostri team di risposta sono addestrati per agire rapidamente. In scenari di phishing, i malintenzionati si sono spacciati per candidati o partner per cercare di indurre il nostro team ad aprire file dannosi. I nostri sistemi sono progettati per rilevare rapidamente queste minacce e adottiamo un'analisi approfondita post-dent per rafforzare ulteriormente le nostre difese.

D: Flipster ha recentemente ricevuto la certificazione AA da CER.live. In cosa consiste questa certificazione e cosa significa per gli utenti?

A: Dal 2018, CER.live ha valutato centinaia di piattaforme di scambio utilizzando una metodologia rigorosa basata su oltre 18 indicatori di sicurezza. È uno dei benchmark indipendenti più affidabilident settore.

Per gli utenti, questo tipo di certificazione è un segnale chiaro. Indica che una terza parte ha esaminato la nostra piattaforma e convalidato la qualità della nostra sicurezza. Se a questo si aggiunge la nostra certificazione ISO/IEC 27001, si inizia a vedere l'immagine di un'azienda che prende sul serio la fiducia, non solo in ciò che diciamo, ma anche nel modo in cui operiamo.

D: Oltre alla certificazione CER.live, quali sono le principali pratiche o protocolli di sicurezza implementati di recente da Flipster di cui gli utenti dovrebbero essere a conoscenza?

R: Quest'anno abbiamo implementato oltre 15 funzionalità di sicurezza a livello di prodotto. Tra gli aggiornamenti principali figurano il supporto per passkey, blocchi di prelievo e whitelisting degli indirizzi. Ognuna di queste offre agli utenti maggiore controllo e aggiunge un ulteriore livello di protezione.

Consiglio sempre di abilitare sia le passkey che la rubrica per i prelievi. Questi semplici passaggi fanno davvero la differenza. Stiamo anche sviluppando nuovi strumenti di gestione dei dispositivi che consentiranno agli utenti trace gestire i dispositivi che accedono ai loro account: un altro modo per aiutarli a mantenere il controllo.

D: Alcune piattaforme hanno ottenuto la valutazione AAA da CER.live. È un obiettivo per Flipster? Quali misure di sicurezza state adottando per raggiungere questo obiettivo?

R: È nel nostro mirino e stiamo facendo progressi costanti. Ora ci stiamo concentrando sul rafforzamento delle protezioni dei server, sull'implementazione di strumenti anti-phishing e sull'offerta agli utenti di un maggiore controllo attraverso funzionalità avanzate di gestione dei dispositivi.

In fin dei conti, non inseguiamo badge, ma ciò che effettivamente migliora la piattaforma per i nostri utenti. Se qualcosa aggiunge un valore reale e rafforza le nostre difese, lo realizziamo. La valutazione AAA è una pietra miliare, non un traguardo.

Bug bounty e altre funzionalità di sicurezza

D: In che modo Flipster garantisce che gli hacker white-hat siano incentivati ​​in un modo che sia in linea con gli obiettivi di fiducia e trasparenza a lungo termine dell'exchange?

A: Stiamo collaborando con Hackenproof a un programma pubblico di ricompense per la segnalazione di bug, offrendo ai ricercatori un percorso chiaro e affidabile per condividere con noi le loro scoperte. Il loro team esamina le segnalazioni in base all'impatto e alla qualità, e noi forniamo ricompense eque in base alla gravità del problema.

Oltre a trovare bug, si tratta di coinvolgere la comunità globale della sicurezza nella nostra missione. Quando i ricercatori sanno che il loro lavoro è apprezzato e preso in considerazione, è più probabile che contribuiscano a rendere l'ecosistematronforte. È una vittoria per tutti.

D: In qualità di CISO e opinion leader del settore, quale consiglio daresti ad altre aziende che lavorano per migliorare i propri standard di sicurezza?

R: Innanzitutto, bisogna definire le basi. La maggior parte delle violazioni si verifica a causa di sviste di base: patch mancanti, permessi non validi, controlli di accesso deboli. Se si adottano queste misure, si eliminerà gran parte del rischio.

Oltre a questo, investi nelle tue persone e nei tuoi processi. Puoi avere tutti gli strumenti del mondo, ma se i tuoi team non sono formati o i tuoi manuali di gestione deglident non vengono testati, sei vulnerabile. Costruisci una cultura in cui la sicurezza sia compito di tutti, non solo del CISO. Questo cambiamento di mentalità può richiedere tempo, ma ne vale la pena.

D: Infine, anche gli attacchi di ingegneria sociale sono dilaganti nel settore. Quali misure avete implementato per garantire che gli utenti siano protetti, o meglio, informati dei tentativi di compromettere i loro account?

R: Consideriamo il social engineering in due categorie: furto di account e trasferimenti fraudolenti. Innanzitutto, abbiamo integratotronprotezioni come passkey, autenticazione a due fattori (2FA), avvisi di accesso in tempo reale e whitelist degli indirizzi. Presto aggiungeremo anche la gestione dei dispositivi.

La formazione degli utenti gioca un ruolo fondamentale nella prevenzione delle frodi. Condividiamo regolarmente aggiornamenti di sicurezza e stiamo sviluppando strumenti che segnalano indirizzi sospetti o noti per truffe. L'obiettivo è fornire agli utenti sia le conoscenze che gli strumenti per proteggersi. Un utente ben informato è una delle migliori linee di difesa.