Abordagem de segurança do Exchange Flipster: Perguntas e respostas sobre certificações de segurança, recompensas de insetos e proteção do usuário
Em meio a um mercado de criptografia volátil e em evolução, as trocas de criptografia enfrentam um adversário maior determinado a comprometer os dados e fundos do usuário. Nesta semana, sentamos com o diretor de segurança da informação da Flipster (CISO), Justin Hong, para uma entrevista exclusiva. Hong se abriu sobre como a plataforma de negociação de criptografia se fortalece por meio de certificações, inovação de produtos e resposta às ameaças em tempo real.
De acordo com Hong, Flipster lançou mais de 15 atualizações de segurança no nível do produto apenas este ano. Essas atualizações, emparelhadas com a certificação ISO/IEC 27001 e uma classificação 'AA' da CER.Live, garantem aos usuários de um ambiente de negociação seguro e seguro.
Trabalhando na Flipster
P: Olá Justin, comece a nos contar um pouco sobre você, seu papel como diretor de segurança da informação e por que é essencial para as empresas da Web3.
R: Passei os últimos 16 anos em segurança cibernética, com experiência em bancos, fintech e blockchain. Cada espaço traz seus desafios e, juntos, eles moldaram como eu abordo a segurança, especialmente no Web3, onde as apostas são exclusivamente altas. O nível de exposição aqui é diferente de qualquer coisa nas finanças tradicionais. Há mais controle de usuário, mais inovação e, infelizmente, mais atenção de maus atores.
Na Flipster, lidero a função de segurança global, que abrange tudo, desde gerenciamento de riscos e conformidade até a resposta dedent e incorporando estruturas internacionais como ISO/IEC 27001 em nossas operações. Crypto se move rapidamente, e as ameaças evoluem com a mesma rapidez. Construímos com isso em mente - sempre pensando, não apenas reagindo.
P: Como é trabalhar na Flipster nas plataformas de negociação de criptografia de ritmo acelerado e de alto risco?
R: Há muito na linha, que é exatamente o que torna o trabalho tão gratificante. A segurança neste espaço não é passiva. Você está enfrentando alguns dos adversários mais criativos e determinados da tecnologia. Ele mantém você afiado e força você a continuar evoluindo.
O que se destaca em Flipster é como todos estão alinhados. A missão é clara: estamos aqui para construir uma plataforma de negociação segura e confiável com a qual as pessoas possam contar. Você vê esse foco na maneira como trabalhamos - cola colaboração, loops de feedback rápido e testes constantes.
P: Como você defia confiança no Flipster e como sua equipe está trabalhando para construí -la e mantê -la?
R: A confiança aumenta com o tempo através da consistência - sendo transparente, clara e responsável. Comunicamos como gerenciamos riscos, protegemos os fundos do usuário e respondemos aosdent. Se algo der errado, os usuários merecem saber o que aconteceu e como está sendo abordado.
No back-end, executamos um modelo de trust zero. Todo sistema e usuário é tratado com o mesmo escrutínio, interno ou externo. Essa mentalidade nos ajuda a ficar à frente das ameaças de phishing e outros riscos internos. Mas a segurança não pode vir à custa da experiência do usuário. Estamos constantemente refinando os recursos para tornar as coisas mais seguras e mais intuitivas. Quando essas duas coisas funcionam em harmonia, os usuários não precisam escolher entre segurança e usabilidade.
Certificação ISO/IEC 27001 e Cer.Live do Flipster
P: As plataformas de criptografia estão se tornando um 'foco' dedentde segurança, que na maioria dos casos resultam na perda de quantias substanciais de dinheiro. Enquanto trabalhava na Flipster, você encontrou essa tentativa e como contém isso?
R: Vimos nossa parcela de ataques dedent- dddos, campanhas de phishing e tentativas de representação, para citar alguns. Essas ameaças são reais e constantes.
Veja os DDOs, por exemplo. Os atacantes tentaram atrapalhar nossa plataforma e até tentaram táticas de resgate. Mas temos controles internos de detecção e mitigação em todas as camadas, e nossas equipes de resposta são treinadas para agir rapidamente. Em cenários de phishing, atores maliciosos posaram como candidatos ou parceiros para tentar enganar nossa equipe a abrir arquivos nocivos. Nossos sistemas foram projetados para capturar essas ameaças rapidamente e acompanhamos a análise profunda pós-Incident para endurecer ainda mais nossas defesas.
P: Flipster recebeu recentemente uma certificação AA da Cer.Live. O que a certificação implica e o que isso significa para os usuários?
R: 2018, o CER.Live avaliou centenas de trocas usando uma metodologia rigorosa construída em mais de 18 indicadores de segurança. É um dos benchmarksdent mais confiáveis do espaço.
Para os usuários, esse tipo de certificação é um sinal claro. Ele diz a você terceiros examinou nossa plataforma e validou a qualidade de nossa segurança. Combine isso com a nossa certificação ISO/IEC 27001 e você começa a ver uma foto de uma empresa que leva a sério a confiança, não apenas o que dizemos, mas também na maneira como operamos.
P: Além da certificação Cer.Live, que práticas ou protocolos de segurança importantes implementou recentemente que os usuários devem estar cientes?
R: Nós lançamos mais de 15 recursos de segurança no nível do produto este ano. Algumas atualizações importantes incluem suporte de senha, bloqueios de retirada e lista de permissões de endereço. Cada um oferece aos usuários mais controle e adiciona outra camada de proteção.
Eu sempre recomendo permitir que as passagens e o catálogo de endereços para saques. Essas etapas simples fazem uma diferença real. Também estamos construindo novas ferramentas de gerenciamento de dispositivos que permitirão que os usuários trace gerenciem os dispositivos acessando suas contas - de outra maneira que estamos ajudando a permanecer no controle.
P: Algumas plataformas alcançaram uma classificação AAA da Cer.Live. Isso é um objetivo para Flipster? Em quais medidas de segurança você está trabalhando para chegar lá?
R: Está em nosso radar e estamos fazendo um progresso constante. Estamos focados agora no fortalecimento das proteções do servidor, na implementação de ferramentas anti-phishing e na oferta de usuários por meio de recursos aprimorados de gerenciamento de dispositivos.
No final do dia, não estamos perseguindo crachás, mas perseguindo o que realmente melhora a plataforma para nossos usuários. Se algo agrega valor real e fortalece nossas defesas, construímos. A classificação AAA é um marco, não a linha de chegada.
Recursos de recompensa e segurança de insetos
P: Como o Flipster garante que os hackers de chapéu branco sejam incentivados de uma maneira que se alinhe às metas de confiança e transparência de longo prazo da troca?
R: Estamos trabalhando com a Hacken Proper em um programa público de recompensas de insetos, dando aos pesquisadores um caminho claro e confiável para compartilhar suas descobertas conosco. A equipe de sua equipe analisa os envios de impacto e qualidade, e fornecemos recompensas justas com base na gravidade.
Além de encontrar bugs, trata -se de envolver a comunidade de segurança global em nossa missão. Quando os pesquisadores sabem que seu trabalho é valorizado e agido, é mais provável que ajude a tornar o ecossistema dotronGer. É uma vitória para todos.
P: Como CISO e líder de pensamento no espaço, que conselho você daria a outras empresas que trabalham para melhorar seus padrões de segurança?
A: Adquira o básico primeiro. A maioria das violações acontece por causa de supervisões básicas - remendos de falta, permissões abertas, controle de acesso fraco. Ache os certos e você eliminará uma grande parte do seu risco.
Além disso, invista em seu povo e seus processos. Você pode ter todas as ferramentas do mundo, mas se suas equipes não forem treinadas ou seus manuais dedent não forem testados, você estará vulnerável. Construa uma cultura em que a segurança é o trabalho de todos, não apenas os do CISO. Essa mudança de mentalidade pode levar tempo, mas vale a pena todos os esforços.
P: Finalmente, os ataques de engenharia social também são galopantes no espaço. Que medidas você implementou para garantir que os usuários estejam protegidos ou, melhor, informados das tentativas de comprometer suas contas?
R: Consideramos engenharia social em dois baldes: aquisições de contas e transferências fraudulentas. Primeiro, construímos proteçõestronG, como passagens, 2FA, alertas de login em tempo real e lista de permissões. Em breve, adicionaremos o gerenciamento de dispositivos também.
A educação do usuário desempenha um grande papel na prevenção de fraudes. Compartilhamos atualizações regulares de segurança e estamos desenvolvendo ferramentas que sinalizam endereços de fraude suspeitos ou conhecidos. O objetivo é dar aos usuários o conhecimento e as ferramentas para se manter seguro. Um usuário bem informado é uma das melhores linhas de defesa.
Artigos Recomendados
