Ripple efektas: kaip vienas silpnas ryšys gali nuskandinti jūsų kriptovaliutų turtą

1 month ago

Saugumas ir rizika Ripple efektas: kaip vienas silpnas ryšys gali nuskandinti jūsų kriptovaliutų turtą

Čia, Exbix, saugumas nėra tik funkcija; tai yra visko, ką darome, pamatas. Jūs matėte mūsų tinklaraščius apie šaltąjį saugojimą, dviejų faktorių autentifikavimą ir phishing'o sukčiavimus. Mūsų baltųjų skrybėlių hakerių komanda dirba visą parą, testuodama mūsų sistemas, statydama skaitmenines tvirtoves, kad jūsų Bitcoin, Ethereum ir kiti skaitmeniniai turtai būtų saugūs. Mes gerai miegame, žinodami, kad mūsų tiesioginiai gynimas yra vienas stipriausių pramonėje.

Bet ką pasakytumėte, jei sakyčiau, kad didžiausia grėsmė jūsų kriptovaliutai gali būti ne tiesioginis išpuolis prieš Exbix?

Įsivaizduokite akmenį, numestą į ramų tvenkinį. Smūgis yra lokalizuotas, tačiau bangos sklinda į išorę, paveikdamos visą paviršių. Mūsų hiper-susijungusioje skaitmeninėje pasaulyje kibernetinis rizikos veiksnys veikia taip pat. Išpuolis prieš a viena, iš pirmo žvilgsnio nesusijusi įmonė—programinės įrangos tiekėjas, rinkodaros agentūra, net HVAC rangovas—gali sukelti šoką visame ekosistemoje, pasiekdama net jūsų keitimo piniginę.

Tai yra trečiųjų šalių ir tiekimo grandinės kibernetinio pavojaus realybė. Tai skaitmeninis atitikmuo turėti neapsaugotas galines duris, nes pasitikėjote šalia esančio nuomotojo saugumu. geras užraktas. Kriptovaliutų biržoje, kur pasitikėjimas yra vienintelė tikroji valiuta, šio bangavimo efekto supratimas nėra pasirinkimas—jis yra būtinas išlikimui.

Už mūsų sienų: Apie ką tiksliai kalbame?

Panaikinkime žargoną.

Trečiųjų šalių rizika: Tai yra rizika, kurią mūsų organizacijai (Exbix) kelia bet kuri išorinė įmonė, turinti prieigą prie mūsų duomenų, sistemų ar procesų. Pagalvokite apie programas, kurias prijungiate prie savo Exbix paskyros per API, analitikos įmones, kurias naudojame svetainės veiklos stebėjimui, arba klientų aptarnavimo programinę įrangą, kurią taikome.
Tiekimo grandinės kibernetinis rizikas: Tai specifinė, o dažnai ir labiau pražūtinga, rizikos rūšis, trečiųjų šalių rizika. Tai apima išpuolį prieš tiekėją, kuris vėliau naudojamas kaip šuolio taškas, siekiant pažeisti jų klientus—mus. Infamous SolarWinds išpuolis yra klasikinis pavyzdys, kai kenkėjiški kodai buvo įterpti į programinės įrangos atnaujinimą, kuris vėliau buvo platinamas tūkstančiams įmonių, įskaitant vyriausybes.

Exbix, mūsų “teikimo „grandinė“ nėra apie fizinius produktus; tai yra apie skaitmeninius įrankius ir paslaugas, kurios palaiko mūsų mainus. Tai apima:

Piniginės ir saugojimo paslaugos: Paslaugos, su kuriomis galime integruotis, siekdami didesnio likvidumo ar saugumo.
KYC/AML patikros paslaugos: Išorinės įmonės, kurios padeda patikrina tapatybes ir užtikrina atitiktį reglamentams. Pažeidimas čia yra privatumo katastrofa.
Debesijos infrastruktūros teikėjai (AWS, Google Cloud ir kt.): Mes kuriame ant jų pagrindo. Jų saugumas yra neatsiejamai susijęs su mūsų saugumu.
Programinės įrangos tiekėjai: Nuo mūsų klientų santykių valdymo (CRM) programinės įrangos iki mūsų vidinių komunikacijos įrankių kaip Slack arba Microsoft Teams.
Marketingo ir analizės platformos: Kodas, veikiantis mūsų svetainėje, kad būtų galima stebėti vartotojų elgseną.

Bet kuriame iš šių ryšių esanti pažeidžiamybė gali tapti mūsų pažeidžiamybe.

Kodėl kriptovaliutų keityklos yra pagrindiniai tiekimo grandinės taikiniai

Mes nesame tik dar viena svetainė. Esame vertinga taikinys, o užpuolikai tampa vis pragmatiškesni. Kodėl švaistyti energiją bandant įsilaužti pro mūsų priekines duris, kai jie gali tyliai patekti pro prastai saugomą langą tiekėjo biure?

Akivaizdus prizas: skaitmeniniai turtai. Tiesioginė finansinė paskata vogti kriptovaliutą yra neprilygstama. Tai yra beveik be sienų, pseudoniminiai ir gali būti negrįžtamai perkelti per kelias minutes.
Duomenų lobynas. Net jei jie negali tiesiogiai pasiekti karštųjų piniginių, jūsų duomenys yra nepaprastai vertingi. Klientų identifikavimo (KYC) duomenys—pasai, vairuotojo pažymėjimai, selfie—yra aukso kasykla tamsiajame internete. Ši informacija gali būti naudojama tapatybės vagystei, taikiniams phishingas, arba net išpirkos reikalavimas.
Disruptavimo galia. Kai kurie užpuolikai nesiekia pinigų, bet chaoso. Didelio biržos sutrikdymas per tiekimo grandinės ataką gali sukelti didelį rinkos svyravimą, sumažinti pasitikėjimą visame kriptovaliutų sektoriuje ir būti naudojamas rinkos manipuliacijai.

Praeities pažeidimų vaiduokliai: Pamokos iš pirmųjų linijų

Mums nereikia to įsivaizduoti; tai jau įvyko.

CodeCov pažeidimas (2021): Užpuolikai kompromitavo CodeCov naudojamą skriptą, tai yra kodo aprėpties įrankis, kurį naudoja tūkstančiai programinės įrangos kūrėjų, įskaitant kai kuriuos kriptovaliutų srityje. Kenkėjiškas skriptas leido jiems pavogti prisijungimo duomenis ir API raktus iš kūrimo aplinkų. Įsivaizduokite, jei šie raktai suteiktų prieigą prie testavimo aplinkos naujai prekybos funkcijai. Puolėjas galėjo rasti galinį įėjimą dar prieš ją diegiant.
Kaseya VSA išpirkos programos ataka (2021): Nors tai nėra konkrečiai susiję su kriptovaliutomis, tai yra meistriškumo pamoka apie bangos efektą. Pažeidus vieną programinės įrangos tiekėją, kuris teikia valdomas paslaugų teikėjai (MSP), užpuolikai nasdėjo išpirkos programinę įrangą tūkstančiams žemyninių įmonių. Jei MSP valdė IT kriptovaliutų biržai, visos biržos vidinės sistemos galėjo būti užšifruotos ir laikomos už išpirką.

Tai nėra teoriniai pavyzdžiai. Tai yra planai, kaip Exbix galėtų būti netiesiogiai užpultas.

Exbix Skydas: Kaip Mes Stipriname Visą Grandinę

Žinoti riziką yra tik pusė kovos. Kita pusė yra kurti budrios atsparumo kultūrą. Exbix mūsų požiūris yra daugiasluoksnis ir nuolatinis.

1. Griežtas Tiekėjų Įtraukimas ir Dėmesingumas:
Prieš pasirašydami sutartį su bet kuria trečiąja šalimi, jie praeina saugumo vertinimą, kuris daugumai būtų iššūkis.

auditoriai raudonuoja. Mes neapsiribojame vien jų žodžiu; mes reikalaujame įrodymų. Tai apima:

saugumo klausimynai: Išsamūs klausimai apie jų saugumo praktiką, politiką ir incidentų reagavimo istoriją.
sertifikatų patikra: Mes reikalaujame sertifikatų, tokių kaip SOC 2 Type II, ISO 27001 ar kitų, susijusių su jų paslaugos.
Įsiskverbimo testų apžvalgos: Mes peržiūrime naujausių nepriklausomų įsiskverbimo testų rezultatus.

2. Mažiausios privilegijos principas:
Tai mūsų mantra. Jokia trečioji šalis negauna daugiau prieigos, nei jiems būtinai reikia jų specifinei funkcijai atlikti. Rinkodaros analizės įrankiui nereikia rašymo prieigos. mūsų duomenų bazėms. Pagalbos agentas nereikia matyti jūsų viso piniginės balanso. Mes tai užtikriname griežtomis tapatybės ir prieigos valdymo (IAM) politikomis.

3. Nuolatinis stebėjimas, o ne vienkartiniai patikrinimai:
Saugumas nėra tik varnelė. Tiekėjas, kuris buvo saugus praėjusiais metais, šiandien gali būti nesaugus. Mes nuolat stebime mūsų tiekėjų saugumo būklę. Mes prenumeruojame grėsmių žvalgybos srautus, kurie informuoja mus apie naujas programinės įrangos pažeidžiamybes, kurias naudojame. Reguliariai peržiūrime savo kritinius tiekėjus, kad užtikrintume, jog jų standartai nepasikeitė.

4. Nulinės pasitikėjimo architektūra:
Mes dirbame remdamiesi prielaida, kad pažeidimas yra neišvengiamas. Todėl mes niekada automatiškai nepasitikime jokiu subjektu—nei viduje, nei už mūsų tinklo. Kiekvienas prieigos prašymas yra patikrinamas, kiekviena operacija yra patvirtinama, o kiekvienas įrenginys yra tikrinamas. Ši architektūra sulaiko „bangavimą“ ir neleidžia jam išplisti per visą mūsų sistemą, jei tiekėjas yra pažeistas.

5. Incidentų reagavimo planavimas su mūsų tiekėjais:
Mūsų incidentų reagavimo planas nesibaigia mūsų skaitmenine riba. Mes turime aiškūs protokolai su mūsų pagrindiniais tiekėjais. Jei jie yra pažeisti, mes tiksliai žinome, kam skambinti, ko klausti ir kokių neatidėliotinų veiksmų imtis, kad nutrauktume ryšius ir apsaugotume jūsų duomenis. Mes reguliariai praktikuojame šiuos scenarijus.

Jūsų vaidmuo grandinėje: Bendroji atsakomybė

Saugumas yra partnerystė. Kol mes dirbame siekdami užtikrinti visos mūsų ekosistemos saugumą, jūs yra taip pat gyvybiškai svarbus šios grandinės ryšys. Štai kaip galite padėti:

Būkite atsargūs su API raktais: Kai prijungiate trečiosios šalies programą (pvz., portfelio stebėjimo programą) prie savo Exbix paskyros per API raktą, sukuriate naują trečiosios šalies riziką sau. Leidimus suteikite tik tiems programoms, kuriomis visiškai pasitikite, ir reguliariai peržiūrėkite bei atšaukite teises. programėles, kurių nebenaudojate.
Saugokitės sukčiavimo… Net iš „patikimų“ šaltinių: Tiekėjo el. pašto sąrašo įsilaužimas yra dažnas įsilaužimo būdas. Galite gauti puikiai sukurtą sukčiavimo el. laišką, kuris atrodo kaip iš teisėtos įmonės, su kuria bendradarbiaujame. Visada būkite skeptiški. Niekada nespauskite nuorodų el. laiškuose, kuriuose prašoma pateikti prisijungimo duomenis. Visada naršykite į svetainėje tiesiogiai.
Naudokite unikalius, stiprius slaptažodžius: Jei naudojate tą patį slaptažodį keliuose svetainėse, ir viena iš tų svetainių (trečioji šalis jums) yra pažeista, įsilaužėliai gali pasinaudoti tuo slaptažodžiu, kad bandytų pasiekti jūsų keitimo paskyrą. Slaptažodžių tvarkyklė yra geriausia jūsų gynyba šiuo atveju.
Įjunkite 2FA visur: Ne tik savo Exbix paskyroje, bet ir bet kurioje susiję su juo, ypač jūsų el. paštu. Tai yra efektyviausias būdas užkirsti kelią paskyros perėmimui.

Pasitikėjimo, o ne rizikos kūrimas

Kriptovaliutų pasaulis yra paremtas decentralizacijos ir tarpusavio ryšio pagrindu. Tai yra jo stiprybė, bet taip pat ir potenciali Achilo kulno vieta. „Exbix“ mes esame ypač gerai suprantame, kad mūsų saugumas yra tik toks stiprus, kaip silpniausia grandis mūsų išplėstoje skaitmeninėje tiekimo grandinėje.

Esame pasiryžę ne tik statyti nepralaidžius sienas, bet ir žemėlapiuoti, stebėti bei stiprinti kiekvieną ryšį, kuris liečia mūsų ekosistemą. Investuojame į tai, nes jūsų pasitikėjimas ir jūsų turtas nėra tik skaičiai ant prietaisų skydelio; jie yra priežastis, kodėl mes egzistuojame.

bangos efektas yra galinga jėga. Mūsų misija yra užtikrinti, kad vienintelės bangos, kurias sukuriame, būtų inovacijų, saugumo ir nepajudinamų pasitikėjimo bangos.

Exbix komanda

Likite saugūs. Likite informuoti.

related-posts

Finansinės saugumo ateitis: biometrika, dirbtinis intelektas ir kas laukia toliau

Mes visi ten buvome. Šaltas prakaitas, kai pamiršti slaptažodį. Beprotiška paieška telefono, kad gautum 2FA kodą. Nerimą keliantis jausmas po duomenų pažeidimo antraštės, kai galvoji, ar tavo informacija yra dalis grobio. Jau dešimtmečius finansinis saugumas, ypač nestabilioje kriptovaliutų pasaulyje, yra atminties, fizinių tokenų ir sveiko optimizmo šokis.

Pradedančiojo vadovas apie šifravimą: kaip jūsų finansiniai duomenys yra apsaugoti perduodant ir saugant

Jūs ruošiatės išsiųsti reikšmingą kiekį kriptovaliutos. Paspaudžiate „Išimti“, įvedate adresą, kruopščiai patikrinate kiekvieną simbolį (nes esate protingas), ir paspaudžiate „Patvirtinti“. Per kelias akimirkas jūsų skaitmeninis turtas pradeda savo kelionę per didžiulę, tarpusavyje susijusią interneto laukinę gamtą link savo tikslo.

Pavadinimas: Socialinė inžinerija: nematomas įsilaužimas – kaip apsaugoti savo kriptovaliutą nuo žmonių manipuliacijų

Viską padarėte teisingai. Naudojate aparatinę piniginę, „Exbix“ paskyroje įjungėte dviejų veiksnių autentifikavimą (2FA), o jūsų slaptažodis yra 20 simbolių atsitiktinumo šedevras. Jaučiatės nenugalimas. Bet kas, jei didžiausias pažeidžiamumas yra ne jūsų įrenginio programinėje įrangoje, o jūsų pačių galvoje?

#Kriptovaliutų saugumo rizikos #Apsaugokite savo kriptovaliutų turtą #Silpnosios grandies pažeidžiamumai