Adrian Stone, vanhempi johtaja, EA Product Security
Lanseerasimme hiljattain haavoittuvuusilmoitustyökalumme EA:n turvallisuussivuilla. Matka on tähän mennessä ollut uskomattoman palkitseva ja antoisa, ja haluamme kiittää erityisesti turvallisuusyhteisön tutkijoita, jotka ovat auttaneet meitä pitämään pelaajamme, pelimme ja infrastruktuurimme turvassa. Tutkijat tulevat olemaan tiivis osa toimintaamme, kun työ peliekosysteemimme turvallisuuden parissa jatkuu.
Miksi kirjoitan teille nyt?
Olemme oppineet turvallisuustutkimusyhteisöltä paljon ja tutkineet kaikki saamamme ilmoitukset. Yksi havaitsemistamme asioista on se, että on hyvin tärkeää ylläpitää viestintää sekä laajemman turvallisuusyhteisön että myös turvallisuusasioista kiinnostuneiden pelaajiemme kanssa. Tämän havainnon innoittamina olemme päättäneet perustaa uuden viestintäkanavan: EA-turvallisuusblogin. Etsimme muitakin keinoja kommunikoida asiakkaidemme kanssa ja päivitämme blogia, kun uusia keinoja ja palveluita tulee saataville.
Haluaisin samalla myös hieman mainostaa: te olette mahtavia, ja me etsimme työntekijöitä! EA:n turvallisuustiimit työskentelevät monilla turvallisuuden eri osa-alueilla EA:n yritysjärjestelmiä hyökkäyksiltä ja tunkeutujilta suojaavasta yritysturvallisuudesta EA:n pelien ja verkkopalveluiden koko kehityselinkaaren aikaisesta turvallisuudesta vastaavaan tuoteturvallisuuskehitykseen. Uhat tietysti kehittyvät ja muuttuvat ajan mittaan, ja siksi meillä on sekä yritys- että tuotepuolen turvallisuustiimejä, jotka pystyvät käsittelemään esiin nousevat uhat, jotka vaikuttavat yritykseen tai pelaajiimme.
Haavoittuvuusilmoitusohjelman alkuvaiheessa esiin nousee usein kaksi kysymystä, jotka haluaisin jakaa.
1) Miten EA määrittää tietoturvauhkien vakavuusasteen?
Määritämme uhan vakavuuden kahdella eri metodilla. Ensimmäinen metodi on alalla paljon käytetty CVSS-menetelmä. Toinen on nelitasoinen luokitusasteikko, jonka avulla uhalle annetaan luokitus matalasta kriittiseen. Korkein luokitus on varattu haavoittuvuusongelmille, joiden hyväksikäyttämiseen vaaditaan vain vähän käyttäjän toimintaa. Kriittisen ongelman kohdalla pelaaja tai pelaajan laite voi olla altis hyökkäyksille ja hyökkäyksen tekijä voi käyttää haavoittuvuutta hyväksi jopa pelaajan tietämättä. Muut luokitukset (korkea, keskitaso, matala) määritämme sen mukaan, millaisia toimia hyökkäyksen tekijän on tehtävä käyttääkseen haavoittuvuutta hyväksi. Yksinkertaistettuna: mitä enemmän haasteita hyökkääjän on selvitettävä käyttääkseen haavoittuvuutta hyväksi, sitä matalampi luokitus on.
2) Miten EA määrittää ilmoitettujen ongelmien vakavuuden?
Vastaus on yksinkertainen: käytämme alalla suosittua STRIDE-mallia. Se on luokittelumalli, joka laskee haavoittuvuuden vaikutukset selkeästi. Kun saamme ilmoituksen mahdollisesta tietoturvaongelmasta, turvallisuustiimi käynnistää tutkimusprosessin ensimmäisen vaiheen. Jos ongelma edellyttää jatkotutkimuksia, turvallisuushenkilöstömme ryhtyy töihin ongelman ratkaisemiseksi. Tutkimuksissa määritetään ongelman turvallisuusvaikutus ja vakavuus.
Odotan innolla, että näen, mihin yhteistyö yhteisön kanssa voi johtaa ja miten se voi hyödyttää pelien ekosysteemiä tulevaisuudessa. Lisää uutisia on luvassa lähiaikoina.
- A
Adrian Stone