Adrian Stone, Sr. Director, EA Product Security
Vi har for nylig lanceret vores program til indberetning af sårbarheder på EA Security-hjemmesiden. Rejsen indtil videre har været utrolig tilfredsstillende, og vi vil især gerne takke eksperterne i sikkerhedsfællesskabet, der har hjulpet os med at beskytte vores spillere, spil og infrastruktur. Samarbejdet med eksperterne vil også fremadrettet være vigtigt, mens vi fortsætter med at investere i og udvikle vores tilgang til at beskytte spiløkosystemet.
Så hvorfor skriver jeg til dig nu?
Vi lærer løbende en masse gennem vores interaktioner med fællesskabet af sikkerhedseksperter, og vi undersøger alle rapporter, vi får. Vi har bl.a. lært, at det er vigtigt at have kommunikationskanaler, så vi kan kommunikere med sikkerhedsfællesskabet og de af vores spillere, der er interesseret i sikkerhedsproblemer og -løsninger. Derfor har vi besluttet at oprette netop en ny kommunikationskanal – EA Security-bloggen. Vi arbejder også på nye måder at kommunikere med kunder på, og vi opdaterer bloggen så snart, at disse tjenester er tilgængelige.
Jeg har også lidt skamløs selvpromovering: I er fantastiske, og vi har ledige stillinger! Vores sikkerhedshold hos EA dækker en lang række forskellige sikkerhedsområder lige fra Enterprise Security, der har til opgave at beskytte EA's virksomhedssystemer fra malware-angreb og indtrængen, til Product Security Engineering, der sørger for, at EA's spil og onlinetjenester beskyttes hele vejen igennem deres udviklings- og udgivelsescyklus. Truslerne udvikler og ændrer sig naturligvis over tid, og det er derfor, at vi både har virksomheds- og produktsikkerhedshold, der står klar til at tage hånd om pludseligt opståede trusler mod vores virksomhed eller vores spillere.
Der er to spørgsmål om vores program til indberetning af sårbarheder, der går igen og igen, og dem vil jeg gerne dele med jer her.
1) Hvordan afgør EA sikkerhedseffekten?
Vi bruger to metoder til at afgøre, hvor alvorligt et problem er. Den første metode er det industrianerkendte CVSS-pointsystem. Den anden er en klassifikation på en skala inddelt i fire fra kritisk til lav. Den mest alvorlige klassifikation, kritisk, er forbeholdt sårbarheder, der kræver lidt eller ingen brugerinteraktion at udnytte. I tilfælde af et kritisk sikkerhedsproblem kan en spiller eller dennes enhed være sårbar over for angreb selv ved brug af en standardkonfiguration, og problemet kan udnyttes af en fjernangriber, uden at spilleren overhovedet ved det. Hvis problemet ikke vurderes til at være kritisk, klassificerer vi det som enten "vigtigt", "moderat" eller "lavt" ud fra, hvor mange forhindringer en angriber skal forbi for at udnytte sårbarheden. Kort sagt: Jo flere udfordringer en angriber skal forbi for at udnytte sårbarheden, desto mindre alvorlig er den.
2) Hvordan klassificerer EA alvorligheden af indberettede problemer?
Svaret er enkelt hvad angår vurdering af sikkerhedspåvirkning: Vi bruger den industrianerkendte STRIDE-sikkerhedsmodel. Det er en klassifikationsmodel, der utvetydigt udregner påvirkningen af en sårbarhed. Når vi modtager en rapport om et potentielt sikkerhedsproblem, vurderer et medlem af vores sikkerhedshold allerførst problemet. Hvis problemet opfylder kravene til yderligere undersøgelse, sættes en sikkerhedsekspert til at arbejde på problemet i samarbejde med de teknologiansvarlige hos EA. I forbindelse med undersøgelsen vurderes og klassificeres problemets sikkerhedspåvirkning og alvorlighed.
Jeg glæder mig helt vildt meget til at se, hvordan samarbejdet med fællesskabet kan forbedre det samlede spiløkosystem. Yderligere oplysninger følger.
– A
Adrian Stone