職場のセキュリティ管理者の1人に話して、彼はSteamはよく理解されたセキュリティリスクであり、それを職場のマシンにインストールすべきではないと主張しました。
私が理解している作業に関連していないと言いますが、それをインストールしたことによる真のセキュリティ脅威はありますか(そして、広義の場合は何ですか)、またはこれは、許可したくないものを許可しないという架空の理由を提供しているのですか?
(私が言っているように、私は彼らが何をインストールすべきか、何をインストールすべきでないかを言う彼らの権利に異議を唱えているのではなく、理由を理解しようとしているだけです)。
私の知る限りでは、Steamには2つの深刻なパブリック脆弱性しかありません。
Steam://
リンクどちらも最新のものではありません。本当のリスクは見えません。ただし、Steamは完全に不要なので、回避できる可能性のある小さなリスクです。
おそらく、彼は、Steamをインストールすることが仕事で適切であるとは考えていないので、あわただしくしていますが、悪者になりたくはありません。
Steamは処理する必要があります他のアプリケーションと同じようにビジネスコンピューターにインストールします。ジョブを正しく実行するために必要かどうかを自問してください。
コンピュータにインストールされているソフトウェアが多いほど、攻撃される可能性のある領域が増える可能性があります。
Steamには現在脆弱性がない可能性がありますが、誤って脆弱性のあるアップデートをリリースする可能性があります。
-day Steamにはまだ公開されていない脆弱性があるかもしれません。
ハッカーがSteamコードに侵入し、すべてにバックドアを許可する変更を行うことができる 更新しました Steamクライアント。
これを考慮して、 ない Steamをインストールすると、これらの脆弱性を防ぐことができます。
さらに、優れたシステム管理者は、サーバーやワークステーションから不要なプログラムやサービスを削除します。
思考プロセスを経る:
もちろん、ソフトウェアを開発する場合、またはSteamを使用するソフトウェアを開発する場合は、おそらくそれが必要です。
Steamは、ゲームの使用状況、時間、その他のゲーム特性を記録します。さらに、Steamは構成の詳細とインストールされているすべてのアプリケーションを報告します。したがって、構成またはインストールされたアプリケーションが会社の重要な戦略の鍵である場合、Steamはそれ自体がスパイウェアと見なすことができます。
ストリーム自体はリスクのある場合とない場合がありますが、他のプログラム(ゲーム)をインストールすることを忘れないでください。これらのプログラムにはセキュリティの脆弱性が存在する可能性が非常に高くなります。
アプリケーションをインストールするときはいつでも、そのボックスの攻撃面を増やします。これは、アンチウイルスの場合にも当てはまります。明らかにこれが絶対に必要な場合があり、適切なリスク分析を実行して、アプリケーションが環境の標準になるかどうかを判断する必要があります。
一方、私たちのセキュリティ専門家は、FUD(恐怖、不確実性、疑い)を広めるという嫌な癖があります。つまり、根本原因に検証を適用せずに、ポリシー、ルール、または決定を下します。
もちろん。
Steamに脆弱性があることは間違いありません。主にセキュリティに重点を置いているにもかかわらず、主流のOS開発者がそれを行うことができなかったのに、ゲーム開発者が魔法のように安全なC/C++コードを書くことができると思いますか?
私はかつてCrysisのチートを作っていましたが、誤って フォーマット文字列の脆弱性 に遭遇しました。これは非常に高い評価を受けたゲームでしたが、試さなくても脆弱性が見つかりました。同じ頃、 Luigi Auriemma は、Call of Duty 4、Halo、Quake 3などのトップタイトルや、Ventrilioなどのさまざまなゲームツールに脆弱性を発見していました。彼は、これらすべての製品に何もないような多くの脆弱性を発見しました。もっとたくさんあるに違いない。
したがって、ゲームやSteamなどの関連製品には多くの脆弱性があり、Steam開発者やSteam経由で製品を販売している人がマルウェアを配布することを選択できることは言うまでもありません。
Steamやビデオゲームの0daysが一般的に公開されることはまだまれです。そのため、価値のあるターゲットでない限り、おそらくこの方法で悪用されることはありません。
Steamは職場でのセキュリティ問題です。他のプログラムと同様に、脆弱性が存在します。また、脆弱性を持つ他のプログラムをインストールできます。 SOはい、Windowsと同じように、IEおよびOfficeにはセキュリティ上の問題があります。また、設定で、コンピュータに関する情報をSteamサーバーに送り返すことができます。 (これはデフォルトでオンになっている可能性があります)Windowsや他の多くのように(Firefoxはこれを行うことができますChromeおよび他の多くの場合。)
したがって、あなたの会社はリスクを冒したくないと言っています。
仕事でゲームをすることに関しては、オフィス、ビリヤード台、テニスコートにビデオゲーム機を置いている会社があり、彼らはユーザーにビデオゲームをさせています。どうして?なぜなら、彼らのオフィスワーカーは、幸せで満足度と士気が高いときに生産性が高くなるため、特典と呼ばれるものを彼らに与えるからです。それらのいくつかは、無料の食事、ヘルスケア、無料の駐車場、楽しい雰囲気、ゲームなどです。