Ռիպլի էֆեկտը. Ինչպես մեկ թույլ օղակը կարող է խորտակել ձեր կրիպտո fortuna-ն
Այստեղ, Exbix-ում, անվտանգությունը պարզապես մի առանձնահատկություն չէ; այն ամեն ինչի հիմքն է, ինչ անում ենք: Դուք տեսել եք մեր բլոգները սառը պահեստավորման, երկակի վավերացման և ֆիշինգի խարդախությունների մասին: Մեր սպիտակ գլխարկներով հաքերների թիմը աշխատում է շուրջօրյա, մեր համակարգերը ստուգելով, թվային ամրոցներ կառուցելով, որպեսզի պահեն ձեր Bitcoin-ը, Ethereum-ը և այլ թվային ակտիվները անվտանգ: Մենք հանգիստ ենք քնում, գիտակցելով, որ մեր ուղղակի պաշտպանությունները արդյունաբերության ամենաուժեղներից են:
Բայց ինչ կլինի, եթե ասեմ, որ ձեր կրիպտոյի ամենակարևոր սպառնալիքը կարող է լինել ոչ թե Exbix-ի ուղղակի հարձակումը:
Նկարագրեք քար, որը գցում են հանգիստ լճակի մեջ: Ուժեղությունը տեղային է, բայց ալիքները տարածվում են դեպի դուրս, ազդելով ամբողջ մակերեսի վրա: Մեր գերակա կապակցված թվային աշխարհում, ցանցային ռիսկը գործում է նույն կերպ: Հարձակումը մի միակ, առաջին հայացքից անկապ ընկերություն—ծրագրային ապահովման մատակարար, մարքեթինգային գործակալություն, նույնիսկ HVAC պայմանագրավորող—կարող է ցնցումներ առաջացնել ամբողջ էկոհամակարգում, հասնելով նույնիսկ ձեր փոխանակման դրամապանակին:
Այսպիսին է երրորդ կողմերի և մատակարարման շղթայի կիբեռ ռիսկի իրականությունը: Սա թվային համարժեքն է ունենալ անպաշտպան հետևի դուռ, քանի որ դուք վստահել եք հարևան տան սեփականատիրոջը, որ նա կունենա մի բարի բախտ։ Կրիպտոարժույթի բորսայի համար, որտեղ վստահությունը միակ իսկական արժույթն է, այս ալիքային ազդեցությունը հասկանալը ոչ թե ընտրովի է, այլ՝ կենսական անհրաժեշտություն գոյատևման համար։
Մեր պատերից դուրս. Ի՞նչ ենք մենք իրականում քննարկում:
Եկեք պարզաբանենք ժարգոնը։
- Երրորդ կողմի ռիսկ: Սա է մեր կազմակերպությանը (Exbix) սպառնալիք հանդիսացող ցանկացած արտաքին մարմնի կողմից, որը ունի մուտք մեր տվյալներին, համակարգերին կամ գործընթացներին: Կարծեք այն հավելվածները, որոնք դուք միացնում եք ձեր Exbix հաշիվին API-ի միջոցով, վերլուծական ընկերությունները, որոնք օգտագործում ենք կայքի կատարողականությունը հետևելու համար, կամ հաճախորդների աջակցման ծրագրակազմը, որը մենք կիրառում ենք:
- Մատակարարման շղթայի կիբեր սպառնալիք: Սա կոնկրետ, և հաճախ ավելի ավերիչ, սպառնալիքի տեսակ է, որը երրորդ կողմի ռիսկ։ Դա ներառում է մատակարարի վրա հարձակում, որը հետո օգտագործվում է որպես միջոց նրանց հաճախորդներին՝ մեզ, վնասելու համար։ Հայտնի SolarWinds հարձակումը դասական օրինակ է, որտեղ վնասակար կոդը ներարկվեց ծրագրային ապահովման թարմացման մեջ, որը հետո տարածվեց հազարավոր ընկերությունների, ներառյալ պետական գործակալությունների։
Exbix-ի համար մեր «մատակարարում շղթան” ֆիզիկական վիջեթների մասին չէ; այն վերաբերում է թվային գործիքներին և ծառայություններին, որոնք ապահովում են մեր փոխանակման աշխատանքը: Սա ներառում է՝
- Դրամապանակի և պահառության մատակարարներ: Ծառայություններ, որոնց կարող ենք ինտեգրվել՝ ավելի լավ իրացվելիություն կամ անվտանգություն ապահովելու համար:
- KYC/AML ստուգման ծառայություններ: Արտաքին ընկերություններ, որոնք օգնում են մեզ թույլ է տալիս հաստատել ինքնությունը և ապահովել կարգավորիչ համապատասխանությունը։ Այստեղ մի խախտում նշանակում է գաղտնիության աղետ։
- Աղբյուրային Ինֆրակառուցվածքների Մատակարարներ (AWS, Google Cloud և այլն): Մենք կառուցում ենք նրանց հիմքի վրա։ Նրանց անվտանգությունը մեր անվտանգությունն է։
- Ծրագրային Մատակարարներ: Մեր հաճախորդների հարաբերությունների կառավարման (CRM) ծրագրային ապահովումից մինչև մեր ներքին հաղորդակցության գործիքներ ինչպես Slack-ը կամ Microsoft Teams-ը։
- Մարքեթինգի և վերլուծության հարթակներ: Կոդը, որը աշխատում է մեր կայքում՝ օգտատերերի վարքագիծը հետևելու համար։
Այս հղումներից որևէ մեկում առկա խոցելիությունը կարող է դառնալ մեր խոցելիությունը։
Ինչու՞ կրիպտո փոխանակումները առաջնային թիրախներ են մատակարարման շղթայում
Մենք պարզապես մեկ այլ կայք չենք։ Մենք բարձր արժեք ունեցող թիրախ ենք, և հարձակում գործողները increasingly pragmatիկ են: Ինչու՞ վատնել էներգիա մեր առաջի դուռը կոտրելու փորձելով, երբ նրանք կարող են աննկատ մուտք գործել վատ պաշտպանված պատուհանից մի վաճառողի գրասենյակում:
- Ամենաառաջին մրցանակը: Դիտային ակտիվները. Կրիպտոարժույթ գողանալու ուղղակի ֆինանսական խթանը անզուգական է: Դա’ սահմաններ չունեցող, կեղծանունով և կարող է անդառնալիորեն փոխանցվել րոպեների ընթացքում:
- Տվյալների գանձարան: Նույնիսկ եթե նրանք չեն կարող ուղղակիորեն մուտք գործել տաք դրամապանակներ, ձեր տվյալները աներևակայելի արժեքավոր են: Ճանաչիր Քո Հաճախորդին (KYC) տվյալները՝ անձնագրեր, վարորդական իրավունքներ, սելֆիներ՝ ոսկու հանք են մութ ցանցում: Այս տեղեկատվությունը կարող է օգտագործվել ինքնության գողության, թիրախավորված ֆիշինգ, կամ նույնիսկ շանտաժ:
- Անհանգստության ուժը: Որոշ հարձակվողներ գումարի համար չեն գործում, այլ խառնաշփոթի համար: Մեծ փոխանակում disrupt անել մատակարարման շղթայի հարձակմամբ կարող է առաջացնել մեծ շուկայական անկայունություն, նվազեցնել վստահությունը ամբողջ կրիպտո տարածքում և օգտագործվել շուկայական манիպուլյացիայի համար:
Մինչև անցյալի խախտումների ոգիները: Առաջնագծի դասեր
Մենք չենք պետք, որ պատկերացնենք սա; դա արդեն տեղի է ունեցել:
- CodeCov-ի խախտում (2021): Հարձակվողները վնասել են CodeCov-ի կողմից օգտագործվող սցենարը, որը կոդի ծածկույթի գործիք է հազարավոր ծրագրավորողների կողմից, այդ թվում՝ որոշների կողմից կրիպտո ոլորտում: Վնասակար սցենարը թույլ տվեց նրանց գողանալ հավատարմագրեր և API բանալիները զարգացման միջավայրերից: Պատկերացրեք, եթե այդ բանալիները մուտք ունենային նոր առևտրային ֆունկցիայի թեստային միջավայր: Հարձակվողը կարող էր գտնել հետին դուռ, նախքան այն նույնիսկ ներդրվեր։
- Kaseya VSA փրկագին պահանջող ծրագրի հարձակում (2021 թ.): Թեև դա հատուկ կրիպտոյի հետ կապված չէ, այն վարպետության դաս է ալիքային ազդեցության մեջ։ Կոտրելով կառավարվող ծրագրային ապահովման մեկ մատակարարի համար: ծառայությունների մատակարարներ (MSP), հարձակվողները տարածեցին փրկագին պահանջող ծրագիրը հազարավոր ներքևի բիզնեսների վրա: Եթե MSP-ն կառավարեր կրիպտո փոխանակման IT համակարգերը, ամբողջ փոխանակման ներքին համակարգերը կարող էին գաղտնագրվել և պահվել փրկագնի դիմաց:
Սրանք տեսական չեն: Դրանք Exbix-ի անուղղակի հարձակման պլաններ են:
Exbix Պաշտպանություն: Ինչպես ենք մենք ամրապնդում ամբողջ շղթան
Անվտանգության ռիսկի գիտակցումը միայն կռվի կեսն է: Մյուս կեսը զգոն դիմադրության մշակույթի ստեղծումն է: Exbix-ում մեր մոտեցումը բազմաշերտ և շարունակական է:
1. Խիստ մատակարարների ընդունման և պարտավորությունների կատարում:
Մինչև որեւէ երրորդ կողմի հետ պայմանագիր ստորագրելը, նրանք անցնում են անվտանգության գնահատման, որը շատերին կհամոզի:
վերահսկիչները կարմրում են։ Մենք պարզապես չենք ընդունում նրանց խոսքը՝ առանց ապացույցների։ Սա ներառում է՝
- Անվտանգության Հարցաթերթեր: Մանրամասն հարցումներ նրանց անվտանգության պրակտիկաների, քաղաքականությունների և միջադեպերի արձագանքման պատմության վերաբերյալ։
- Հավաստագրման Ստուգումներ: Մենք պահանջում ենք հավաստագրեր, ինչպիսիք են SOC 2 Type II, ISO 27001, կամ այլ համապատասխան։ their service.
- Պենետրացիոն թեստերի վերանայումներ: Մենք վերանայում ենք նրանց վերջին անկախ պենետրացիոն թեստերի արդյունքները:
2. Վերջին առավելագույն իրավունքի սկզբունքը:
Այս մեր մանտրան է: Ոչ մի երրորդ կողմ չի ստանում ավելի շատ մուտք, քան անհրաժեշտ է իրենց հատուկ գործառույթը կատարելու համար: Մարքեթինգային վերլուծական գործիքին չի պետք գրելու մուտք
մեր տվյալների բազաներ։ Հաճախորդների աջակիցը չի պետք է տեսնի ձեր ամբողջ դրամապանակի մնացորդը։ Մենք դա ապահովում ենք խիստ ինքնության և մուտքի կառավարման (IAM) քաղաքականություններով։
3. Շարունակական Հսկողություն, Ոչ Միանգամյա Ստուգումներ:
Անվտանգությունը չի կարող լինել պարզապես ստուգման նշան։ Մատակարարը, որը անցյալ տարի անվտանգ էր, այսօր կարող է լինել այլ վիճակում։ Մենք շարունակաբար հսկում ենք մեր մատակարարների անվտանգության դիրքը։
Մենք բաժանորդագրվում ենք սպառնալիքների հետախուզական հոսքերին, որոնք մեզ տեղեկացնում են մեր օգտագործած ծրագրային ապահովման նոր խոցելիությունների մասին։ Մենք պարբերաբար վերանայում ենք մեր կարևոր մատակարարներին՝ համոզվելու, որ նրանց չափանիշները չեն նվազել։
4. Զրո-վստահության ճարտարապետություն:
Մենք գործում ենք այն ենթադրությամբ, որ խախտումը անխուսափելի է։ Հետևաբար, մենք երբեք կանխադրված չենք վստահում որևէ սուբյեկտի՝ մեր ցանցի ներսում կամ դրսում։
Յուրաքանչյուր մուտքի հարցում ստուգվում է, յուրաքանչյուր գործարք վավերացվում է, և յուրաքանչյուր սարք ստուգվում է: Այս ճարտարապետությունը պարունակում է «ալիքը» և կանխում է դրա տարածումը մեր ամբողջ համակարգում, եթե մատակարարը վտանգված է:
5. Ինցիդենտների արձագանքման պլանավորում մեր մատակարարների հետ:
Մեր ինցիդենտների արձագանքման պլանը չի ավարտվում մեր թվային սահմանում: Մենք ունենք
մենք ունենք հստակ արձանագրություններ մեր հիմնական վաճառողների հետ։ Եթե դրանք խախտվեն, մենք գիտենք, թե ում զանգահարել, ինչ հարցնել և ինչ անմիջական քայլեր ձեռնարկել կապերը խզելու և ձեր տվյալները պաշտպանելու համար։ Մենք կանոնավոր կերպով պրակտիկայում ենք այս սցենարները:
Ձեր դերը շղթայում. Հավասար պատասխանատվություն
Անվտանգությունը գործընկերություն է։ Մինչ մենք աշխատում ենք մեր ամբողջ էկոհամակարգը ապահովելու վրա, դուք այս շղթայի կարևոր մի մասն են: Ահա, թե ինչպես կարող եք օգնել:
- Ուշադրություն դարձրեք API բանալիներին: Երբ դուք միացնում եք երրորդ կողմի հավելված (օրինակ՝ պորտֆելի հետևիչ) ձեր Exbix հաշիվին API բանալիի միջոցով, դուք ստեղծում եք նոր երրորդ կողմի ռիսկ ձեր համար: Միայն վստահեք այն հավելվածներին, որոնց վրա լիովին վստահում եք, և կանոնավոր կերպով վերանայեք և չեղյալ հայտարարեք թույլտվությունները հայտարարությունների համար, որոնք այլևս չեք օգտագործում:
- Զգուշացեք Ֆիշինգից… Ավելին “Հավաստի” աղբյուրներից: Մատակարարի էլփոստի ցուցակի հաքերը սովորական մուտքի կետ է: Դուք կարող եք ստանալ անթերի պատրաստված ֆիշինգի էլփոստ, որը կարծես գալիս է մեր օգտագործած օրինական ընկերությունից: Always be skeptical. Never click on links in emails asking for credentials. Always navigate to կայքը անմիջապես:
- Օգտագործեք Հատուկ, Ուժեղ Գաղտնաբառեր: Եթե դուք մի գաղտնաբառ օգտագործում եք մի քանի կայքերում և այդ կայքերից մեկը (երրորդ կողմ ձեզ համար) խախտվել է, հարձակվողները կարող են օգտագործել այդ գաղտնաբառը ձեր փոխանակման հաշիվ մուտք գործելու համար: Գաղտնաբառերի կառավարիչը ձեր լավագույն պաշտպանությունն է այստեղ:
- Միացրեք 2FA Բոլոր Հարթակներում: Միայն ձեր Exbix հաշվում, այլ նաև ցանկացած ծառայությունը, որը կապված է դրա հետ, հատկապես ձեր էլփոստը։ Սա ամենաարդյունավետ միջոցն է հաշիվների զավթումը կանխելու համար։
Վստահության ալիք կառուցել, ոչ թե ռիսկ
Կրիպտոարժույթների աշխարհը կառուցված է ապակենտրոնացման և փոխկապակցվածության հիմքի վրա։ Սա նրա ուժն է, բայց նաև նրա հնարավոր Աքիլլեսյան գարշապարը։ Exbix-ում մենք խիստ գիտակցելով, որ մեր անվտանգության ուժը պայմանավորված է մեր ընդլայնված թվային մատակարարման շղթայի ամենաթույլ օղակով:
Մենք պարտավորվում ենք ոչ միայն կառուցել անթափանց պատեր, այլև քարտեզագրել, վերահսկել և ամրապնդել մեր էկոհամակարգին առնչվող յուրաքանչյուր կապը: Մենք ներդրում ենք կատարում այս գործում, քանի որ ձեր վստահությունն ու ձեր ակտիվները պարզապես ցուցանիշներ չեն վահանակի վրա. դրանք մեր գոյության պատճառ են:
լվացքի էֆեկտը ուժեղ ուժ է: Մեր առաքելությունն է ապահովել, որ մենք ստեղծենք միայն այն լվացքները, որոնք վերաբերում են նորարարությանը, անվտանգությանն ու անխախտ վստահությանը:
Exbix թիմը
Մնացեք անվտանգ: Մնացեք տեղեկացված:
