Net güvenlik görüşmesinde bu yardımcı olan Norah Beers, Grayscale’den CISO, kripto varlıklarını, düşman taktiklerini, özel anahtar yönetimini yönetmede ve hem sıcak hem de soğuk cüzdanların güvence altına alınmasındaki temel güvenlik zorluklarını tartışıyor.
Tehdit modelleme perspektifinden bakıldığında, kripto alanında geleneksel finansta sıklıkla görünmeyen hangi benzersiz düşman taktiklerini görüyorsunuz?
Düşmanların kendileri geleneksel finans ve kripto endüstrisi arasında temel olarak farklı değildir, ancak kullandıkları taktiklerin bazıları farklıdır ve kripto alanındaki saldırganların karmaşıklığı oldukça yüksektir.
Dijital varlıklarda tutmak ve işlemek, benzersiz teknolojiler ve süreçler gerektirir, bu da rolümün önemli bir kısmının velayet ve değişim çözümleri düşünüldüğünde titiz bir gayreti içermesi anlamına gelir. Grayscal varlıkları gözaltına almadığından, üçüncü taraf nitelikli vekili ortaklarımızın kapsamlı güvenlik kaynaklarından yararlanma avantajına sahibim.
Özel anahtarları ve tohum ifadelerini güvence altına alırken kripto varlık yöneticileri en iyi uygulamaları izlemelidir?
Kontrollerin derinliğini sağlamak için en iyi uygulamadır. Potansiyel başarısızlıkları öngörmek ve beklenmedik durum planları olmak çok önemlidir. Bu, önleyici ve dedektif önlemlerinin bir karışımı, veri bütünlüğü kontrolleri ve işlem mekanizması içinde üçüncü taraf yazılım kullanımının sınırlandırılması da dahil olmak üzere birden fazla kontrol katmanının uygulanmasını içerir. Ayrıca, herhangi bir onayın birden fazla katılımcı gerektirmesini sağlamak çok önemlidir.
Bu bilgi için üçüncü taraflara güvenmek yerine velayet çözümlerini tam bir şekilde anlamak da aynı derecede önemlidir. Hangi yönlerin üçüncü taraflara güvenli bir şekilde devredilebileceğini ve hangilerinin dahili olarak yönetilmesi gerektiği belirlenmesi esastır. Güvenlik bütünlüğünü sağlamak için bazı kontroller velayetlerden bağımsız kalmalıdır.
Ekipler, özellikle operasyonel çeviklik bağlamında sıcak ve soğuk cüzdanları güvence altına almaya nasıl yaklaşmalıdır?
Sıcak ve soğuk cüzdanların güvence altına alınma yaklaşımı, işletmenin özel ihtiyaçlarına göre uyarlanmalıdır. Sıcak cüzdanlar, çevrimiçi olmak, doğal olarak daha risklidir, ancak işleme işlemlerinde daha fazla hız ve verimliliğe izin verir. Sonuç olarak, telafi edici kontroller ve artan uyanıklık gerektirirler.
Tersine, çevrimdışı olan soğuk depolama, uzun süre erişilmeleri gerekmediğinde varlıkları daha güvenli bir şekilde tutmak için idealdir. Bir işletmenin operasyonel çevikliği, sıcak ve soğuk cüzdanların kullanımı arasındaki dengeyi belirler ve güvenlik önlemlerinin her bir cüzdan türü ile ilişkili risk seviyesi ile uyumlu olmasını sağlar.
Kripto varlık yöneticileri geliştiriciler ve operasyon ekipleri arasında nasıl güçlü bir güvenlik kültürü oluşturabilir?
Bir güvenlik kültürü oluşturmak, çalışanların ve yatırımcıların potansiyel riskleri ve bu riskleri azaltmadaki rollerinin önemini anlamalarını gerektirir. Kripto varlık sınıfı, temel teknoloji güvenlik protokolleri üzerine inşa edildiğinden, güvenliğe değer veren katılımcıları çekme eğilimindedir. Deneyimlerime göre, hem yatırımcılar hem de çalışanlar endüstrinin geliştiğini görmek için motive oluyor ve herkesi ortak bir hedefe doğru hizalamayı kolaylaştırıyor.
Ekip üyelerini özel tehditler ve güvenlik protokollerinin arkasındaki mantık hakkında eğitmek proaktif bir güvenlik zihniyetini teşvik eder. Çalışanlar sektörün başarısına yatırım yaptıklarında, güçlü bir güvenlik kültürünü benimseme ve katkıda bulunma olasılıkları daha yüksektir.
Küresel düzenleyici beklentiler kripto varlık yöneticilerinin güvenlik stratejisini nasıl etkiler?
Kripto endüstrisi hala nispeten yeni ve düzenleyici ortamdan daha hızlı gelişiyor. Düzenleyici bir ortamda bile, sadece düzenlemeleri karşılamak asla yeterli güvenlik olarak kabul edilmemelidir. Sonuç olarak, güvenlik uygulayıcıları tehdit ortamına sürekli dikkat etmeli ve kontrol duruşlarının risk toleransları için uygun olmasını sağlamalıdır.
Kararlarımıza rehberlik etmek için yerleşik güvenlik çerçevelerinden yararlanıyoruz, ancak geleneksel çerçevelerin kriptoya özgü yeni ve gelişen teknolojiler için her zaman geçerli olmayabileceğini kabul ediyoruz. Örneğin, kripto alanındaki velayet çözümleri için en iyi uygulamalar konusunda bir fikir birliği yoktur. Bu nedenle, tehdit modelleme, penetrasyon testi ve güvenlik açığı değerlendirmeleri gibi temel güvenlik ilkelerine bağlı kalırken, süreçlerimizi sürekli olarak yenileyip geliştiriyoruz.
Her ne kadar kripto güvenliği ve geleneksel finans güvenliği birçok ortaklığı paylaşsa da, kripto endüstrisinin dinamik doğası yenilik fırsatları sunmaktadır.