EA产品安全部门高级主管Adrian Stone
近期,我们在 EA安全网站上发布了漏洞产品安全漏洞报告程序。目前为止的旅程我们获得了难以置信的收获和获益良多,我们尤其感谢那些在安全社区的研究者们,多亏了他们,才能时刻保持我们的玩家、游戏以及基础设施的安全。因为我们打算继续投资并发展我们的方式来维护游戏生态系统的安全,因此与这些研究人员合作将会继续成为我们的中心主旨。
可是我为什么现在才公布呢?
通过与安全研究社区的接触我们也在进行多方面的学习,以及对每一份我们获得的报告进行调查。我们了解到的一件非常重要的事情是,需要有一种方式与大型安全社区以及对安全工程问题感兴趣的游戏玩家进行交流。因此,我们决定创建一个新的沟通机制——EA安全部门博客。同时,我们也正在努力创建其他方式与客户进行沟通,并且在这些服务可用时我们会更新在博客里。
我还有一个“无耻”的请求:诸位是如此出色,同时我们也在 招贤纳士! 我们EA安全部门团队主要负责使EA的公司系统免受恶意软件攻击和入侵以及产品安全工程的各种安全领域的企业安全保护,这样可确保EA的游戏和在线服务在整个开发生命周期中得到很好的保护。当然,威胁会随着时间变化和发展,为此,我们设有公司和产品安全反应团队,以应对影响公司或参与者的新兴威胁。
在我们的漏洞报告工程的初期,有两个问题几乎是总会被问及的,在此我想与大家分享。
1)EA如何确定安全影响?
我们会使用两种方式来确定问题的严重程度。第一种方式是业界认可的CVSS评分系统。而第二种方式是从严重到低的4层等级范围的分类法。最为严重的评级为“严重”,是一种几乎不需要或完全不需要与用户互动即可成功运行此漏洞的问题情况。对了严重等级的情况,使用默认配置的玩家或者他们的设备可能会容易受到攻击,并在不知道的情况下,该问题有可能会受到远程攻击者的操控并发挥作用。在此基础上,我们考虑了攻击者为利用此漏洞而必须克服的障碍,对其余三个类别(重要、中等、低)进行了研究。用最简单的术语来说就是,攻击者利用该漏洞必须克服的挑战越多,严重性就越低。
2)EA如何划分问题的严重性?
对于安全影响评级的答案很简单:我们使用业界认可的STRIDE安全模型。这是一种分类的模型,能够清晰地列举漏洞的影响。当我们收到有关潜在安全问题的报告时,安全部门团队成员会将其进行分类,这是我们调查过程的第一步。如果该问题符合进一步调查的标准,则将指派一名安全工程师与EA所属的技术所有者合作解决该问题。作为调查的一部分,被委任于安全影响和严重程度。
我非常期待与社区的合作能够给我们总体的游戏生态系统带来怎样的利益。请敬请期待。
-
Adrian Stone