EA Play FIFA 23 F1® 22 Madden NFL 23 Apex Legends Battlefield™ 2042 De Sims 4 Electronic Arts Home Electronics Arts Home Nieuwste games Binnenkort verwacht Free To Play EA SPORTS EA Originals Gamesbibliotheek EA app-aanbiedingen PC PlayStation Xbox Nintendo Switch Mobiel Pogo De EA app EA Play Playtesting Bedrijf Vacatures Nieuws Technologie EA Studios EA Partners Onze toezeggingen Positive Play Mensen en inclusieve cultuur Sociale impact Milieu Help Forums van de EA-community Tools voor spelers en ouderlijk toezicht Toegankelijkheid Pers Investeerders Nieuwste games Binnenkort verwacht Free To Play EA SPORTS EA Originals Gamesbibliotheek EA app-aanbiedingen PC PlayStation Xbox Nintendo Switch Mobiel Pogo De EA app EA Play Playtesting Bedrijf Vacatures Nieuws Technologie EA Studios EA Partners Onze toezeggingen Positive Play Mensen en inclusieve cultuur Sociale impact Milieu Help Forums van de EA-community Tools voor spelers en ouderlijk toezicht Toegankelijkheid Pers Investeerders

EA Security

 EA Security Een probleem melden Nieuws Adviezen Eregalerij

Hallo, wereld!
Door Adrian Stone, Sr. Director, EA Product Security, 23 september 2019

Recentelijk hebben we ons Product Security Vulnerability Reporting Program gelanceerd op de website van EA Security. De reis tot nu toe was ongelooflijk lonend. Dat stemt ons nederig, en we willen vooral de onderzoekers in de beveiligingscommunity bedanken die met ons hebben samengewerkt om onze spelers, games en infrastructuur veilig te houden. Samenwerking met onderzoekers zal centraal blijven staan, omdat we blijven investeren en onze aanpak blijven ontwikkelen om het ecosysteem voor games veilig te stellen.

Waarom schrijf ik dit aan jullie? 

We leren veel via onze interacties met de community voor beveiligingsonderzoek en bekijken elke melding die we ontvangen. Een van de dingen die we hebben geleerd, is dat het belangrijk is om te communiceren met de grotere beveiligingscommunity en onze gamers die geïnteresseerd zijn in technische beveiligingsproblemen. Daarom hebben we besloten om een nieuw communicatiemechanisme te creëren: het EA Security Blog. We werken tevens aan extra manieren om met klanten te communiceren, en zullen het blog bijwerken zodra deze diensten beschikbaar worden gesteld.

Ik wil ook even schaamteloos reclame maken: jullie zijn geweldig, en we hebben vacacures!  Onze beveiligingsteams bij EA houden zich bezig met diverse beveiligingsgebieden, variërend van Enterprise Security (dat de bedrijfssystemen van EA beschermt tegen kwaadaardige aanvallen en inbraken) tot Product Security Engineering (dat ervoor zorgt dat de games en online diensten van EA tijdens de levenscyclus van de ontwikkeling beveiligd blijven). Natuurlijk evolueren en veranderen bedreigingen in de loop der tijd, en daarom beschikken we over responsteams voor zowel bedrijfs- als productbeveiliging om nieuwe bedreigingen af te handelen die invloed hebben op het bedrijf of onze spelers.

Nu ons Vulnerability Reporting Program net is begonnen, zijn er twee vragen die bijna altijd worden gesteld, en die wil ik hier graag delen.  

1) Hoe bepaalt EA de impact op de beveiliging?

We gebruiken twee methoden om de ernst van het probleem te bepalen. De eerste methode is het toonaangevende CVSS-scoresysteem. De tweede methode is een classificatie met 4 niveaus, lopend van Critical tot Low. De hoogste score Critical is gereserveerd voor problemen die weinig of geen interactie van de gebruiker vereisen om misbruik te maken van de kwetsbaarheid. Bij een Critical probleem kan een speler of zijn apparatuur kwetsbaar zijn voor aanvallen met een standaardconfiguratie, en kan het probleem buiten zijn weten om worden veroorzaakt door een externe aanvaller. Vanaf dat punt werken we ons door de resterende drie classificaties (Important, Moderate, Low) heen, waarbij we rekening houden met de belemmeringen die een aanvaller zou moeten overwinnen om te kunnen profiteren van de kwetsbaarheid. Eenvoudig gesteld: hoe meer uitdagingen een aanvaller moet overwinnen om misbruik te maken van de kwetsbaarheid, hoe minder ernstig het probleem.

2) Hoe classificeert EA de ernst van de gemelde problemen?

Voor Security Impact-scores is het antwoord eenvoudig: we gebruiken het toonaangevende STRIDE-beveiligingsmodel. Dat is een classificatiemodel dat de impact van kwetsbaarheden duidelijk opsomt. Als we een melding ontvangen over een potentieel beveiligingsprobleem, gaat een lid van het beveiligingsteam aan de slag om de eerste stap in ons onderzoeksproces te zetten. Als het probleem voldoet aan de eisen voor extra onderzoek, wordt er een beveiligingstechnicus aangesteld die samen met de technische verantwoordelijken binnen EA het probleem aan de orde stelt. Als onderdeel van het onderzoek worden er een Security Impact en Severity toegewezen.

Ik ben ongelooflijk benieuwd naar wat de samenwerking met de community gaat doen voor het algemene ecosysteem voor games. Houd het nieuws in de gaten voor meer.

- A

Adrian Stone