Подход Flipster Exchange к обеспечению безопасности: вопросы и ответы о сертификатах безопасности, программах вознаграждения за обнаружение уязвимостей и защите пользователей

В условиях нестабильного и постоянно меняющегося криптовалютного рынка криптобиржи сталкиваются с более серьезным противником, стремящимся скомпрометировать данные и средства пользователей. На этой неделе мы взяли эксклюзивное интервью у Джастина Хонга, директора по информационной безопасности (CISO) Flipster. Хонг рассказал о том, как платформа для торговли криптовалютами укрепляет свои позиции за счет сертификации, инноваций в продуктах и ​​реагирования на угрозы в режиме реального времени.

По словам Хонга, Flipster выпустила более 15 обновлений безопасности на уровне продукта. Эти обновления, в сочетании с сертификацией ISO/IEC 27001 и рейтингом «AA» от CER.live, гарантируют пользователям безопасную и надежную торговую среду.

Работа в Flipster

В: Здравствуйте, Джастин, пожалуйста, расскажите немного о себе, о вашей роли директора по информационной безопасности и о том, почему это так важно для компаний, работающих в сфере Web3. 

А: Последние 16 лет я работаю в сфере кибербезопасности, имея опыт работы в банковской сфере, финтехе и блокчейне. Каждая из этих областей приносит свои вызовы, и вместе они сформировали мой подход к безопасности, особенно в Web3, где ставки особенно высоки. Уровень уязвимости здесь не сравним ни с чем в традиционных финансах. Здесь больше контроля со стороны пользователей, больше инноваций и, к сожалению, больше внимания со стороны злоумышленников.

В Flipster я возглавляю глобальное подразделение безопасности, которое охватывает все аспекты — от управления рисками и соблюдения нормативных требований до реагирования наdent и внедрения международных стандартов, таких как ISO/IEC 27001, в нашу деятельность. Криптовалютная отрасль развивается быстро, и угрозы меняются так же стремительно. Мы строим свою систему, учитывая это — всегда думая наперед, а не просто реагируя.

В: Каково работать в Flipster в динамичном и рискованном мире криптотрейдинговых платформ?

А: На кону стоит очень многое, и именно это делает эту работу такой полезной. Безопасность в этой сфере — это не пассивное занятие. Вы противостоите одним из самых изобретательных и целеустремленных противников в технологической отрасли. Это держит вас в тонусе и заставляет постоянно развиваться.

В Flipster особенно выделяется сплоченность коллектива. Миссия ясна: мы создаем безопасную и надежную торговую платформу, на которую люди могут рассчитывать. Эта сосредоточенность проявляется в нашем подходе к работе — тесное сотрудничество, быстрая обратная связь и постоянное тестирование. 

В: Как вы defiдоверие в Flipster, и как ваша команда работает над его построением и поддержанием?

А: Доверие формируется со временем благодаря последовательности — прозрачности, ясности и подотчетности. Мы сообщаем, как управляем рисками, защищаем средства пользователей и реагируем наdent. Если что-то пошло не так, пользователи заслуживают того, чтобы знать, что произошло и как решается проблема.

На бэкэнде мы используем модель нулевого доверия. Каждая система и каждый пользователь подвергаются одинаковой проверке, как внутри компании, так и за ее пределами. Такой подход помогает нам опережать фишинговые угрозы и другие внутренние риски. Но безопасность не должна достигаться за счет удобства использования. Мы постоянно совершенствуем функции, чтобы сделать все более безопасным и интуитивно понятным. Когда эти два аспекта работают в гармонии, пользователям не приходится выбирать между безопасностью и удобством использования.

Сертификация Flipster по стандартам ISO/IEC 27001 и CER.live

В: Криптовалютные платформы становятся «рассадником»dentбезопасности, которые в большинстве случаев приводят к значительным финансовым потерям. Работая в Flipster, сталкивались ли вы с подобными попытками, и как вы их предотвратили?

А: Мы видели немалоdent— DDoS-атаки, фишинговые кампании и попытки выдачи себя за другое лицо, и это лишь некоторые из них. Эти угрозы реальны и возникают постоянно.

Возьмем, к примеру, DDoS-атаки. Злоумышленники пытались нарушить работу нашей платформы и даже применяли тактику вымогательства. Но у нас есть встроенные средства обнаружения и смягчения последствий на каждом уровне, а наши группы реагирования обучены действовать быстро. В фишинговых сценариях злоумышленники выдавали себя за соискателей или партнеров, чтобы обманом заставить нашу команду открыть вредоносные файлы. Наши системы разработаны для быстрого обнаружения таких угроз, и мы проводим углубленный анализdent , чтобы еще больше укрепить нашу защиту.

В: Компания Flipster недавно получила сертификат AA от CER.live. Что подразумевает этот сертификат и что он означает для пользователей?

A: С 2018 годаCER.live оценивает сотни бирж, используя строгую методологию, основанную на более чем 18 показателях безопасности. Это один из самых надежных независимыхdent в этой области.

Для пользователей подобная сертификация является четким сигналом. Она говорит о том, что независимая организация проверила нашу платформу и подтвердила качество нашей безопасности. В сочетании с нашей сертификацией ISO/IEC 27001 это начинает создавать картину компании, которая серьезно относится к доверию, не только к тому, что мы говорим, но и к тому, как мы работаем.

В: Помимо сертификации CER.live, какие ключевые методы или протоколы безопасности недавно внедрила компания Flipster, о которых пользователям следует знать?

A: В этом году мы внедрили более 15 функций безопасности на уровне продукта. Среди ключевых улучшений — поддержка паролей, блокировка вывода средств и добавление адресов в белый список. Каждая из них предоставляет пользователям больше контроля и добавляет еще один уровень защиты.

Я всегда рекомендую активировать как пароли, так и адресную книгу для вывода средств. Эти простые шаги действительно имеют значение. Мы также разрабатываем новые инструменты управления устройствами, которые позволят пользователям tracи контролировать устройства, получающие доступ к их учетным записям — еще один способ, которым мы помогаем им сохранять контроль над ситуацией.

В: Некоторые платформы получили рейтинг AAA от CER.live. Является ли это целью для Flipster? Над какими мерами безопасности вы работаете для достижения этой цели?

А: Мы держим это в поле зрения и неуклонно продвигаемся вперед. Сейчас мы сосредоточены на усилении защиты серверов, внедрении инструментов защиты от фишинга и предоставлении пользователям большего контроля за счет расширенных функций управления устройствами.

В конечном счете, мы гонимся не за значками, а за тем, что действительно улучшает платформу для наших пользователей. Если что-то приносит реальную пользу и укрепляет нашу защиту, мы это создаем. Рейтинг AAA — это веха, а не финишная линия.

Программа вознаграждения за обнаружение уязвимостей и дополнительные функции безопасности

В: Как Flipster обеспечивает стимулирование «белых» хакеров таким образом, чтобы это соответствовало долгосрочным целям биржи в области доверия и прозрачности?

А: Мы сотрудничаем с Hackenproof в рамках публичной программы вознаграждения за обнаружение уязвимостей, предоставляя исследователям четкий и надежный способ поделиться своими находками с нами. Их команда оценивает заявки на предмет влияния и качества, а мы предоставляем справедливое вознаграждение в зависимости от серьезности проблемы.

Речь идёт не только о поиске ошибок, но и о вовлечении мирового сообщества специалистов по безопасности в нашу миссию. Когда исследователи знают, что их работа ценится и её результаты используются, они с большей вероятностью помогутtronэкосистему. Это выгодно для всех.

В: Как руководитель службы информационной безопасности и признанный эксперт в этой области, какой совет вы бы дали другим компаниям, стремящимся повысить свои стандарты безопасности?

А: Сначала разберитесь с основами. Большинство утечек данных происходит из-за элементарных недочетов — отсутствия обновлений, открытых разрешений, слабого контроля доступа. Устраните эти недостатки, и вы значительно снизите риски.

Кроме того, инвестируйте в своих сотрудников и процессы. У вас может быть весь мир инструментов, но если ваши команды не обучены или ваши сценарии реагирования наdent не протестированы, вы уязвимы. Создайте культуру, в которой безопасность — это работа каждого, а не только директора по информационной безопасности. Изменение мышления может занять время, но оно стоит всех усилий.

В: Наконец, в этой сфере также широко распространены атаки с использованием методов социальной инженерии. Какие меры вы приняли для обеспечения защиты пользователей, или, скорее, для информирования их о попытках взлома их учетных записей?

А: Мы рассматриваем социальную инженерию в двух категориях: захват учетных записей и мошеннические переводы. Во-первых, мы внедрилиtronсредства защиты, такие как пароли, двухфакторная аутентификация, оповещения о входе в систему в режиме реального времени и белый список адресов. Вскоре мы добавим и управление устройствами.

Обучение пользователей играет важную роль в предотвращении мошенничества. Мы регулярно публикуем обновления по безопасности и разрабатываем инструменты, которые выявляют подозрительные или известные мошеннические адреса. Цель состоит в том, чтобы предоставить пользователям как знания, так и инструменты для обеспечения их безопасности. Хорошо информированный пользователь — одна из лучших линий защиты.