Witaj, świecie!
Autor: Adrian Stone Sr. Dyrektor działu ds. bezpieczeństwa produktów EA, 23 września 2019 r.
Adrian Stone Sr. Dyrektor działu ds. bezpieczeństwa produktów EA
Niedawno wdrożyliśmy program zgłaszania problemów z bezpieczeństwem produktów na stronie internetowej EA Security. Nasze dotychczasowe doświadczenia były niezwykle satysfakcjonujące i nauczyły nas pokory, dlatego chcielibyśmy w szczególności podziękować analitykom z naszej społeczności do spraw bezpieczeństwa, którzy pomogli nam zwiększyć bezpieczeństwo naszych graczy, gier oraz infrastruktury. Praca z analitykami będzie centralnym punktem naszej agendy, dzięki której ewoluuje nasze podejście do kwestii zabezpieczenia ekosystemów gier.
Dlaczego piszę o tym teraz?
Wiele się nauczyliśmy dzięki naszym interakcjom ze społecznością analityków bezpieczeństwa i podczas sprawdzania poszczególnych zgłoszeń. Przede wszystkim nauczyliśmy się, że musimy posiadać narzędzie, które pozwoli nam komunikować się z dużą społecznością ds. bezpieczeństwa, a także graczami, którzy są zainteresowani kwestią inżynierii bezpieczeństwa. W rezultacie postanowiliśmy stworzyć nowy kanał komunikacji – blog EA Security. Pracujemy również nad dodatkowymi kanałami komunikacji z klientami. Poinformujemy was o nich na blogu, gdy tylko usługi te staną się dostępne.
Pozwolę sobie też na odrobinę prywaty: jesteście niesamowici, a właśnie szukamy pracowników! Zespoły ds. bezpieczeństwa EA zajmują się szeroką gamą problemów z zakresu bezpieczeństwa, od zespołu ds. bezpieczeństwa przedsiębiorstwa, który chroni korporacyjne systemy EA przed złośliwymi atakami i włamaniami, po zespół ds. inżynierii bezpieczeństwa produktu, pilnujący, by gry i usługi sieciowe EA były bezpieczne przez cały cykl życia produkcyjnego. Rzecz jasna, zagrożenia ewoluują z czasem, dlatego posiadamy zespoły reagowania na zagrożenia bezpieczeństwa korporacji i produktów, których zadaniem jest pacyfikacja zagrożeń, które mogą wpłynąć na naszą firmę lub graczy.
Nasz program zgłaszania problemów z bezpieczeństwem dopiero raczkuje, ale wśród zainteresowanych zawsze pojawiają się dwie kwestie, które teraz chciałbym poruszyć.
1) Jak EA określa wpływ problemu na bezpieczeństwo?
Powagę problemu określamy, stosując dwie metody. Pierwsza z metod to powszechnie używany system punktacji CVSS. Drugi to 4-stopniowa klasyfikacja skali luk w zabezpieczeniach od krytycznych do małych. Najwyższy stopień w skali zarezerwowany jest dla luk krytycznych, których eksploatacja nie wymaga praktycznie żadnej interakcji ze strony użytkownika. W przypadku luk krytycznych gracz lub jego urządzenie może być narażone na ataki przy użyciu ustawień domyślnych, zaś luka może być wykorzystana przez zdalnego napastnika bez wiedzy użytkownika. Jest to punkt wyjściowy dla pozostałych trzech stopni w klasyfikacji (luk istotnych, średnich i małych), która bierze pod uwagę, jak wiele przeszkód napastnik musiałby pokonać, by wykorzystać daną lukę w zabezpieczeniach. Najprościej mówiąc, im więcej przeszkód stoi na drodze do wykorzystania luki, tym mniejsza jej waga.
2) Jak EA klasyfikuje wagę zgłoszonych problemów?
W przypadku oceny wpływu na bezpieczeństwo odpowiedź jest prosta: wykorzystujemy używany w branży model bezpieczeństwa STRIDE. To model klasyfikacji, który jasno określa wpływ na bezpieczeństwo. Kiedy otrzymujemy zgłoszenie dotyczące potencjalnego problemu, członek zespołu ds. bezpieczeństwa dokonuje oceny problemu. Jeśli problem będzie wymagał dodatkowego zbadania, do pracy zostanie przydzielony inżynier bezpieczeństwa, który postara się rozwiązać problem z pomocą twórców danej technologii wewnątrz EA. W ramach badania problemu określa się poziom wpływu na bezpieczeństwo oraz jego wagę.
Jestem niezwykle podekscytowany tym, w jaki sposób nasza współpraca ze społecznością może pozytywnie wpłynąć na ekosystem gier. Więcej informacji podamy wkrótce.
– A
Adrian Stone