امنیت

با توجه پیشرفت روزافزون علم و ورود تکنولوژی‌های مختلف در سطح عموم و تاثیر ژرف آن در جامعه، مبحث امنیت در این تکنولوژی‌ها بسیار حائز اهمیت شده است. یکی از مهمترین و بروزترین صنعت‌های تکنولوژی، ارزهای دیجیتال است و نیاز جهانی به ارز دیجیتال، منجر به رشد سریع و فراگیر آن شد. این فراگیری راهی شد تا افراد فرصت‌طلب دوباره بتوانند روش‌های نوین کلاه‌برداری را به روی کار آورند.

واقعیت این است که کاربران دنیای ارز دیجیتال تا اندازه مشخصی می توانند امنیت خود را تامین نمایند و به همین دلیل تیم OMPFinex با آگاهی به این موضوع تصمیم به ایحاد بستری امن برای کاربران گرفته است و چرخه امنیتی-مدیریتی آن در  OMPFinex توسط تیم امنیت اجرا شده، تا کاربران بتوانند با فکری آسوده معاملات خود را انجام دهند.

 

امنیت در زیرساخت‌های حیاتی OMPFinex 

چهار چوب امنیتی زیرساخت که توسط این شرکت مورد بررسی قرار گرفته است در یک چرخه پنج مرحله‌ای که شامل جمع‌آوری، محافظت، شناسایی، پاسخگویی، بازیابی می‌باشد که توسط آن سیستم می‌تواند در استانداردترین حالت محافظت شود. 

این چرخه قسمت های مختلفی را مورد بررسی و ارزیابی قرار می‌دهد که مهمترین آنها شامل موارد زیر می‌باشد. 

  • تجزیه و تحلیل امنیتی (Security Analysis) 

توسط این سیستم می تواند تمام تهدیدات موجود را جمع‌آوری کرد و با تجریه و تحلیل آنها تهدیدها و  ناهنجاری‌های رفتاری را تشخیص دهند. 

  • تشخیص نفوذ (Intrusion Detection) 

این سیستم به صورت Agentless شروع به انتقال دیتاهای سیستم‌های تحت نظارت به سمت سرور میکند تا با بررسی آنها، بدافزارها و یا رفتارهای مشکوک را شناسایی کند. 

  • تجزیه و تحلیل داده های ورود به سیستم (Log Data Analysis) 

این سیستم اقدام به ارسال تمامی Logهای سیستم‌عامل به صورت دوره‌ای می‌کند تا در صورت نیاز مورد بررسی قرار گیرد. 

  • نظارت بر یکپارچگی فایل (File Integrity Monitoring) 

این سیستم به بررسی تغییرات فایل‌های سیستم‌عامل می‌پردازد. در صورتی که هر فایل حذف، اضافه و تغییر باید به سرور گزارش داده می‌شود تا توسط مدیر امنیت سیستم بررسی شود. 

  • تشخیص آسیب پذیری (Vulnerability Detection) 

این سیستم با بررسی و شناسایی آسیب‌پذیری‌های مختلف که زیر نظر پروژه MITRE ATT&CK انجام می‌پذیرد طراحی شده است.

  • ارزیابی پیکربندی (Configuration Assessment) 

این سیستم به صورت دوره‌ای به بررسی کانفیگ‌های ناامن سیستم‌عامل سرور بر اساس استانداردهای امنیتی می‌پردازد. 

  • پاسخ حادثه (Incident Response) 

این بخش شامل مجموعه‌ای از اسکریپت‌ها می‌باشد که توسط تیم امنیت جمع‌آوری و تهیه شده است که در صورت وقوع هرگونه رفتار نابهنجار، اقدام به پاسخ مناسب بر اساس نوع رفتار می‌کند. 

  • رعایت مقررات (Regulatory Compliance) 

این سیستم میزان تطابق برخی از کنترل‌های امنیتی مورد نیاز را با استانداردها و مقررات بین المللی بررسی می‌کند. 

  • امنیت ابری (Cloud Security) 

این سیستم با گرفتن دیتاهای مختلف از ماژول‌های مختلفی برای دریافت داده‌های امنیتی از سرویس های ابری نظیر گوگل، مایکروسافت و آمازون جهت شناسایی نقاط ضعف احتمالی استفاده می‌کند. 

  • امنیت کانتینرها (Containers Security) 

این سیستم قابلیت شناسایی تهدیدات، آسیب‌پذیری‌ها و ناهنجاری‌ها را بر روی بستر داکر (Docker) را فراهم می‌کند. 

 

امنیت در سطح زیر ساخت پلتفرم ارز دیجیتال 

استاندارد امنیتی Cryptocurrency Security Standard (CCSS) مجموعه‌ای از الزامات موردنیاز برای تمام سیستم‌های اطلاعاتی است که از رمزنگاری‌ها استفاده می‌کنند، ازجمله مبادلات، برنامه‌های کاربردی وب و راه‌حل‌های ذخیره‌سازی در بستر بلاکچین است. 

این استاندارد به‌منظور محافظت از اطلاعات Cryptocurrency در برابر دسترسی به داده‌های غیرمجاز، از دست دادن اطلاعات حساس و نقض داده‌ها ارائه‌شده است. CCSS در حال حاضر استاندارد امنیت برای هر سازمان است که کیف پول‌های رمزنگاری را به‌عنوان بخشی از منطق کسب‌وکار خود مدیریت می‌کند. این استاندارد دارای 10 جنبه امنیت است که در سه سطح طبقه‌بندی‌شده است این شرکت با بهره‌گیری از این مکانیزم امنیتی توانسته پلتفرم خود را تنظیم کند تا از اکثریت شیوه‌های کلاه‌برداری جلوگیری نماید. لازم به ذکر بوده که کلیه‌ی دارایی‌های ارزی کاربران بصورت "ذخیره‌سازی سرد" در سیستم کاملا ایزوله نگهداری می‌شود و از سیستم به صورت اتوماتیک بکاپ گرفته می‌شود که این بکاپ نیز در جای دیگری نگهداری می‌شود و در صورتی که تمامی سیستم نیز مورد نفوذ قرار گیرد و یا در صورت وقوع هر نوع رخدادهای طبیعی مانند آتش‌سوزی و... دارایی کاربران از بین نخواهد رفت. 

 

ارزیابی امنیتی دوره‌ای 

ارزیابی امنیتی شامل مراحلی می‌شود که به صورت دوره ای اقدام به تست امنیتی پلتفرم و سایر قسمت‌هایی که تهدید بر روی آنها وجود دارد را می‌کند. در ارزیابی امنیتی از دو استاندارد OWASP و OSSTMM استفاده می‌شود. همچنین سناریوهای مختلفی نیز مورد بررسی قرار می‌گیرد  که قسمت اعظم آن شامل زنجیره کشتار سایبری (Cyber Kill Chain) می‌باشد. 

 

سرورهای مستقر در ایران

تمامی سرویس‌های اوام پی فینکس که شامل اطلاعات کاربران و به خصوص شامل اطلاعات مالی و جزئیات محرمانه‌ی دارایی‌های دیجیتال کاربران می‌باشد، کاملا در سرورهای داخل کشور میزبانی شده‌اند. به این صورت، ریسک بلوکه شدن دارایی‌های کاربران یا ایجاد سایر مشکلات مشابه به خاطر تحریم‌های مالی علیه ساکنان ایران، از میان می‌رود.