Эдриен Стоун, генеральный директор, отдел безопасности продукции EA
Недавно мы запустили программу уязвимостей в продуктах на сайте Безопасность EA. Мы получили впечатляющие результаты и хотим особо поблагодарить сообщество экспертов по безопасности, которые помогают нам обеспечить безопасность игроков, игр и всей инфраструктуры. Мы будем продолжать работать с исследователями и развивать и улучшать наш подход к обеспечению безопасности в игровой экосистеме.
Почему я пишу вам сейчас?
Мы узнаем много нового, сотрудничая с сообществом экспертов по безопасности, и рассматриваем все полученные отчеты о проблемах. Среди всего прочего мы выяснили, что большое значение имеет общение с глобальным сообществом экспертов по безопасности и с игроками, которые интересуются техническими проблемами безопасности. Поэтому мы решили создать новый инструмент связи — блог "Безопасность в EA". Мы также работаем над добавлением дополнительных каналов связи с пользователями и расскажем о них в блоге, когда эти сервисы заработают.
А теперь реклама! Вы лучше всех, и у нас появились новые вакансии! Отдел безопасности в ЕА обеспечивает безопасность целого ассортимента систем, от безопасности бизнеса, защищая корпоративные системы ЕА от вторжения и вредоносных атак, до обеспечения технической безопасности продуктов, защищая игры и сетевые сервисы ЕА в процессе разработки. Конечно, угрозы со временем становятся все изощреннее, и для этого у нас есть группы по реагированию на инциденты в области корпоративной безопасности и безопасности продуктов, которые устраняют потенциально опасные для компании и наших игроков угрозы.
На заре зарождения нашей программы учета уязвимостей всегда возникало два вопроса, которыми я хочу с вами поделиться.
1) Как ЕА определяет уровень негативного воздействия в области безопасности?
Мы используем два метода для определения степени важности проблемы. Первый: признанная в отрасли балльная система CVSS. Второй: 4-уровневая классификация от критического уровня до низкого. Критический уровень предназначен для проблем, которые возникают без участия или с минимальным участием пользователей. Имея проблему критического уровня, игрок или его устройство будут уязвимы к атакам при использовании конфигурации по умолчанию, и другой пользователь может воспользоваться этой уязвимостью, не имея о ней ни малейшего представления. Затем мы решаем проблемы трех других уровней — важного, среднего и низкого, — для использования уязвимостей в которых мошенникам необходимо преодолеть некоторые преграды. Проще говоря, чем труднее мошеннику использовать уязвимость, тем ниже степень ее важности.
2) Как EA определяет степень важности проблем, полученных от игроков?
С рейтинговой системой негативного воздействия все просто — мы используем признанную в отрасли модель безопасности STRIDE. Это классификация с цифровым значением негативного воздействия уязвимости. Когда мы получаем сообщения о потенциальных уязвимостях, сотрудник отдела безопасности первым делом их сортирует. Если уязвимость требует дополнительного изучения, инженер отдела безопасности работает вместе с владельцами технологии внутри ЕА над решением этой проблемы. В процессе работы уязвимостям присваиваются уровень негативного воздействия и степень важности.
Мне не терпится посмотреть, как игровая экосистема выиграет от такого сотрудничества с сообществом. Следите за новостями.
Эдриен Стоун