Flipster Exchange安全方法：有关安全认证，错误赏金和用户保护的问答

在一个动荡且不断发展的加密市场中，加密交流面临着更大的对手，决心损害用户数据和资金。本周，我们与Flipster的首席信息安全官（CISO）坐在贾斯汀·洪（Justin Hong）进行独家采访。 Hong开放了有关加密货币交易平台如何通过认证，产品创新和实时威胁响应来表现自己的信息。

根据洪的说法，仅今年， Flipster这些更新与他们的ISO/IEC 27001认证以及CER的“ AA”评级配对。live，向用户确保了安全且安全的交易环境。

在flipster工作

问：贾斯汀，您好，请开始告诉我们一些有关您自己的角色，您作为首席信息安全官的角色，以及为什么它对Web3公司至关重要。 

答：过去16年来，我在网络安全方面都有经验，在银行，金融科技和区块链方面拥有经验。每个空间都带来了挑战，它们共同塑造了我如何处理安全的方式，尤其是在赌注很高的Web3中。这里的曝光水平与传统金融中的任何事物不同。有更多的用户控制，更多的创新，不幸的是，不良演员的关注更多。

在Flipster，我领导了全球安全功能，该功能涵盖了从风险管理和合规性到INCIdent 响应以及将ISO/IEC 27001（例如IEC 27001）嵌入国际框架的所有内容。加密迅速移动，威胁也会迅速发展。我们牢记这一点 - 总是思考，而不仅仅是反应。

问：在快节奏，高风险的加密交易平台世界中，在Flipster上工作的感觉如何？

答：线上有很多，这正是使工作如此有意义的原因。这个领域的安全不是被动的。您正在与技术中一些最具创造力和最坚定的对手抗衡。它可以使您保持敏锐，并迫使您继续发展。

在Flipster上脱颖而出的是每个人的一致性。任务很明确：我们在这里建立一个人们可以依靠的安全，可靠的交易平台。您会看到以我们工作方式的重点 - 结合协作，快速反馈循环和不断的测试。 

问：您如何 defiFlipster的信任，以及您的团队如何构建和维护它？

答：信任通过一致性（透明，清晰和负责）随着时间的推移而建立。我们传达如何管理风险，保护用户资金并对Incidents做出回应。如果出现问题，用户应该知道发生了什么以及如何解决。

在后端，我们运行一个零值模型。每个系统和用户都经过相同的审查，内部或外部的治疗。这种心态有助于我们领先网络钓鱼威胁和其他内部风险。但是安全不能以用户体验为代价。我们会不断提炼功能，以使事情更加安全，更直观。当这两件事和谐起作用时，用户不必在安全性和可用性之间进行选择。

Fliptter的ISO/IEC 27001和CER.LIVE认证

问：加密平台正在成为安全incidents的“温床”，在大多数情况下，这会导致大量资金损失。在Flipster工作时，您是否遇到过这样的尝试，以及如何包含它？

答：我们已经看到了incidentS的份额 - DDOS攻击，网络钓鱼运动和模仿尝试，仅举几例。这些威胁是真实而恒定的。

以DDOS为例。攻击者试图破坏我们的平台，甚至尝试勒索赎金策略。但是，我们在每一层都有内置的检测和缓解控制，我们的响应团队经过训练以快速行动。在网络钓鱼场景中，恶意演员成为求职者或合作伙伴，以诱使我们的团队打开有害文件。我们的系统旨在迅速捕获这些威胁，我们进行了深度的INCIdent 分析，以进一步加强防御能力。

问：Flipster最近获得了Cer.live的AA认证。认证需要什么，对用户意味着什么？

答：2018年，Cer.live使用基于18多个安全指标的严格方法评估了数百次交流。这是该空间中最值得信赖的独立dent 基准之一。

对于用户而言，这种认证是一个明确的信号。它告诉您第三方审查了我们的平台并验证了我们的安全质量。将其与我们的ISO/IEC 27001认证相结合，您开始看到一家公司的图片认真对待信任，而不仅仅是我们所说的话，还要考虑我们的运作方式。

问：除了CER。验证，最近已经实施了哪些关键安全实践或协议，用户应该知道？

答：今年我们推出了15多个产品级安全功能。一些关键的升级包括Passkey支持，提款锁和地址白名单。每个人都可以为用户提供更多的控制，并增加另一层保护层。

我总是建议启用Passkeys和通讯簿提取。这些简单的步骤具有真正的不同。我们还构建了新的设备管理工具，该工具将使用户 trac并管理访问其帐户的设备，这是我们帮助他们保持控制的另一种方式。

问：有些平台已从Cer.Live获得了AAA评级。这是翻转的目标吗？您正在采取哪些安全措施来到达那里？

答：这是在我们的雷达上，我们正在稳步进步。现在，我们专注于加强服务器保护，推出反向钓鱼工具，并通过增强的设备管理功能为用户提供更大的控制。

归根结底，我们不是在追逐徽章，而是追逐实际改善用户平台的内容。如果某事增加了真正的价值并增强了我们的防御能力，我们将建立它。 AAA评级是一个里程碑，而不是终点线。

错误赏金和安全功能

问：Flipster如何确保以与交易所的长期信任和透明目标相吻合的方式激励白帽黑客？

答：我们正在与Hackenproof进行公共漏洞赏金计划，这为研究人员提供了与我们分享他们发现的清晰，可信赖的途径。他们的团队审查了有关影响和质量的提交，我们根据严重性提供了公平的奖励。

除了找到错误之外，这还涉及让全球安全社区参与我们的任务。当研究人员知道他们的工作被重视和行动时，他们更有可能帮助使生态系统的tronGer。这是每个人的胜利。

问：作为Space的CISO和思想领导者，您将向其他致力于提高安全标准的公司提供什么建议？

答：首先获取基础知识。大多数违规发生是由于基本的监督而发生的 - 弥补了补丁，开放权限，访问控制弱。正确理解这些，您将消除大部分风险。

除此之外，还要投资您的员工和您的流程。您可以拥有世界上所有的工具，但是如果您的团队未经训练或未经测试的Incident 剧本，那么您很容易受到伤害。建立一种文化，使安全是每个人的工作，而不仅仅是CISO的工作。这种心态转变可能需要时间，但值得一提。

问：最后，社会工程攻击在该领域也猖ramp。您已经采取了哪些措施来确保用户受到保护，或者确保将其妥协的企图告知？

答：我们考虑两个水桶中的社会工程：帐户接管和欺诈性转移。首先，我们已经建立了tronG保护措施，例如PassKeys，2FA，实时登录警报和地址白名单。很快，我们也会添加设备管理。

用户教育在预防欺诈中起着重要作用。我们分享定期的安全更新，并正在开发标记可疑或已知骗局地址的工具。目的是为用户提供知识和维护安全的工具。信息良好的用户是最好的防御线之一。