Adrian Stone, senior ředitel, Bezpečnost produktů EA
Na webu EA jsme nedávno spustili program Product Security Vulnerability Reporting. Dosavadní cesta byla neuvěřitelně přínosná, proto chceme na tomto místě poděkovat zejména výzkumníkům z bezpečnostní komunity, kteří se k nám připojili, aby nám pomohli s bezpečností našich hráčů, titulů a infrastruktury. Vzájemná spolupráce bude pro nás i nadále klíčová, neboť chceme pokračovat v rozvoji zabezpečení herního ekosystému.
Proč vám tedy teď píšu?
Komunikací s bezpečnostní komunitou jsme se toho hodně naučili a stále se učíme. Každé obdržené hlášení pečlivě prošetřujeme. Teď už například víme, že je důležité mít způsob, jak komunikovat s větší bezpečnostní komunitou a našimi hráči, kteří se zajímají o otázky bezpečnosti. Na to konto jsme se rozhodli vytvořit nový komunikační mechanismus: blog EA Security. Pracujeme také na dalších způsobech komunikace se zákazníky, a jakmile tyto služby budou dostupné, dozvíte se o tom na našem blogu.
Jedna malá vsuvka: jste prostě úžasní, a momentálně přijímáme nové lidi! Naše bezpečnostní týmy v EA se zabývají celou řadou bezpečnostních oblastí od Enterprise Security (ochrana podnikových systémů EA před malwarem a neoprávněnými vniknutími) po Product Security Engineering (zajištění bezpečnosti her a on-line služeb EA po celou dobu jejich vývoje). Hrozby se samozřejmě postupem času vyvíjejí a mění, a proto máme týmy odpovědné za korporátní bezpečnost i bezpečnost produktu, které se zabývají novými hrozbami pro společnost a naše hráče.
Se spuštěním našeho programu hlášení bezpečnostních problémů (Vulnerability Reporting Program) se téměř jistě vyrojí dvě otázky, které bych touto cestou rád zodpověděl.
1) Jak EA určuje bezpečnostní dopad?
K určování závažnosti problému používáme dvě metody. První metodou je uznávaný systém hodnocení CVSS. Druhou je čtyřstupňová klasifikace na škále od kritické po nízkou. Nejzávažnější hodnocení – kritické – je vyhrazeno pro problémy, které k úspěšnému zneužití zranitelnosti produktu/služby vyžadují malou nebo žádnou interakci uživatele. Při problému kritické závažnosti může být hráč nebo jeho zařízení náchylné k útoku s využitím výchozí konfigurace. Vzdálený útočník může zneužít problém bez uživatelova vědomí. Následují tři zbývající klasifikace závažnosti (důležitá, střední, mírná), u nichž se berou v potaz překážky, které útočník musí překonat ke zneužití zranitelnosti. Zjednodušeně řečeno, čím více výzev musí útočník překonat, aby mohl zneužít tuto zranitelnost, tím nižší úroveň závažnosti.
2) Jak EA klasifikuje závažnost nahlášených problémů?
U hodnocení dopadů na bezpečnost je odpověď jednoduchá: používáme uznávaný bezpečnostní model STRIDE. Jde o klasifikační model, který jasně vypočítává dopad zranitelnosti. Když obdržíme zprávu o možném bezpečnostním problému, člen bezpečnostního týmu v rámci prvního kroku našeho procesu vyšetřování stanoví prioritu. Pokud problém splňuje požadavky pro další vyšetřování, k případu je přidělen bezpečnostní technik, který s vlastníky technologie spolupracuje v rámci EA na řešení problému. Součástí vyšetřování je určení bezpečnostního dopadu a závažnosti.
Mám nesmírnou radost z toho, jak z partnerství s komunitou dokáže těžit celý herní ekosystém. Více přineseme zanedlouho.
– A
Adrian Stone