Adrian Stone, Diretor Sênior de Segurança de Produtos da EA
Recentemente, lançamos o nosso Programa de Denúncia de Vulnerabilidades de Segurança de Produtos no site da Segurança da EA. A jornada até agora foi uma experiência gratificante e uma lição de humildade, e queremos agradecer em especial os pesquisadores na comunidade de segurança que se juntaram a nós para manter nossos jogadores, jogos e infraestrutura em segurança. Trabalhar com pesquisadores continuará a ser nosso princípio central à medida que continuamos a investir e evoluir nossa abordagem para proteger o ecossistema de videogames.
Então por que estou escrevendo isso para vocês agora?
Estamos aprendendo muito com as nossas interações com a comunidade de pesquisa de segurança e investigamos todas as denúncias que recebemos. Algo que aprendemos foi que ter uma forma de nos comunicarmos com a comunidade de segurança em geral e nossos gamers que estão interessados em questões de engenharia de segurança é importante. Como resultado, decidimos criar um novo mecanismo de comunicação: o Blog de Segurança da EA. Também estamos trabalhando em maneiras adicionais de comunicação com clientes e atualizaremos o blog à medida que esses serviços fiquem disponíveis.
Também tenho uma propaganda descarada: vocês são incríveis, e nós temos vagas abertas! Nossas equipes de Segurança na EA cobrem uma vasta gama de áreas de segurança. Desde Segurança Corporativa, protegendo os sistemas contra invasões e ataques de malware, até Engenharia de Segurança de Produtos, que garante que os jogos e serviços online da EA estejam protegidos durante todo o ciclo de vida de desenvolvimento. É claro que ameaças evoluem e mudam com o passar do tempo, e para isso temos equipes de segurança de produtos e corporativa para lidar com ameaças emergentes que afetam a empresa ou nossos jogadores.
No começo do nosso Programa de Denúncia de Vulnerabilidades, há duas perguntas que quase sempre são levantadas, e eu gostaria de compartilhá-las aqui.
1) Como a EA determina o impacto de segurança?
Usamos dois métodos para determinar a gravidade do problema. O primeiro método é o sistema de classificação CVSS, reconhecido pelo setor. O segundo é uma escala de classificação de 4 níveis que vão desde Crítica a Baixa. A classificação mais grave, Crítica, é reservada para problemas que requerem pouca ou nenhuma interação do usuário para que a vulnerabilidade seja explorada com sucesso. Com um problema de gravidade Crítica, um jogador ou seu dispositivo pode estar vulnerável a um ataque usando uma configuração padrão e o problema pode ser explorado por um atacante remoto sem o conhecimento do usuário. A partir daí, trabalhamos com as outras três classificações restantes (Importante, Moderada e Baixa) levando em consideração as barreiras que um atacante teria que superar para explorar a vulnerabilidade. Em termos simples, quanto mais desafios um atacante precisar superar para explorar uma vulnerabilidade, mais baixa a gravidade.
2) Como a EA classifica a gravidade dos problemas denunciados?
Para as classificações de Impacto de Segurança, a resposta é simples: usamos o modelo de segurança STRIDE, reconhecido pelo setor. É um modelo de classificação que enumera explicitamente o impacto de uma vulnerabilidade. Quando recebemos uma denúncia de um potencial problema de segurança, um integrante da equipe de segurança faz uma triagem na primeira etapa do nosso processo de investigações. Se o problema necessitar de investigação adicional, um engenheiro de segurança é designado para trabalhar com proprietários de tecnologia dentro da EA para lidar com o problema. Como parte da investigação, uma classificação de Gravidade e Impacto de Segurança é atribuída.
Estou muito empolgado com o que a parceria com a comunidade pode fazer para beneficiar o ecossistema de jogos em geral. Fiquem ligados para mais.
- A
Adrian Stone