在瞬息万变的加密货币市场中,加密货币交易所面临着一个更强大的对手,他们企图窃取用户数据和资金。本周,我们对Flipster的首席信息安全官(CISO)Justin Hong进行了独家专访。Hong详细介绍了该加密货币交易平台如何通过认证、产品创新和实时威胁响应来加强自身安全。.
据洪先生介绍, Flipster今年已推出超过15项产品级安全更新。这些更新,加上其ISO/IEC 27001认证以及CER.live的“AA”评级,确保用户拥有安全可靠的交易环境。
在 Flipster 工作
问:你好,Justin,请先简单介绍一下你自己,你作为首席信息安全官的角色,以及为什么这对 Web3 公司至关重要。.
答:过去16年我一直从事网络安全工作,拥有银行、金融科技和区块链方面的经验。每个领域都有其独特的挑战,这些挑战共同塑造了我处理安全问题的方式,尤其是在Web3领域,这里的风险格外高。Web3的风险敞口与传统金融领域截然不同。用户拥有更多控制权,创新更多,但不幸的是,也更容易受到不法分子的关注。.
在 Flipster,我领导全球安全职能,涵盖风险管理、合规性、dent 响应以及将 ISO/IEC 27001 等国际标准融入我们运营的方方面面。加密货币发展日新月异,威胁也瞬息万变。我们始终牢记这一点——未雨绸缪,而非被动应对。.
问:在加密货币交易平台这个快节奏、高风险的领域,在 Flipster 工作是一种怎样的体验?
答:这份工作责任重大,也正因如此才如此有意义。在这个领域,安全并非被动的。你要面对的是科技界最具创造力和决心的对手。这让你保持敏锐,并迫使你不断进步。.
Flipster 最突出的特点是团队目标高度一致。我们的使命清晰明确:打造一个安全可靠、值得信赖的交易平台。这一点体现在我们的工作方式中——紧密协作、快速反馈和持续测试。.
问:在 Flipster,你们如何 defi信任?你们的团队是如何努力建立和维护信任的?
答:信任需要时间积累,而这需要始终如一——透明、清晰和负责。我们会沟通我们如何管理风险、保护用户资金以及应对dent事件。如果出现问题,用户有权知道发生了什么以及我们正在如何解决。.
在后端,我们采用零信任模型。无论内部还是外部,每个系统和用户都受到同样的严格审查。这种理念帮助我们领先于网络钓鱼威胁和其他内部风险。但安全性不能以牺牲用户体验为代价。我们不断改进功能,使其更加安全、更加直观。当这两者完美融合时,用户无需在安全性和易用性之间做出选择。.
Flipster 的 ISO/IEC 27001 和 CER.live 认证
问:加密货币平台正成为安全dent的“温床”,这些事件在大多数情况下会导致巨额资金损失。您在 Flipster 工作期间是否遇到过此类攻击?您是如何控制住攻击的?
答:我们目睹了不少dent事件——例如DDoS攻击、网络钓鱼和身份冒用等。这些威胁真实存在且持续不断。.
以DDoS攻击为例。攻击者曾试图破坏我们的平台,甚至尝试勒索赎金。但我们在每一层都内置了检测和缓解措施,而且我们的响应团队训练有素,能够迅速采取行动。在网络钓鱼攻击中,恶意行为者会伪装成求职者或合作伙伴,试图诱骗我们的团队打开有害文件。我们的系统旨在快速捕获这些威胁,并且我们会进行深入的dent 分析,进一步加强防御。.
问:Flipster 最近获得了 CER.live 颁发的 AA 级认证。该认证包含哪些内容?对用户意味着什么?
答:自 2018 年以来该领域dent之一
对用户而言,这类认证是一个明确的信号。它表明第三方机构已经审核过我们的平台,并验证了我们平台的安全质量。再加上我们的 ISO/IEC 27001 认证,您就能看出我们是一家非常重视信任的公司,不仅体现在我们言辞中,也体现在我们的运营方式中。.
问:除了 CER.live 认证之外,Flipster 最近还实施了哪些用户应该了解的关键安全实践或协议?
答:今年我们推出了超过 15 项产品级安全功能。其中一些关键升级包括密码密钥支持、取款锁定和地址白名单。每一项功能都赋予用户更多控制权,并增加了一层额外的安全保障。.
我始终建议同时启用密码和通讯录进行提款。这些简单的步骤意义重大。我们还在开发新的设备管理工具,使用户能够 trac和管理访问其账户的设备——这是我们帮助他们保持掌控的另一种方式。.
问:一些平台已经获得了CER.live的AAA评级。Flipster的目标也是获得AAA评级吗?为了达到这个目标,你们正在采取哪些安全措施?
答:我们已经注意到这个问题,并且正在稳步推进。我们目前的重点是加强服务器保护、推出反钓鱼工具,并通过增强设备管理功能,让用户拥有更大的控制权。.
归根结底,我们追求的不是徽章,而是真正能提升用户体验的平台功能。如果某项功能能够真正增加价值并增强我们的防御能力,我们就会开发它。AAA 评级只是一个里程碑,而非终点。.
漏洞赏金和更多安全功能
问:Flipster 如何确保白帽黑客的激励方式与交易所的长期信任和透明度目标保持一致?
答:我们正与Hackenproof开展一项公开漏洞赏金计划,为研究人员提供一条清晰、可信的途径,让他们可以与我们分享发现。他们的团队会审核提交的漏洞,评估其影响和质量,我们会根据漏洞的严重程度提供公平的奖励。
除了发现漏洞之外,更重要的是让全球安全社区参与到我们的使命中来。当研究人员知道他们的工作得到重视并被采纳时,他们更有可能帮助增强tron生态系统。这对每个人都有好处。.
问:作为一名首席信息安全官 (CISO) 和该领域的思想领袖,您会给其他致力于提高安全标准的公司提供哪些建议?
答:首先要把基础工作做好。大多数安全漏洞都是由于基本的疏忽造成的——例如缺少补丁、权限开放、访问控制薄弱。把这些都做好,就能消除很大一部分风险。.
除此之外,还要投资于员工和流程。你可以拥有世界上所有的工具,但如果你的团队没有接受过培训,或者你的事件dent 手册没有经过测试,你仍然会面临风险。要建立一种安全至上的文化,让安全成为每个人的责任,而不仅仅是首席信息安全官(CISO)的责任。这种思维转变需要时间,但绝对值得付出一切努力。.
问:最后,社交工程攻击在这个领域也十分猖獗。你们采取了哪些措施来确保用户受到保护,或者更确切地说,确保用户能够及时了解其账户被盗用的企图?
答:我们将社会工程攻击分为两类:账户盗用和欺诈性转账。首先,我们内置了tron的保护措施,例如密码密钥、双因素身份验证、实时登录提醒和地址白名单。不久之后,我们还会添加设备管理功能。.
用户教育在防范欺诈方面发挥着重要作用。我们会定期发布安全更新,并开发能够标记可疑或已知诈骗地址的工具。我们的目标是让用户掌握必要的知识和工具,从而保障自身安全。充分了解信息的用户是抵御欺诈的最佳防线之一。.
