Adrian Stone, Sr. Director, EA Product Security
Vi lanserade nyss vårt rapporteringsprogram för produktsårbarhet (Product Security Vulnerability Reporting Program) på EA Securitys webbplats. Det har hittills varit oerhört givande och lärorikt och vi vill i synnerhet tacka forskarna i säkerhetscommunityn som har anslutit sig till oss för att hålla våra spelare, spel och vår infrastruktur säkra. Arbetet med forskare fortsätter att vara en central grundsats när vi investerar i och utvecklar vår strategi för att säkerställa vårt ekosystemet för spel.
Så varför skriver jag till er nu?
Vi lär oss mycket genom vårt samspel med säkerhetsforskningscommunityn och går igenom varje rapport som vi får. En av de saker som vi har lärt oss är vikten av att ha ett sätt att kommunicera med säkerhetscommunityn i stort och med våra spelare som är intresserade av säkerhetstekniska frågor. Därför har vi beslutat att skapa en communitymekanism, EA Security-bloggen. Vi arbetar på ytterligare sätt att kommunicera med våra kunder och vi kommer att uppdatera bloggen när dessa tjänster blir tillgängliga.
Jag vill också göra reklam för en annan sak: Ni är verkligen fantastiska och vi söker nytt folk! På EA täcker säkerhetsteamen in en mängd säkerhetsområden från Enterprise Security (som skyddar EA:s företagssystem från skadlig programvara och intrång) till Product Security Engineering (som ser till så att EA:s spel och onlinetjänster är säkra under hela utvecklingscykeln). Naturligtvis utvecklas och förändras hoten över tiden och därför har vi både företags- och produktsäkerhetsansvariga team för att hantera uppkommande hot som påverkar företaget eller våra spelare.
I början av vårt sårbarhetsrapporteringsprogram har det uppstått två återkommande frågor.
1) Hur avgör EA säkerhetspåverkan?
Vi använder två metoder för att avgöra allvarsgraden på ett hot. Den första metoden är branscherkända CVSS-graderingssystemet. Den andra är en fyrgradig klassificering från Kritisk till Låg. Den allvarligaste graden, Kritisk, gäller fall som kräver lite eller ingen användarinteraktion för att sårbarheten ska kunna utnyttjas. Vid en kritisk allvarlighetsgrad kan spelare eller deras utrustning vara sårbar för angrepp med en standardkonfiguration och hotet kan utnyttjas av en angripare utan deras kännedom. Därifrån arbetar vi igenom de återstående tre klassifikationerna (Viktigt, Mellan, Låg) med hänsyn till de hinder som angriparen måste övervinna för att utnyttja sårbarheten. I sin enklaste form gäller att ju fler utmaningar en angripare måste övervinna för att utnyttja sårbarheten, desto lägre allvarlighetsgrad.
2) Hur klassificerar EA allvarsgraden för hot som rapporteras?
För säkerhetspåverkansgrader är svaret enkelt: Vi använder den branscherkända säkerhetsmodellen STRIDE. Det är en klassificeringsmodell som sätter tydliga siffror på sårbarhetens påverkan. När vi får en rapport om ett potentiellt säkerhetshot prövar en medlem av säkerhetsteamet hotet som ett första steg i vår utredningsprocess. Om hotet uppfyller kraven för ytterligare utredning tilldelas en säkerhetsingenjör att arbeta med teknikägare inom EA för att hantera problemet. Som en del av utredningen tilldelas hotet en säkerhetspåverkan och allvarlighetsgrad.
Jag är otroligt spänd på vad samarbetet med communityn kan göra för att gynna det övergripande spelekosystemet. Håll utkik efter mer.
- A
Adrian Stone