《黑神話:悟空》殺瘋了!僅在8月20日正式發(fā)售這天,這款游戲就不斷創(chuàng)造奇跡。
然而,樹高招風(fēng)。在正式上線后,這款游戲就接連爆出各種安全事件。例如,1元可在閑魚購(gòu)買盜版《黑神話:悟空》,游戲賬號(hào)竊取、共享、租借......
這樣的安全事件不僅在上線后,在正式上線前,網(wǎng)絡(luò)上就爆料出諸多關(guān)于《黑神話:悟空》的詐騙廣告。
其目的是通過“限時(shí)測(cè)試版開啟免費(fèi)試玩”的誘餌,引導(dǎo)用戶在Steam激活游戲,點(diǎn)進(jìn)網(wǎng)站之后領(lǐng)取資格就會(huì)讓玩家輸入Steam賬號(hào)密碼,然后盜取玩家賬號(hào)內(nèi)的庫(kù)存物品。
此外,在游戲上線前一周,三段《黑神話:悟空》劇情視頻在網(wǎng)上泄露,引起玩家和業(yè)內(nèi)人士的熱議。
游戲科學(xué)聯(lián)合創(chuàng)始人、《黑神話:悟空》美術(shù)總監(jiān)楊奇發(fā)文談到此次泄露事件,他表示,游戲信息泄露儼然已成行業(yè)難題。
01
游戲行業(yè)身份與數(shù)據(jù)安全事件引深思
除了上述游戲賬號(hào)密碼、數(shù)據(jù)資產(chǎn)的安全隱患外,玩家的身份證賬號(hào)安全、個(gè)人手機(jī)號(hào)碼等隱私數(shù)據(jù)信息安全,賬號(hào)惡意注冊(cè)、刷號(hào)養(yǎng)號(hào)、非法賬號(hào)租售、違規(guī)信息、網(wǎng)絡(luò)暴力等游戲黑灰產(chǎn)問題也備受關(guān)注。
而游戲行業(yè)用戶規(guī)模之大,更是進(jìn)一步加劇了游戲行業(yè)的身份與數(shù)據(jù)安全隱患。
據(jù)日本游戲時(shí)代研究所2022年的一份PC游戲用戶報(bào)告顯示:當(dāng)時(shí)中國(guó)已經(jīng)成為Steam的最大市場(chǎng),年收入約為666.25 億元人民幣,相當(dāng)于每天從國(guó)內(nèi)賺走2億元。到2022年,中國(guó)主機(jī)游戲用戶規(guī)模更達(dá)到了893.54萬人。
這樣龐大規(guī)模的中國(guó)游戲用戶群體,無論是從外部玩家個(gè)人隱私安全保護(hù)的角度,還是游戲企業(yè)自身游戲業(yè)務(wù)經(jīng)營(yíng)、數(shù)據(jù)安全與企業(yè)名譽(yù)保護(hù)的角度來看,保護(hù)身份安全至關(guān)重要。
02
網(wǎng)絡(luò)身份證政策強(qiáng)化身份管理重要性
前段時(shí)間,公安部、國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布的《國(guó)家網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)管理辦法(征求意見稿)》(以下簡(jiǎn)稱《征求意見稿》)再次凸顯了企業(yè)身份安全管理的重要性。
《征求意見稿》指出,鼓勵(lì)互聯(lián)網(wǎng)平臺(tái)按照自愿原則接入公共服務(wù),用以支持用戶使用網(wǎng)號(hào)、網(wǎng)證登記、核驗(yàn)用戶真實(shí)身份信息,依法履行個(gè)人信息保護(hù)和核驗(yàn)用戶真實(shí)身份信息的義務(wù)。
隨著“網(wǎng)絡(luò)身份證”政策的逐步實(shí)施,企業(yè)對(duì)身份管理的需求變得更為緊迫。而游戲行業(yè)作為擁有如此龐大規(guī)模的C端用戶群體,其身份安全管理更是勢(shì)在必行。
03
企業(yè)如何保護(hù)游戲資產(chǎn)與玩家安全
派拉軟件認(rèn)為,游戲行業(yè)企業(yè)可以從全域身份安全治理著手,治理范疇涵蓋企業(yè)內(nèi)部員工身份,供應(yīng)商、經(jīng)銷商等B端身份,C端用戶身份,設(shè)備、API、IOT、機(jī)器人等非自然人身份等。
其中,首先重點(diǎn)針對(duì)內(nèi)部員工身份與外部游戲玩家C端身份進(jìn)行安全治理。
1
提升員工辦公體驗(yàn),保護(hù)企業(yè)游戲資產(chǎn)
針對(duì)企業(yè)內(nèi)部員工,構(gòu)建身份和數(shù)據(jù)雙中心訪問控制安全平臺(tái),通過零信任網(wǎng)關(guān)、Web網(wǎng)關(guān)、API網(wǎng)關(guān)、特權(quán)網(wǎng)關(guān)、數(shù)據(jù)庫(kù)網(wǎng)關(guān)5大網(wǎng)關(guān),把企業(yè)資源的訪問所有權(quán)控制在一個(gè)統(tǒng)一面,即集中在網(wǎng)關(guān)層,實(shí)現(xiàn)各層級(jí)重要數(shù)字資產(chǎn)的安全隔離。
企業(yè)可以在網(wǎng)關(guān)層監(jiān)控所有的流量,基于IAM身份管理平臺(tái),結(jié)合多因素安全、UEBA等智能AI風(fēng)險(xiǎn)識(shí)別與安全監(jiān)控能力,對(duì)員工訪問企業(yè)資源全鏈路過程進(jìn)行靈活動(dòng)態(tài)且細(xì)粒度的安全訪問控制。
也就是說,員工要進(jìn)入企業(yè)數(shù)字世界,首先要確認(rèn)合法的人通過安全認(rèn)證才能進(jìn)入數(shù)字化業(yè)務(wù)系統(tǒng),再根據(jù)人的角色等屬性進(jìn)行授權(quán)以訪問相應(yīng)的業(yè)務(wù)功能,并通過API調(diào)用認(rèn)證訪問各業(yè)務(wù)系統(tǒng),最終對(duì)底層數(shù)據(jù)進(jìn)行查看、修改、刪除等操作。
從員工點(diǎn)擊鏈接進(jìn)入單點(diǎn)登錄門戶的登錄界面,到登錄、認(rèn)證、訪問、操作、權(quán)限變更等全流程行為與軌跡都會(huì)被審計(jì)記錄,確保安全可追溯,從而在提升員工辦公體驗(yàn)和效率的基礎(chǔ)上,強(qiáng)化游戲數(shù)據(jù)資產(chǎn)的安全保護(hù)。
2
賦能企業(yè)游戲運(yùn)營(yíng),保護(hù)玩家隱私安全
針對(duì)游戲玩家身份賬號(hào)安全治理,派拉軟件提出基于OneID建設(shè)理念,建設(shè)統(tǒng)一游戲玩家身份管理中心(CIAM)。
游戲企業(yè)可以將企業(yè)旗下眾多游戲品牌、千萬級(jí)游戲玩家用戶信息進(jìn)行統(tǒng)一合規(guī)管理,打通身份孤島,保證各游戲間用戶身份共享與互通利用。
此外,將企業(yè)旗下多游戲品牌進(jìn)行統(tǒng)一安全認(rèn)證,游戲玩家無需在各游戲產(chǎn)品中重復(fù)認(rèn)證、登錄,大大提升玩家游戲體驗(yàn)。
而玩家從注冊(cè)、認(rèn)證、訪問等行為軌跡全部會(huì)被記錄,構(gòu)建細(xì)粒度的用戶畫像和多維度數(shù)據(jù)分類分析,實(shí)現(xiàn)精準(zhǔn)營(yíng)銷與游戲優(yōu)化,賦能游戲運(yùn)營(yíng)。
當(dāng)然,整個(gè)過程嚴(yán)格對(duì)游戲玩家用戶隱私進(jìn)行保護(hù)。例如,用戶可主動(dòng)同意、拒絕自身敏感數(shù)據(jù)是否被收集,給予用戶刪除自身數(shù)據(jù)、注銷賬號(hào)的權(quán)力,以及明確的隱私條款清晰地告知用戶數(shù)據(jù)收集與使用方式,滿足隱私法規(guī)要求。
同時(shí),結(jié)合派拉軟件智能UEBA用戶行為分析策略、強(qiáng)大的用戶身份安全認(rèn)證(MFA),整合欺詐檢測(cè)和風(fēng)險(xiǎn)監(jiān)控模型,為各大游戲的游戲玩家訪問認(rèn)證構(gòu)筑安全屏障,還可以打擊賬號(hào)惡意注冊(cè)、刷號(hào)養(yǎng)號(hào)、非法賬號(hào)租售等游戲運(yùn)營(yíng)與安全問題。
最后,游戲行業(yè)安全問題除了靠技術(shù)防御之外,最重要的還是“人”。正所謂網(wǎng)絡(luò)安全最薄弱環(huán)節(jié)是“人”。
網(wǎng)絡(luò)攻防的本質(zhì)是人與人的對(duì)抗,人性的漏洞是網(wǎng)絡(luò)空間治理的最大漏洞。身份治理技術(shù)防控的也是人,但更需要的還有企業(yè)、游戲玩家、監(jiān)管部門等多方的共同努力。