Adrian Stone, director sénior de Seguridad de productos de EA
Hace poco lanzamos nuestro Programa de informes de vulnerabilidades del equipo de Seguridad de productos en la página web de la Seguridad de EA. Hasta ahora, la experiencia ha sido increíblemente aleccionadora y gratificante. Queríamos agradecer especialmente a los investigadores de la comunidad de seguridad que se han unido a nosotros para proteger a nuestros jugadores, juegos e infraestructuras. El trabajo con los jugadores formará parte fundamental de la inversión y desarrollo de nuestro enfoque de protección del ecosistema de juegos.
¿Por qué os escribo ahora?
Aprendemos mucho de nuestras interacciones con la comunidad de investigación de seguridad y estudiamos todos los informes que recibimos. Una de las cosas que hemos descubierto es que es importante disponer de una forma de comunicarnos con una comunidad de seguridad más amplia y con los jugadores interesados en las cuestiones de ingeniería de seguridad. Por tanto, hemos decidido crear un nuevo mecanismo de comunicación, el blog de seguridad de EA. También estamos trabajando para crear formas adicionales de comunicarnos con los clientes y actualizaremos el blog a medida que los servicios estén disponibles.
Y tengo un anuncio por la cara: ¡Sois increíbles y estamos contratando! Nuestros equipos de Seguridad de EA cubren una amplia gama de áreas de seguridad, desde el equipo de Seguridad empresarial que protege los sistemas corporativos de EA de intrusiones y ataques de malware al equipo de Ingeniería de seguridad de productos que garantiza que los servicios online y juegos de EA están protegidos durante el ciclo de desarrollo. Es evidente que las amenazas evolucionan y cambian con el tiempo. Por esta razón, los equipos de respuesta de seguridad corporativa y de productos se enfrentan a amenazas emergentes que afectan a la empresa y a nuestros jugadores.
En los albores de nuestro Programa de informes de vulnerabilidades, casi siempre surgen dos preguntas que queremos compartir.
1) ¿Cómo determina EA el impacto en la seguridad?
Utilizamos dos métodos para determinar la gravedad de los problemas. El primero es el sistema de puntuación CVSS reconocido por el sector. El segundo es una clasificación de 4 niveles con una escala que va de Crítico a Bajo. La clasificación más grave (Crítico) se reserva a las vulnerabilidades cuyo abuso requiere poca o ninguna interacción por parte del usuario. Con un problema de gravedad Crítico, el jugador o su dispositivo puede ser vulnerable a ataques con una configuración predeterminada. Además, un atacante remoto podría aprovecharse sin que el jugador lo sepa. Desde ahí pasamos al resto de clasificaciones (Importante, Moderado, Bajo) y tenemos en cuenta las barreras que un atacante tendría que superar para sacar partido de la vulnerabilidad. Esto es, cuantos más desafíos deba superar un atacante para aprovechar la vulnerabilidad, más baja será la gravedad.
2) ¿Cómo clasifica EA la gravedad de los problemas denunciados?
En el caso de la clasificación del Impacto en la seguridad, la respuesta es sencilla: utilizamos el modelo de seguridad STRIDE reconocido por el sector. Se trata de un modelo de clasificación que enumera claramente el impacto de una vulnerabilidad. Cuando recibimos un informe de un posible problema de seguridad, un miembro del equipo de seguridad realiza una evaluación como primer paso del proceso de investigación. Si el problema reúne los requisitos necesarios para una investigación adicional, se asigna un ingeniero de seguridad para que trabaje con los propietarios de las tecnologías de EA para abordar el problema. Como parte de la investigación, se asignan un Impacto en la seguridad y una Gravedad.
Estoy deseando ver lo que la asociación con la comunidad puede hacer para beneficiar al ecosistema global de juegos. No te pierdas el resto.
- A
Adrian Stone