游戏公司如何能够促进网络安全并避免Fortnite的惨败

移动游戏市场是增长最快的行业之一，市场观察人士预测，2018年全球游戏市场收入将超过一半。仅在2018年上半年，移动游戏总数达到195亿游戏通过Google Play和Apple App Stores下载。随着行业的扩大，它正成为黑客的更大目标，特别是当公司不小心披露漏洞时。

Fortnite修复了惨败谷歌最终发现了Fortnite安装程序应用程序中的一个漏洞，该漏洞可能使黑客用中期下载的虚假恶意版本替换合法软件。Epic发布补丁并要求Google等待90天，然后通知用户给他们足够的时间来实施更新。

然而，谷歌遵循自己的指导方针，立即通知用户。通过在Fortnite开发人员有足够时间推出更新之前暴露安全漏洞，黑客有机会利用蓝图，破坏个人数据并添加更多恶意应用程序。

长时间比赛的安全性

根据NowSecure的统计数据，游戏行业是移动应用程序安全排名中最严重的违规者之一。为了解决这个问题，游戏文化往往成为黑客的肥沃土壤。通常情况下，黑客并不认为在该游戏中利用游戏获取优势与预期游戏玩法之间存在严格的界限。随着行业从基于硬件的视频游戏转向带有小额支付的移动应用程序 - 每个游戏都有个人帐户信息，交易和市场 - 现在有数字资产可以让恶意黑客利用更多的财务激励用户。

另一个问题是游戏公司可能更关心数字版权管理，而不是修复个别游戏中的核心漏洞。这通常是因为游戏是由程序员在他们的起居室创建的，后来由大型游戏公司购买。在这些情况下，分布式DevSecOps并不总是一个选项。游戏公司需要弄清楚如何在牛仔程序员中统治并在推出他们的应用程序之前检查一个干净的健康状况。

视频游戏公司应该集中精力做出最好的风险决策，这意味着：

提高游戏安全性的提示

做出最好的决定。这意味着对游戏设计和功能进行彻底的威胁建模; 不断努力发现其应用和基础设施中存在的风险; 并使用参与和性能分析来了解他们受到攻击的方式和时间。

选择知识渊博的人员来收集所收集的信号，分析安全工作的内容以及哪些不能正常工作，并与开发人员合作，创建一个可以随着时间的推移降低风险的流程，而不仅仅是一次发布或短期内。

从游戏开发过程开始就注意安全性。如果您的组织没有开发安全应用程序的特定方法，那么您正在开发不安全的应用程序。DevSecOps方法在整个开发过程中集成了安全性。应该要求设计师，架构师和开发人员在游戏的整体设计，个人功能组件中构建安全性，并在他们的测试程序中构建特定的滥用案例。这可以使公司在接近发布日期时避免恐慌，并且在开发过程的后期尝试增加安全性，因为它可能不那么有效且更耗时，或者更糟糕的是，当它已经在用户手中时，并且为时已晚。

发现漏洞时

首先，合理披露漏洞。

负责任披露的等待时间在90天到180天之间进行辩论。如果供应商未能在最后的慷慨时间内做出回应，那么有一些公众舆论认为，发现者有社会责任提醒公众注意使用产品，应用程序，软件或服务所固有的危险。Finders经常直接向CERT小组或供应商报告，特别是如果有错误赏金计划。为了最大限度地降低用户的风险，供应商应立即采取措施创建必要的补丁，并在为用户准备好解决方案后通知公众。

其次，推动实时更新是可取的。

Epic Games未能通过应用程序推送和通知用户更新的过程并不一定是谷歌的错。许多在游戏商店和应用程序商店之外销售的移动应用程序没有推送实时更新的机制，并且通常会创建一个用于处理错误的发布后流程。当然，这是次要的，因为它使用户容易受到漏洞的攻击。在可能的情况下，推送实时更新以使用户更容易并确保安装补丁。如果无法推送更新，请准备好对您将不再支持或允许连接到后端的客户端应用程序的哪些版本进行艰难选择，以便向未更新的用户施加压力。

游戏行业领导者和游戏开发者有机会和责任创建更安全的游戏，以保护用户并继续推动行业发展。幸运的是，新的方法，技术和工具可以帮助建立游戏安全性并防止黑客造成伤害。

Zach Jones是一名前高尔夫专业人士，现在是WhiteHat Security威胁研究中心的一员。

最近，Epic独立发布了Android版Fornite，而非通过Google Play商店发布 - 因此避免Google收到任何应用内收入。然而，这种缺点使Android用户面临更大的安全风险。