با توجه پیشرفت روزافزون علم و ورود تکنولوژیهای مختلف در سطح عموم و تاثیر ژرف آن در جامعه، مبحث امنیت در این تکنولوژیها بسیار حائز اهمیت شده است. یکی از مهمترین و بروزترین صنعتهای تکنولوژی، ارزهای دیجیتال است و نیاز جهانی به ارز دیجیتال، منجر به رشد سریع و فراگیر آن شد. این فراگیری راهی شد تا افراد فرصتطلب دوباره بتوانند روشهای نوین کلاهبرداری را به روی کار آورند.
واقعیت این است که کاربران دنیای ارز دیجیتال تا اندازه مشخصی می توانند امنیت خود را تامین نمایند و به همین دلیل تیم OMPFinex با آگاهی به این موضوع تصمیم به ایحاد بستری امن برای کاربران گرفته است و چرخه امنیتی-مدیریتی آن در OMPFinex توسط تیم امنیت اجرا شده، تا کاربران بتوانند با فکری آسوده معاملات خود را انجام دهند.
چهار چوب امنیتی زیرساخت که توسط این شرکت مورد بررسی قرار گرفته است در یک چرخه پنج مرحلهای که شامل جمعآوری، محافظت، شناسایی، پاسخگویی، بازیابی میباشد که توسط آن سیستم میتواند در استانداردترین حالت محافظت شود.
این چرخه قسمت های مختلفی را مورد بررسی و ارزیابی قرار میدهد که مهمترین آنها شامل موارد زیر میباشد:
توسط این سیستم می تواند تمام تهدیدات موجود را جمعآوری کرد و با تجریه و تحلیل آنها تهدیدها و ناهنجاریهای رفتاری را تشخیص دهند.
این سیستم به صورت Agentless شروع به انتقال دیتاهای سیستمهای تحت نظارت به سمت سرور میکند تا با بررسی آنها، بدافزارها و یا رفتارهای مشکوک را شناسایی کند.
این سیستم اقدام به ارسال تمامی Logهای سیستمعامل به صورت دورهای میکند تا در صورت نیاز مورد بررسی قرار گیرد.
این سیستم به بررسی تغییرات فایلهای سیستمعامل میپردازد. در صورتی که هر فایل حذف، اضافه و تغییر باید به سرور گزارش داده میشود تا توسط مدیر امنیت سیستم بررسی شود.
این سیستم با بررسی و شناسایی آسیبپذیریهای مختلف که زیر نظر پروژه MITRE ATT&CK انجام میپذیرد طراحی شده است.
این سیستم به صورت دورهای به بررسی کانفیگهای ناامن سیستمعامل سرور بر اساس استانداردهای امنیتی میپردازد.
این بخش شامل مجموعهای از اسکریپتها میباشد که توسط تیم امنیت جمعآوری و تهیه شده است که در صورت وقوع هرگونه رفتار نابهنجار، اقدام به پاسخ مناسب بر اساس نوع رفتار میکند.
این سیستم میزان تطابق برخی از کنترلهای امنیتی مورد نیاز را با استانداردها و مقررات بین المللی بررسی میکند.
این سیستم با گرفتن دیتاهای مختلف از ماژولهای مختلفی برای دریافت دادههای امنیتی از سرویس های ابری نظیر گوگل، مایکروسافت و آمازون جهت شناسایی نقاط ضعف احتمالی استفاده میکند.
این سیستم قابلیت شناسایی تهدیدات، آسیبپذیریها و ناهنجاریها را بر روی بستر داکر (Docker) را فراهم میکند.
استاندارد امنیتی Cryptocurrency Security Standard (CCSS) مجموعهای از الزامات موردنیاز برای تمام سیستمهای اطلاعاتی است که از رمزنگاریها استفاده میکنند، ازجمله مبادلات، برنامههای کاربردی وب و راهحلهای ذخیرهسازی در بستر بلاکچین است.
این استاندارد بهمنظور محافظت از اطلاعات Cryptocurrency در برابر دسترسی به دادههای غیرمجاز، از دست دادن اطلاعات حساس و نقض دادهها ارائهشده است. CCSS در حال حاضر استاندارد امنیت برای هر سازمان است که کیف پولهای رمزنگاری را بهعنوان بخشی از منطق کسبوکار خود مدیریت میکند. این استاندارد دارای 10 جنبه امنیت است که در سه سطح طبقهبندیشده است این شرکت با بهرهگیری از این مکانیزم امنیتی توانسته پلتفرم خود را تنظیم کند تا از اکثریت شیوههای کلاهبرداری جلوگیری نماید. لازم به ذکر بوده که کلیهی داراییهای ارزی کاربران بصورت "ذخیرهسازی سرد" در سیستم کاملا ایزوله نگهداری میشود و از سیستم به صورت اتوماتیک بکاپ گرفته میشود که این بکاپ نیز در جای دیگری نگهداری میشود و در صورتی که تمامی سیستم نیز مورد نفوذ قرار گیرد و یا در صورت وقوع هر نوع رخدادهای طبیعی مانند آتشسوزی و... دارایی کاربران از بین نخواهد رفت.
ارزیابی امنیتی شامل مراحلی میشود که به صورت دوره ای اقدام به تست امنیتی پلتفرم و سایر قسمتهایی که تهدید بر روی آنها وجود دارد را میکند. در ارزیابی امنیتی از دو استاندارد OWASP و OSSTMM استفاده میشود. همچنین سناریوهای مختلفی نیز مورد بررسی قرار میگیرد که قسمت اعظم آن شامل زنجیره کشتار سایبری (Cyber Kill Chain) میباشد.
تمامی سرویسهای اوام پی فینکس که شامل اطلاعات کاربران و به خصوص شامل اطلاعات مالی و جزئیات محرمانهی داراییهای دیجیتال کاربران میباشد، کاملا در سرورهای داخل کشور میزبانی شدهاند. به این صورت، ریسک بلوکه شدن داراییهای کاربران یا ایجاد سایر مشکلات مشابه به خاطر تحریمهای مالی علیه ساکنان ایران، از میان میرود.
