Flipster Exchange安全方法：有關安全認證，錯誤賞金和用戶保護的問答

在一個動盪且不斷發展的加密市場中，加密交流面臨着更大的對手，決心損害用戶數據和資金。本週，我們與Flipster的首席信息安全官（CISO）坐在賈斯汀·洪（Justin Hong）進行獨家採訪。 Hong開放了有關加密貨幣交易平臺如何通過認證，產品創新和實時威脅響應來表現自己的信息。

根據洪的說法，僅今年， Flipster這些更新與他們的ISO/IEC 27001認證以及CER的“ AA”評級配對。live，向用戶確保了安全且安全的交易環境。

在flipster工作

問：賈斯汀，您好，請開始告訴我們一些有關您自己的角色，您作爲首席信息安全官的角色，以及爲什麼它對Web3公司至關重要。 

答：過去16年來，我在網絡安全方面都有經驗，在銀行，金融科技和區塊鏈方面擁有經驗。每個空間都帶來了挑戰，它們共同塑造了我如何處理安全的方式，尤其是在賭注很高的Web3中。這裏的曝光水平與傳統金融中的任何事物不同。有更多的用戶控制，更多的創新，不幸的是，不良演員的關注更多。

在Flipster，我領導了全球安全功能，該功能涵蓋了從風險管理和合規性到INCIdent 響應以及將ISO/IEC 27001（例如IEC 27001）嵌入國際框架的所有內容。加密迅速移動，威脅也會迅速發展。我們牢記這一點 - 總是思考，而不僅僅是反應。

問：在快節奏，高風險的加密交易平臺世界中，在Flipster上工作的感覺如何？

答：線上有很多，這正是使工作如此有意義的原因。這個領域的安全不是被動的。您正在與技術中一些最具創造力和最堅定的對手抗衡。它可以使您保持敏銳，並迫使您繼續發展。

在Flipster上脫穎而出的是每個人的一致性。任務很明確：我們在這裏建立一個人們可以依靠的安全，可靠的交易平臺。您會看到以我們工作方式的重點 - 結合協作，快速反饋循環和不斷的測試。 

問：您如何 defiFlipster的信任，以及您的團隊如何構建和維護它？

答：信任通過一致性（透明，清晰和負責）隨着時間的推移而建立。我們傳達如何管理風險，保護用戶資金並對Incidents做出回應。如果出現問題，用戶應該知道發生了什麼以及如何解決。

在後端，我們運行一個零值模型。每個系統和用戶都經過相同的審查，內部或外部的治療。這種心態有助於我們領先網絡釣魚威脅和其他內部風險。但是安全不能以用戶體驗爲代價。我們會不斷提煉功能，以使事情更加安全，更直觀。當這兩件事和諧起作用時，用戶不必在安全性和可用性之間進行選擇。

Fliptter的ISO/IEC 27001和CER.LIVE認證

問：加密平臺正在成爲安全incidents的“溫牀”，在大多數情況下，這會導致大量資金損失。在Flipster工作時，您是否遇到過這樣的嘗試，以及如何包含它？

答：我們已經看到了incidentS的份額 - DDOS攻擊，網絡釣魚運動和模仿嘗試，僅舉幾例。這些威脅是真實而恆定的。

以DDOS爲例。攻擊者試圖破壞我們的平臺，甚至嘗試勒索贖金策略。但是，我們在每一層都有內置的檢測和緩解控制，我們的響應團隊經過訓練以快速行動。在網絡釣魚場景中，惡意演員成爲求職者或合作伙伴，以誘使我們的團隊打開有害文件。我們的系統旨在迅速捕獲這些威脅，我們進行了深度的INCIdent 分析，以進一步加強防禦能力。

問：Flipster最近獲得了Cer.live的AA認證。認證需要什麼，對用戶意味着什麼？

答：2018年，Cer.live使用基於18多個安全指標的嚴格方法評估了數百次交流。這是該空間中最值得信賴的獨立dent 基準之一。

對於用戶而言，這種認證是一個明確的信號。它告訴您第三方審查了我們的平臺並驗證了我們的安全質量。將其與我們的ISO/IEC 27001認證相結合，您開始看到一家公司的圖片認真對待信任，而不僅僅是我們所說的話，還要考慮我們的運作方式。

問：除了CER。驗證，最近已經實施了哪些關鍵安全實踐或協議，用戶應該知道？

答：今年我們推出了15多個產品級安全功能。一些關鍵的升級包括Passkey支持，提款鎖和地址白名單。每個人都可以爲用戶提供更多的控制，並增加另一層保護層。

我總是建議啓用Passkeys和通訊簿提取。這些簡單的步驟具有真正的不同。我們還構建了新的設備管理工具，該工具將使用戶 trac並管理訪問其帳戶的設備，這是我們幫助他們保持控制的另一種方式。

問：有些平臺已從Cer.Live獲得了AAA評級。這是翻轉的目標嗎？您正在採取哪些安全措施來到達那裏？

答：這是在我們的雷達上，我們正在穩步進步。現在，我們專注於加強服務器保護，推出反向釣魚工具，並通過增強的設備管理功能爲用戶提供更大的控制。

歸根結底，我們不是在追逐徽章，而是追逐實際改善用戶平臺的內容。如果某事增加了真正的價值並增強了我們的防禦能力，我們將建立它。 AAA評級是一個里程碑，而不是終點線。

錯誤賞金和安全功能

問：Flipster如何確保以與交易所的長期信任和透明目標相吻合的方式激勵白帽黑客？

答：我們正在與Hackenproof進行公共漏洞賞金計劃，這爲研究人員提供了與我們分享他們發現的清晰，可信賴的途徑。他們的團隊審查了有關影響和質量的提交，我們根據嚴重性提供了公平的獎勵。

除了找到錯誤之外，這還涉及讓全球安全社區參與我們的任務。當研究人員知道他們的工作被重視和行動時，他們更有可能幫助使生態系統的tronGer。這是每個人的勝利。

問：作爲Space的CISO和思想領導者，您將向其他致力於提高安全標準的公司提供什麼建議？

答：首先獲取基礎知識。大多數違規發生是由於基本的監督而發生的 - 彌補了補丁，開放權限，訪問控制弱。正確理解這些，您將消除大部分風險。

除此之外，還要投資您的員工和您的流程。您可以擁有世界上所有的工具，但是如果您的團隊未經訓練或未經測試的Incident 劇本，那麼您很容易受到傷害。建立一種文化，使安全是每個人的工作，而不僅僅是CISO的工作。這種心態轉變可能需要時間，但值得一提。

問：最後，社會工程攻擊在該領域也猖ramp。您已經採取了哪些措施來確保用戶受到保護，或者確保將其妥協的企圖告知？

答：我們考慮兩個水桶中的社會工程：帳戶接管和欺詐性轉移。首先，我們已經建立了tronG保護措施，例如PassKeys，2FA，實時登錄警報和地址白名單。很快，我們也會添加設備管理。

用戶教育在預防欺詐中起着重要作用。我們分享定期的安全更新，並正在開發標記可疑或已知騙局地址的工具。目的是爲用戶提供知識和維護安全的工具。信息良好的用戶是最好的防禦線之一。