Adrian Stone, Director sénior de Seguridad de Productos de EA
Recientemente, lanzamos nuestro Programa de Informe de Vulnerabilidades para la Seguridad de Productos en el sitio web de EA Security. El camino hasta aquí ha sido increíblemente gratificante y de aprendizaje. Queremos agradecer especialmente a los investigadores de la comunidad de seguridad que se unieron a nosotros para mantener la seguridad de nuestra infraestructura, nuestros juegos y nuestros jugadores. Trabajar junto con investigadores seguirá siendo un principio central, ya que seguiremos evolucionando e invirtiendo en nuestro enfoque para asegurar el ecosistema de los videojuegos.
Entonces, ¿por qué les estoy escribiendo?
Aprendemos mucho de nuestras interacciones con la comunidad de investigación de seguridad e investigamos todos los informes que recibimos. Una de las cosas que hemos aprendido es que es importante tener un medio de comunicación con toda la comunidad de seguridad y con nuestros jugadores, a quienes les interesan los asuntos de ingeniería de seguridad. Como resultado, decidimos crear un nuevo mecanismo de comunicación, el blog de EA Security. También estamos trabajando en medios adicionales para comunicarnos con los clientes. Actualizaremos el blog a medida que esos servicios estén disponibles.
También tengo un anuncio para compartir: Ustedes son geniales, ¡y estamos contratando! En EA, nuestros equipos de seguridad cubren un rango diverso de áreas de seguridad, desde la Seguridad empresarial, que protege a los sistemas corporativos de los ataques de malware y las intrusiones, hasta la Ingeniería de seguridad de productos, que garantiza que todo el ciclo de desarrollo de los juegos y servicios online de EA esté asegurado. Por supuesto que las amenazas evolucionan y cambian con el tiempo; ese es el motivo por el cual tenemos equipos de respuesta para la seguridad corporativa y de productos, para que puedan lidiar con las amenazas emergentes que afectan a la compañía o a nuestros jugadores.
Desde el comienzo de nuestro Programa de Informe de Vulnerabilidades hay dos preguntas que surgen casi siempre, y me gustaría compartirlas aquí.
1) ¿Cómo determina EA el impacto a la seguridad?
Usamos dos métodos para determinar la gravedad del problema. El primer método es el Sistema de puntuación de vulnerabilidad común (Common Vulnerability Scoring System, CVSS) conocido en la industria. El segundo es una clasificación de 4 niveles, cuya escala cubre la puntuación desde Crítica hasta Baja. La puntuación más grave, Crítica, se reserva para problemas que requieren una interacción del usuario mínima o nula para que la vulnerabilidad tenga efecto. Con un problema de gravedad Crítica, un jugador o su dispositivo puede ser vulnerable a ataques utilizando una configuración predeterminada, y la vulnerabilidad puede ser aprovechada por un atacante remoto sin que el jugador lo sepa. Así llegamos a las tres clasificaciones restantes (Importante, Moderada, Baja), teniendo en cuenta las barreras que deba superar un atacante para aprovechar la vulnerabilidad. En términos más simples, mientras más desafíos deba superar un atacante para aprovechar la vulnerabilidad, menor será la gravedad.
2) ¿Cómo clasifica EA la gravedad de los problemas reportados?
La respuesta para la puntuación del Impacto a la seguridad es simple: usamos el Modelo de seguridad STRIDE, conocido en la industria. Es un modelo de clasificación que enumera con claridad el impacto de una vulnerabilidad. Cuando recibimos un informe de un posible problema de seguridad, un miembro del equipo de seguridad realiza un protocolo de intervención, que es el primer paso de nuestro proceso de investigación. Si el problema cumple con los requisitos para realizar una investigación adicional, se asigna un ingeniero de seguridad para que trabaje con los propietarios de la tecnología de EA para abordar el problema. Como parte de la investigación, se asigna una gravedad y un impacto a la seguridad.
Me emociona mucho lo que puede hacer por el beneficio del ecosistema de videojuegos en general el hecho de asociarse con la comunidad. Permanece atento para más.
- A
Adrian Stone