网络安全成游戏产业重要价值主张
视频游戏行业最近蓬勃发展,引网络犯罪分子将之视为肥水横流的广阔猎场,而游戏玩家就是一只只毫不设防的待宰肥羊。因此,网络安全已成为业内许多公司的头等业务大事和业绩区分因素。
新冠肺炎疫情期间,新手游平台吸引了一波休闲游戏玩家,游戏公司找到了变现游戏装备和社交体验的赚钱路子。游戏工作室和附属游戏公司希望留住这批用户,并在后疫情时代也保持这种增长势头和盈利能力。
但是,娱乐业竞争如此激烈,不仅有其他游戏,还有流媒体和数字平台瓜分用户,玩家被黑或被骗太多次很容易就琵琶别抱,投身另一平台了。Jonathan Shroyer等游戏行业业内人士表示,游戏公司如果疏于安全,那他们的游戏就不会成功。
Arise Gaing是一家帮助游戏公司提高客户满意度和游戏玩家参与度的咨询公司。作为Arise Gaming首席客户体验创新官,Shroyer表示:“游戏玩家根据信任、可信度和可预见性来选择玩哪家公司的游戏。如果玩家发现存在黑客攻击、欺诈或其他安全事件,就会大幅减少在游戏攻略和花销上的投入。”
Shroyer指出,手游行业里这种现象尤为突出,因为手游是游戏行业里用户粘性最低的。但游戏机、个人电脑(PC)、虚拟现实(VR)和流媒体客户也能感受到网络信任的影响。
玩家、攻击和客户预期三高
着眼长远的游戏公司会看到大笔金钱在向自己招手。普华永道今年早些时候的调研显示,视频游戏行业在2022年会赚到2357亿美元。过去几年里游戏行业出现了巨大亏损,但从2019年到2021年,PC、游戏机和休闲游戏公司营收大幅拉升32%。普华永道预计,从现在到2026年,游戏收入将以8.4%的年复合增长率持续增长。
随着金钱源源不断地流入电子竞技和超休闲游戏等领域,网络攻击也盯上了这块肥肉。网络安全公司阿卡迈最近报告称,去年玩家账户和游戏公司遭受的网络攻击“显著”上升,Web应用攻击增长了167%之多。该公司表示,游戏行业遭到了最为猛烈的分布式拒绝服务(DDoS)攻击:全球37%的DDoS攻击指向游戏行业。紧随其后的垂直行业是金融业,但金融行业遭到的DDoS攻击仅为游戏行业的一半。
账户接管、游戏作弊和诈骗等问题也都更加严重,玩家开始注意哪些公司正在解决这些网络安全问题,而哪些公司对此无动于衷。上周,网络安全公司卡巴斯基发布了一份针对1万名玩家的调研报告。报告显示,70%的常规玩家认为黑客攻击是游戏领域的大问题。大约63%的受访者表示自己的账户不够安全,三分之一的受访者称自身账户在过去两年中被黑过。另有89%的玩家希望游戏开发商更加重视网络安全问题。
这些统计数据解释了为什么网络安全连同创意游戏及沉浸式世界设计一起,正快速成为游戏工作室的用户参与度支柱。深谙游戏世界专业知识的资深网络安全主管Julie Tsai表示,对于游戏世界的安全主管来说,这种局面难免有些棘手,因为玩家对游戏情节设计和游戏环境整体氛围的期望也相当高。
Tsai此前在大型多人在线创作游戏Roblox担任了三年安全主管,目前是一名独立安全顾问。她说道:“用户和社区的期望很高。他们希望一切都很直观,符合游戏精神——有时候也符合所在特定玩家社区的文化精神。他们非常非常热衷这些事情。而对安全人员来说,这意味着你得面对所能想到的最强大的攻击者和对手,因为他们非常有创意,而且往往就是玩家本身。”
游戏行业面临的最大网络威胁
与其他垂直行业一样,游戏公司也得保护自己免受网络安全威胁对自家业务的种种威胁。很多游戏公司都是大型企业,同样关注内部系统、财务平台和雇员端点的安全防护。
托管安全服务提供商Inversion6首席信息安全官Craig Burland解释道:“游戏公司与其他任何企业并没有什么不同,都有责任保护客户隐私和维系股价。虽然不像医院或关键基础设施一样受到特别监管,游戏公司也必须遵守GDPR和CaCPA等法律。此外,游戏公司面临的威胁亦遵循其他经济领域的类似趋势:知识产权盗窃、凭证窃取和勒索软件攻击。”
逃不脱娱乐产业的规律,对游戏公司而言,知识产权问题尤为严重,因为备受期待的新游戏或更新若遭泄露,往好了说会令公司蒙羞,往坏了说可能会直接重击公司财务。美国主要游戏发行商Take-Two Interactive今年9月遭遇的黑客攻击就完全呈现了此类事件的影响:《侠盗猎车手6》公开泄露导致该公司股价下跌2.3%。
除了所有这些典型的企业网络安全问题,更为重要的是在保护游戏平台和玩家生态方面还有其特殊性。游戏平台就是他们的品牌——财务和客户服务引擎全都整合在了一起。而这些正是各种不法行为的热门目标。
游戏公司必须应对的一些常见问题包括:游戏作弊者利用技术优势或漏洞或设计缺陷牟利,垃圾广告发送者找寻各种方法向玩家猛弹乱七八糟的广告链接(比如蛇油产品、色情网站等等),骗子忽悠年轻玩家并骗取钱财。当然,最常见的还是网络诈骗犯日常通过账户盗窃获利。
美国欺诈问题解决方案提供商Arkose Labs首席刑事官Brett Johnson此前直接经营当今暗网市场的前身ShadowCrew,他表示:“你需要明白的是,犯罪分子攻击游戏平台的动机有三个:身份地位、意识形态、金钱。绝大多数攻击,98%以上吧,都是求财。所以犯罪分子都会去找最容易带来最高投资回报率的途径。”
随着游戏公司通过直接购买、主动广告浏览、定期订阅等方式变现游戏内资产,黑帽子黑客投资回报率(ROI)前景光明,为通过游戏平台从事金融欺诈和洗钱提供了无尽的新途径。从游戏网络防御者的角度看,这意味着欺诈和黑客攻击如今不仅仅威胁游戏体验,还引发了更多财务和法律风险。
Shroyer解释道:“任何时候,只要真正的金钱价值与游戏内资产挂钩,你都会看到欺诈和其他不法行为暴增。”
通过凭证填充攻击和社会工程欺诈,攻击者入侵玩家账户并染指游戏内货币和极品装备,给游戏用户和平台造成压力。他们利用第三方市场在平台外将这些游戏内资产出售给想要升级角色或加快游戏进度的其他玩家。这就形成了一种理想的情况,不仅可以保护偷来的游戏内资产,还能清洗网上其他地方盗窃的金钱。
大量此类犯罪行为背后都有机器人程序和刷单水军助推,目的是提升其犯罪活动的盈利能力。
“问题在于,从攻击者的角度出发,手动攻击他人真不怎么划算。大多数游戏账户里的资金还真没高到需要亲自下场操作的程度。所以,攻击者需要找到不用手动登录或接管账户就能扩展攻击的方式。而这个答案就是机器人程序。”
文化外卡
游戏玩家只想从游戏中获得尽可能多的乐趣,而许多针对游戏的犯罪策略也会玩弄玩家的这种心态。这种心态令玩家更容易因为想要抢先了解新功能而落入网络钓鱼的圈套,或者不遗余力从第三方市场购买可以加快进度的游戏内物品。
“玩家几乎不是出于理性或逻辑而立即采取行动——这是一种本能的情绪化行为。他们只是想玩那个游戏。”Johnson说道,“如果我是攻击者,我太容易利用这一优势了,因为他们早就踏进情绪化反应的大门了。”
这凸显出游戏公司在保护其平台和用户方面通常必须采取的重大平衡措施。他们必须为自己的系统设计更好的技术控制措施并维持上佳的网络韧性,同时又不破坏玩家体验,不伤及围绕其品牌和游戏作品建立起来的游戏文化活力。
正如Tsai所暗示的,游戏玩家是激情澎湃,天生是好奇心满满的黑客。其中既包括富有创造力的白帽子黑客,也包括干坏事的黑帽子黑客。
游戏行业一直是脚本小子和网络罪犯新手上路的地方。不过,大多数情况下,这一群体通常由客户构成,他们想要能够开发和共享自己的定制修改器,愿意投入大量时间和金钱到游戏上,从而建立支持成功游戏和工作室品牌的社区。
也就是说,安全主管的很多工作都是从富有创造力的铁杆玩家群体中找出恶意元素。而这需要用户教育与外联、前瞻性设计,以及工程工作。
为玩家提供正确选择
多层防护措施能增加攻击者用自动化机器人程序肆虐游戏平台的成本,简单易行地达到安全防护效果。
“只要安全产品可以增加攻击成本,那犯罪分子驻留该平台的可能性就不太大了。”Johnson表示,“他们会找寻能够轻易获利还不需要投资就能成功实施攻击的其他地方。”
在Shroyer看来,由于开发人员可以使用更多技术措施,调节和管理游戏修改器并遏制作弊,现在游戏行业的处境比以前好上太多。
“游戏公司现在有更多工具可以用来防止这些不法活动。”他说道,“例如需要最新软件更新才可以玩游戏的唯一在线账户、游戏数据中心里增加黑客攻击难度的新技术和安全措施,以及发现不良行为时可以断开联机游戏访问的能力。这些工具并不能根除上述问题,但正如Netflix和Hulu遏制非法电影下载的种种措施,这些工具在游戏领域也起到了类似的效果。”
但是,Tsai表示,设计层面上更重要的是,安全团队和游戏开发商也必须努力打造玩家旅程和体验,使其更能抵御黑客攻击。这并不意味着封禁游戏平台上的所有修改器和其他有益的黑客行为。相反,这表示应该对平台进行更好的威胁建模,锁定高风险区域,并为用户“开发者”提供防护,就像DevSecOps团队为内部开发人员提供防护一样。
“在工程领域,关于以用户为中心有个说法,那就是‘让我来做出正确选择’。”Tsai说道,“所以,在这方面,你需要创建鼓励用户做出正确选择,或者只允许用户做出正确选择的技术。”
这一工作需要付出巨大努力,也需要游戏开发中秉持安全第一的心态,但一定会为游戏公司带来投资回报。
“安全关系到游戏玩家如何看待公司诚信,也关系到社区用户对公司的信任。这些都是长期资产。”Tsai表示,“多年来获得的信任必然会推高商业价值。”
参考阅读
网络安全选退伍军人的六个原因
太空网络空间:“世外”网络安全挑战
网络安全供应商在兜售骗人的万灵药吗?
欧盟网络安全局称地缘政治推动网络攻击