泼天的富贵落在了游戏圈,用事实打脸了男人消费不如狗的谬论。
这几天,无论是游戏圈内人还是圈外人,无人不知晓《黑神话:悟空》。这部头顶「3A国产游戏之光」的作品自6月8日预售以来,全平台销量超过800万份,收入突破4亿美元,8月20日上午十点,《黑神话:悟空》正式对外上线,随即喜提微博热搜第一,同时登顶Steam销量榜付费游戏第一名,在线人数在昨晚更是达到了惊人的241万人次,且还在持续攀升。
(图源黑神话·悟空官方网站)
近年来,游戏出海速度正快速增长,前有米哈游《原神》,今有游戏科学《黑神话·悟空》,游戏出海已成为中国游戏开发者业务增长战略的重中之重,呈现高速增长态势。根据 Business of Apps 数据,预计到 2027 年,中国手游市场收入将突破 396 亿美元,成为全球最高。
但游戏出海不仅象征着着业务全球化拓展,同样也意味着面临更多的数据安全挑战与合规性要求。和大部分热门游戏一样,此次爆火的《黑神话:悟空》也没能逃过泄密事件:
早在发售前夕,疑似由内测玩家泄露,几段几十秒长度的游戏视频在多个互联网平台流传开来,包括此前未公布的剧情信息、游戏场景、角色美术设计。当天下午,《黑神话:悟空》制作人Yocar发布微博,表示希望玩家们不主动接受泄露内容,以保证最完美的游戏体验。
《黑神话:悟空》制作人回应,图源微博@Yocar-冯骥
毫无疑问,游戏行业惯例构建的内测预玩机制,注定是数据泄露的重灾区,而这些“内鬼”往往便是游戏厂商员工或内测玩家!同时这些泄露事件很大程度上会让公司收入受损、甚至破坏游戏体验平衡。
对于游戏行业层出不穷的泄密事件,除了上述中游戏场景、剧情信息等的安全资产需要重视外,出海的游戏厂商还需要特别关注数以万计的玩家身份信息、个人隐私数据、跨境数据合规等数据资产要素。
今天,是时候重新梳理如何对付这一困扰游戏行业的顽疾了!
针对以上的情况,亿格云建议游戏厂商可以从“人、数据、行为”三大维度,结合零信任理念构建「多位一体」的数据安全防护体系。
01 从“人”出发
提到“人”的角度,就不得不与“身份”挂钩,需要清楚两个重点:
哪些人可以访问和获取到敏感数据?
哪些人的终端设备有哪些敏感数据?
以身份为边界,从访问权限的视角来说,基于“零信任安全访问”的理念,划分最小细粒度的访问权限,持续验证身份是否合规,并根据员工的工作职责和层级,“定制化”授予访问权限。这意味着,员工将仅获得完成其工作任务所必需的资源访问权限。
例如:“测试部门的员工不允许查看游戏源代码,而一般程序员仅可修改代码但不能下载,只有少数特定开发人员能被授予下载权限。”
从敏感数据视角来说,需有一个清晰的全局视角了解各部门员工终端的敏感数据分布情况,再作进一步权限调整策略。并在扫描终端敏感数据时嵌入追踪水印,在数据泄露事件发生后可快速定位责任人。
02 从“数据”出发
对于游戏厂商而言,核心数据类型多样,如源代码、角色设计文件、剧情文档、画面图像、配音音频、预告视频等多种类型,根据不同级别数据保护要求,可先进行分类分级。亿格云XDLP引入AWP(自动化理念),对于逻辑复杂、关键词繁多的敏感数据,内置541+敏感词组,支持机器学习、正则表达式、关键字和算法等多种识别方式,来制定对应的识别策略。
同时,其通过七层代理网关以及API接口级别的内部资源访问控制,最小化控制员工获取内部敏感数据的途径,以屏幕明水印、暗水印、文件下载水印、文件追溯水印、打印水印、防拍照水印、外设管控等管控形式,减少员工泄密行为。
03 从“行为”出发
当然,也不乏有“内鬼”会尝试通过多种手段外发敏感数据,例如对数据进行压缩加密、拷贝、变更存储路径或修改文件后缀名等“变形”操作,以此来绕过安全检测。然而这最终都难逃亿格云枢XDLP行为审计的法眼!
亿格云枢XDLP内置15大类通道、144个具体应用类别通道,覆盖钉钉、企微等IM通讯软件、邮箱、网盘、文件传输协议、外设、浏览器、AI工具等。同步支持自定义外发通道监控,包含客户端应用、网页端应用(域名),做到弹窗警告、联动审批、阻断泄密三种管控模式。同时,动态数据流转分析(DDR)能清晰掌握敏感数据传输的整条路径。即使文件有改动,也会打上追踪水印,还原佐证泄密事件!
针对已外发的文件,亿格云枢XDLP可基于对文件的内容理解能力,快速、准确识别并匹配相似文件,从而迅速定位、追溯文件外发事件,不限于截图、照片等形式,同样适用Office文档、PDF、CAD图纸等类型文件。
04 从“合规”出发
为保障游戏厂商出海的数据合规性,亿格云枢XDLP基于结合零信任的SASE安全架构全球分布式海量PoP节点覆盖全球区域,通过一体化管理平台,在全球范围内实施统一的数据安全管控策略,穿透式管理,保持海内外数据安全能力一致。
同时,亿格云枢XDLP根据用户IP属地,将敏感文件存储在本地服务器或合规的云存储环境中,通过敏感数据不回传,本地化处理策略确保满足各地的数据安全法律法规,如GDPR、CCPA、PDPA等,降低数据跨境传输的合规风险。
某游戏厂商数据泄露真实事件:
事情起因
某游戏公司运营团队员工日常在贴吧与吧友互动时发现自家游戏还在设计开发阶段的王炸IP已被泄露至贴吧。后续也陆续收到反馈,竞争对手抢先上线类似IP….
溯源追踪:
事件反馈后,安全团队立刻对情况进行溯源。进行图片相似度检索,在后台行为审计日志中锁定了15条日志涉及到了同类图片。在剔除了内部数据外发事件后,找了对应的“元凶”。
事件还原
经排查发现,公司美术设计师因虚荣心作祟,将内部的设计稿,通过QQ发给一些朋友,结果后续被朋友爆到了贴吧上,被竞争对手抄袭。
正如《黑神话·悟空》制作人所说:踏上取经路,比抵达灵山更重要。国产游戏出海的路依旧很长,安全风险也依旧会相随。但在看不见的世界中,亿格云也始终与所有游戏厂商一起,扩展全球,直面未来,通关数字世界的安全关卡。