Hei, verden!

Av Adrian Stone, senior direktør for EA produktsikkerhet

Vi lanserte nylig vårt rapporteringsprogram for sårbarheter ved produktsikkerhet på nettsiden EA Security. Reisen så langt har vært svært givende og ydmykende, og vi ønsker å rette en spesiell takk til forskerne i sikkerhetssamfunnet som sluttet seg til oss for å holde spillerne, spillene og infrastrukturen trygg. Samarbeidet med forskerne vil fortsatt være en grunnpilar når vi fortsetter å investere og utvikle tilnærmingen vår for å sikre spillenes økosystem.

Så hvorfor skriver jeg til dere nå? 

Vi lærer mye gjennom samhandlingen vår med sikkerhetsforskning-samfunnet og undersøker alle rapportene vi får inn. Noe av det vi har lært er at det er viktig å kunne kommunisere med det større sikkerhetssamfunnet og spillerne våre som er interessert i problemer knyttet til sikkerhet. Som følge av dette har vi bestemt oss for å lage en ny kommunikasjonsmekanisme, EA Security-bloggen. Vi jobber også med ytterligere kommunikasjonsformer for å nå ut til kundene våre, og vi skal oppdatere bloggen når de tjenestene blir tilgjengelige.

Og så en liten oppfordring: Dere er fantastiske, og vi har ledige stillinger!  Sikkerhetsteamene i EA dekker en rekke områder, fra bedriftssikkerhet som beskytter EAs bedriftssystemer fra skadelige angrep og innbrudd, og produktsikkerhetsteknologi som sørger for at EAs spill og nettjenester er sikret gjennom utviklingssyklusen. Trusler er i stadig utvikling, og derfor har vi disse to teamene som kan ta seg av kommende trusler som påvirker selskapet eller spillerne våre.

I begynnelsen av rapporteringsprogrammet for sårbarheter var det to spørsmål som ofte ble stilt, og jeg ønsker å dele dem her.  

1) Hvordan fastslår EA sikkerhetspåvirkningen?

Vi bruker to metoder for å fastslå problemets alvorlighet. Den første metoden er det CVSS-poengsystemet som anerkjennes av industrien. Den andre er en klassifisering med fire nivåer, som går fra kritisk til lav. Det alvorligste nivået, kritisk, reserveres for problemer som krever lite eller ingen brukersamhandling for at sårbarheten skal kunne utnyttes. Med kritiske problemer kan spillere eller enhetene deres være sårbare for angrep med en standard konfigurasjon, og problemet kan utnyttes av en ekstern angriper uten at spillerne merker det. Derifra jobber vi oss gjennom de tre andre klassifiseringene (viktig, moderat, lav), der vi tar hensyn til barrierene angripere må komme gjennom for å utnytte sårbarheten. For å si det enklere: Jo flere utfordringer angriperne må gjennom for å utnytte sårbarheten, desto lavere blir alvorligheten.

2) Hvordan klassifiserer EA alvorligheten for problemer som rapporteres?

For vurdering av sikkerhetspåvirkning er svaret enkelt: Vi bruker den sikkerhetsmodellen STRIDE som anerkjennes av industrien. Det er en klassifiseringsmodell som tydelig spesifiserer påvirkningen av sårbarheter. Når vi får inn rapporter om potensielle sikkerhetsproblemer, behovsprøver et medlem av sikkerhetsteamet rapporten som et første steg i etterforskningen. Hvis problemet møter kravene for ytterligere undersøking, tilordnes en sikkerhetsingeniør jobbe i samarbeid med teknologieiere i EA for å løse problemet. Som en del av undersøkelsen tildeles en alvorlighetsgrad og sikkerhetspåvirkning.

Jeg gleder meg svært til å se hva partnerskapet med nettsamfunnet kan gjøre for å forbedre spillenes helhetlige økosystem. Følg med for mer.

- A

Adrian Stone