Ciao!
Di Adrian Stone, Sr. Responsabile della sicurezza dei prodotti di EA, 23 settembre 2019
Adrian Stone, responsabile senior della sicurezza dei prodotti di EA
Di recente abbiamo lanciato il nostro programma contro le vulnerabilità, il Product Security Vulnerability Reporting Program sul sito web EA Security. Finora, questo percorso è stato incredibilmente gratificante e ci ha profondamente arricchiti, e vogliamo ringraziare in particolare i ricercatori della community che si occupa della sicurezza che collaborano con noi affinché i nostri giochi e le infrastrutture siano sicuri per tutti gli utenti. Il lavoro che facciamo con i ricercatori è un elemento ormai imprescindibile di questo percorso e in futuro continueremo a investire e a migliorare i nostri strumenti per garantire agli utenti ecosistemi di gioco sicuri.
Dunque perché ho deciso di scrivere questo messaggio?
Stiamo imparando molto dall'interazione con la community della ricerca per la sicurezza e analizziamo ogni resoconto che riceviamo. Una delle cose che abbiamo compreso è che comunicare con la grande community che si occupa della sicurezza e con i giocatori che si interessano di problemi di ingegneria della sicurezza è di fondamentale importanza. Per questo motivo, abbiamo deciso di creare un nuovo strumento di comunicazione: l'EA Security Blog. Stiamo anche lavorando a ulteriori modi per comunicare con i clienti e aggiorneremo il blog con tutte le informazioni appena questi servizi saranno disponibili.
Ho anche un annuncio un po' spudorato da fare: siete tutti davvero fantastici e stiamo assumendo! I team della sicurezza di EA si occupano di ambiti diversi: per esempio, il team di sicurezza dell'impresa protegge i sistemi aziendali di EA da attacchi di malware e intrusioni, mentre gli ingegneri della sicurezza dei prodotti si assicurano che i servizi online e i giochi di EA siano protetti durante tutto il ciclo di sviluppo. Ovviamente, le minacce evolvono e cambiano nel tempo e, per questo motivo, abbiamo sia un team che si occupa della sicurezza dell'azienda che uno che cura quella dei prodotti in modo da poterci occupare tempestivamente di qualsiasi possibile minaccia per l'azienda o per i giocatori.
Il nostro Vulnerability Reporting Program è ancora abbastanza giovane e ci sono due domande che ci vengono sempre poste, che ho deciso di condividere con tutti.
1) Come fa EA a determinare l'impatto di una minaccia alla sicurezza?
Utilizziamo due metodi per determinare la gravità di un problema. Il primo metodo è il sistema a punti CVSS, ampiamente riconosciuto nell'industria. Il secondo è una classificazione a 4 livelli che va da critico a basso. Il valore più alto, ovvero critico, è riservato a quelle minacce che richiedono poca, o nessuna interazione, per sfruttare proficuamente una vulnerabilità. Quando individuiamo una minaccia di livello critico, può trattarsi di un giocatore o di un dispositivo vulnerabili che vengono attaccati usando una configurazione predefinita e il problema potrebbe essere causato da qualcuno che opera in remoto senza che il malcapitato utente se ne accorga. Gli altri tre livelli (importante, moderato, basso) dipendono dagli ostacoli che un malintenzionato dovrà superare per sfruttare la vulnerabilità. In poche parole, più sono le sfide che chi sferra un attacco dovrà affrontare per superare la vulnerabilità, minore è la gravità della minaccia.
2) Come classifica EA la gravità dei problemi che vengono segnalati?
Per quanto riguarda la valutazione dell'impatto sulla sicurezza la risposta è semplice: usiamo il modello di sicurezza STRIDE molto comune nell'industria. Si tratta di un modello di classificazione che elenca chiaramente l'impatto di una vulnerabilità. Quando riceviamo una segnalazione di un potenziale problema di sicurezza, un membro del team se ne occupa e procede alla classificazione come primo passo del processo di classificazione. Se il problema ha determinate caratteristiche, si procede con ulteriori investigazioni e un ingegnere della sicurezza viene assegnato per lavorare con i titolari delle tecnologie all'interno di EA all'eliminazione della minaccia. Nella fase di investigazione, viene effettuata una valutazione dell'impatto sulla sicurezza e della gravità.
Sono davvero entusiasta dei risultati che si possono ottenere per il bene dell'ecosistema dei videogiochi in generale collaborando con la community. Continua a seguirci per maggiori informazioni.
- A
Adrian Stone