游戲公司如何能夠促進網絡安全并避免Fortnite的慘敗

移動游戲市場是增長最快的行業之一，市場觀察人士預測，2018年全球游戲市場收入將超過一半。僅在2018年上半年，移動游戲總數達到195億游戲通過Google Play和Apple App Stores下載。隨著行業的擴大，它正成為黑客的更大目標，特別是當公司不小心披露漏洞時。

Fortnite修復了慘敗谷歌最終發現了Fortnite安裝程序應用程序中的一個漏洞，該漏洞可能使黑客用中期下載的虛假惡意版本替換合法軟件。Epic發布補丁并要求Google等待90天，然后通知用戶給他們足夠的時間來實施更新。

然而，谷歌遵循自己的指導方針，立即通知用戶。通過在Fortnite開發人員有足夠時間推出更新之前暴露安全漏洞，黑客有機會利用藍圖，破壞個人數據并添加更多惡意應用程序。

長時間比賽的安全性

根據NowSecure的統計數據，游戲行業是移動應用程序安全排名中最嚴重的違規者之一。為了解決這個問題，游戲文化往往成為黑客的肥沃土壤。通常情況下，黑客并不認為在該游戲中利用游戲獲取優勢與預期游戲玩法之間存在嚴格的界限。隨著行業從基于硬件的視頻游戲轉向帶有小額支付的移動應用程序 - 每個游戲都有個人帳戶信息，交易和市場 - 現在有數字資產可以讓惡意黑客利用更多的財務激勵用戶。

另一個問題是游戲公司可能更關心數字版權管理，而不是修復個別游戲中的核心漏洞。這通常是因為游戲是由程序員在他們的起居室創建的，后來由大型游戲公司購買。在這些情況下，分布式DevSecOps并不總是一個選項。游戲公司需要弄清楚如何在牛仔程序員中統治并在推出他們的應用程序之前檢查一個干凈的健康狀況。

視頻游戲公司應該集中精力做出最好的風險決策，這意味著：

提高游戲安全性的提示

做出最好的決定。這意味著對游戲設計和功能進行徹底的威脅建模; 不斷努力發現其應用和基礎設施中存在的風險; 并使用參與和性能分析來了解他們受到攻擊的方式和時間。

選擇知識淵博的人員來收集所收集的信號，分析安全工作的內容以及哪些不能正常工作，并與開發人員合作，創建一個可以隨著時間的推移降低風險的流程，而不僅僅是一次發布或短期內。

從游戲開發過程開始就注意安全性。如果您的組織沒有開發安全應用程序的特定方法，那么您正在開發不安全的應用程序。DevSecOps方法在整個開發過程中集成了安全性。應該要求設計師，架構師和開發人員在游戲的整體設計，個人功能組件中構建安全性，并在他們的測試程序中構建特定的濫用案例。這可以使公司在接近發布日期時避免恐慌，并且在開發過程的后期嘗試增加安全性，因為它可能不那么有效且更耗時，或者更糟糕的是，當它已經在用戶手中時，并且為時已晚。

發現漏洞時

首先，合理披露漏洞。

負責任披露的等待時間在90天到180天之間進行辯論。如果供應商未能在最后的慷慨時間內做出回應，那么有一些公眾輿論認為，發現者有社會責任提醒公眾注意使用產品，應用程序，軟件或服務所固有的危險。Finders經常直接向CERT小組或供應商報告，特別是如果有錯誤賞金計劃。為了最大限度地降低用戶的風險，供應商應立即采取措施創建必要的補丁，并在為用戶準備好解決方案后通知公眾。

其次，推動實時更新是可取的。

Epic Games未能通過應用程序推送和通知用戶更新的過程并不一定是谷歌的錯。許多在游戲商店和應用程序商店之外銷售的移動應用程序沒有推送實時更新的機制，并且通常會創建一個用于處理錯誤的發布后流程。當然，這是次要的，因為它使用戶容易受到漏洞的攻擊。在可能的情況下，推送實時更新以使用戶更容易并確保安裝補丁。如果無法推送更新，請準備好對您將不再支持或允許連接到后端的客戶端應用程序的哪些版本進行艱難選擇，以便向未更新的用戶施加壓力。

游戲行業領導者和游戲開發者有機會和責任創建更安全的游戲，以保護用戶并繼續推動行業發展。幸運的是，新的方法，技術和工具可以幫助建立游戲安全性并防止黑客造成傷害。

Zach Jones是一名前高爾夫專業人士，現在是WhiteHat Security威脅研究中心的一員。

最近，Epic獨立發布了Android版Fornite，而非通過Google Play商店發布 - 因此避免Google收到任何應用內收入。然而，這種缺點使Android用戶面臨更大的安全風險。