作者:PubNub建筑师Jay Oster
在“神奇宝贝GO”,“超级马里奥奔跑”和“皇家大逃亡”等大获成功的推动下,移动游戏在2016年实现了惊人的增长。移动行业产生了约410亿美元的收入,仅略低于游戏市场91美元的一半。过去一年的收入达数十亿美元。
这个市场利润丰厚的扩张对开发人员而言是令人振奋的消息,但同时也将游戏应用程序变成了黑客的主要目标。 网络犯罪分子利用了在苹果设备上围绕“超级马里奥奔跑”的嗡嗡声,并发布了针对包含恶意软件的Android操作系统的假版游戏。 在此之前的几个月,黑客通过分布式拒绝服务(DDoS)攻击关闭了“PokémonGO”服务器。
DDoS攻击使玩家无法使用游戏应用程序,在用户中产生挫败感,同时直接损失了开发人员的收入。 它们很容易演变成勒索软件式的攻击,在这种攻击中,黑客将服务扣为人质,直到开发人员支付高额费用。 联邦调查局(FBI)估计,2016年人们支付了大约10亿美元的勒索软件,远远超过了2015年支付的2400万美元。
游戏结束
科技行业已经制定了有效地偏转和防御DDoS和勒索软件攻击的策略,但是安全并不是每个游戏开发人员的主要重点。 大多数小型工作室缺乏将安全性和连续性作为主要重点所必需的技术资源和内部人员。
DDoS部署最普遍的缓解策略是拥有足够的服务器端计算能力和带宽来消耗流量。 考虑到僵尸网络的规模与10月下旬攻击Dyn的僵尸网络的规模相同,生产规模的服务器集群不太可能能够跟上僵局-此时DDoS会成功。
通过依靠完善的缓解策略,游戏开发人员无需增加新功能的大量投资即可增加其威胁防护。 实施负载平衡以及专用的数据包筛选器和服务质量规则可以对清除恶意机器人起到很大作用。 更具体地说,依靠诸如请求验证,威胁隔离和高级过滤协议之类的技术的数据流网络在保护访问方面大有帮助。
建立针对DDoS的堡垒是最紧迫的任务,但这只是开发人员必须采取的加强其创作安全性的第一步。 特定的技术和功能很重要,尽管扩展的响应式安全策略甚至更重要。
上电
开发人员必须承认他们面临的威胁的范围,并采用数据安全文化。 开发幻想的角色和令人兴奋的游戏体验仍然是重中之重,但是如果游戏没有被厚厚的安全措施所隔离,那么它们很可能会让人失望而不是高兴。
任何数据安全策略的细节都将取决于实施该策略的人员以及可支配的预算和资源类型。 威胁形势正在迅速发展,这意味着任何计划都必须具有足够的灵活性以适应即时变化。 考虑到这一点,所有开发人员在计划和实施安全策略时应重点关注以下几个优先事项:
留意弱点
一旦消除了DDoS攻击的威胁,开发人员便可以将重点转移到物理保护和应用程序层安全上。 诸如现代密码和大密钥量之类的措施可确保只有那些绝对需要访问数据的人员才具有这种能力。 诸如快速服务请求,简化的代码和较小的数据包之类的常规优化可以极大地保护应用程序层。
支撑一切
保护核心游戏体验很重要,但这并不是攻击者可能瞄准的唯一对象。 他们还将集结力量,针对计费服务,电子邮件和论坛等通信系统,以及通过第三方服务(例如社交媒体)建立的帐户。 所有这些都可能成为易受攻击的攻击媒介:使用正确的攻击类型,甚至可以通过最channels回的渠道来破坏游戏应用程序。
不要自满
不少公司通过第三方服务将安全措施外包,但是了解这些公司提供的安全保证并采取积极措施以确保信息安全至关重要。 严格的访问控制可以帮助消除内部产生的意外和故意威胁。 例如,您公司中只有两个或三个人需要访问您的Twitter帐户; 密码应锁定在安全的凭据管理系统中,并且不容易记住。
在工程方面,请尝试使用新的编程语言,例如Mozilla Rust和Google Go,以保护您的游戏和服务免受攻击者经常利用的不确定行为的影响,包括缓冲区溢出和双重释放。 两种语言都提供大致等效的性能和功能,以帮助弥补软件安全漏洞。
对于游戏开发者而言,采取铁定的安全措施将不会很快,容易或廉价,但必须考虑到黑客将您的创作扣为人质的潜在后果。 这些攻击的频率和严重性几乎每月都会增加,并且越来越关注游戏领域。 现在是时候采取措施防止黑客窃取您最有价值的商品了。
