Home 技術記事 OTTストリーミングアプリケーションのセキュリティリスク
Applications

OTTストリーミングアプリケーションのセキュリティリスク

About The Author

Outline

過去数年間、スタジオや放送局はストリーミング技術を活用して、消費者向けの新しいサービスを生み出してきました。 これは、視聴者を増やし、視聴者データから利益を得る魅力的な機会を提供しますが、管理する新しいリスクでもあります。 悪意のある攻撃者は、この成長する消費者データベースから利益を得るために懸命に取り組んでいます。 ウェブアプリケーションの脆弱性に関する広範な知識を考慮すると、攻撃者はウェブセキュリティの管理にあまり慣れていない新しいストリーミングサービスを標的にしています。 この技術記事では、これらの新しいWebアプリケーションが攻撃に対して脆弱である理由と、リスクを軽減するために何ができるかについて説明します。

オーバーザトップ(OTT)攻撃対象領域の理解

An OTTアプリケーションには、それを機能させる多くの部分があります。 できるだけ多くの視聴者にリーチするには、Webブラウザ、モバイルデバイス、スマートテレビ、ストリーミングプレーヤーで利用できる必要があります。 各アプリケーションのバージョン、サポートされるプラットフォーム、およびインフラストラクチャによって、表面積が定義されます。 言い換えれば、アプリケーションの表面積は、アプリケーションと対話するすべての方法です。

アプリケーションの表面積には、攻撃やエクスプロイトに対して脆弱なコンポーネントが含まれています。 カスタムコード、サードパーティライブラリ、および統合があります。 これらのコンポーネントのいずれかに脆弱性が存在する可能性があります。 これらのコンポーネントに脆弱性が存在すると、悪意のある攻撃者がその脆弱性を悪用しようとします。 これらの脆弱な領域が攻撃対象となります。 セキュリティがほとんどないように設計されたアプリケーションでは、攻撃対象領域が大きくなる可能性があります。 対照的に、適切に設計されたアプリケーションでは、攻撃対象領域が小さくなる場合があります。 残念ながら、攻撃面は常に存在し、目標はできるだけ小さくすることです。

OTT攻撃対象領域は進化しています

OTTアプリケーションを安全にキープすることは、次のいずれかの理由で移動中の電車のように見える場合があります。

  • オペレーティングシステムは毎月更新を展開します。
  • サードパーティライブラリが定期的に変更をリリース
  • 統合とストリーミングプレーヤーが廃止を発表
  • セキュリティ研究者が脆弱性をほぼ毎日開示

これらすべての変更により、開発者はバックバーナーにセキュリティを設定することを魅力的にする可能性があります。 ただし、セキュリティ修正プログラムに対処できないと、アプリケーションはエクスプロイトに対して脆弱になります。

悪意のある動機

悪意のある攻撃者は、セキュリティチームが利用できる脆弱性データベースとツールにアクセスできます。 ほとんどのアプリケーションがJavaScriptを使用しているため、サイバー攻撃者は最も一般的なフレームワークとパッケージをチェックします。 アプリケーションに最新のセキュリティパッチが適用されていない可能性があるため、既知の脆弱性をターゲットにします。

サイバー攻撃者は、管理ポータル、バックドア、残っている情報ファイル(phpinfo.phpなど)、インストールフォルダ、保護されていないページ、開発者環境、 忘れられたAPIエンドポイント、Gitリポジトリ、およびその他のアクセス方法。 また、サポートシステム(マーケティングWebサイト、コンテンツ管理システム、決済処理システムなど)からのエントリポイントを見つけようとします。 Dark Webにアクセスして、エクスプロイトとログイン認証情報を購入する可能性があります。 適切なセキュリティ対策がなければ、監視は検出されない可能性があります。

OTTストリーミングサービスの脆弱性を特定する方法

多くの セキュリティ対策は 、アプリケーションを保護し、攻撃対象領域を減らすことができます。 それらの中には、発見事項を検出するだけで、それらを修正するために手動のアクションが必要なものもあり その他の対策は脅威から保護します。 セキュリティ対策には、可能な限り検出機能と保護機能の両方が必要です。

脆弱性管理および評価システム

脆弱性管理システムは、検出されたアプリケーションの脆弱性をコンパイルし、脆弱性評価システムは脆弱性を検出します。 評価システムは、アプリケーションリソースをスキャンし、オペレーティングシステム、ソフトウェアアプリケーション、システムおよびネットワークの構成ミスなどに関するセキュリティ上の発見を報告します。 管理システムは、さまざまな評価システムから結果をインポートします。 両方のシステムを使用すると、既知の脆弱性を検出し、上位のリスクを特定して優先順位を提案するレポートを提供することで、攻撃対象領域を削減できます。

ソフトウェア構成分析(SCA)

SCAシステムは、OTTアプリケーションのサードパーティライブラリ(または依存関係)内の脆弱性をチェックします。 SCAは、アプリケーションと各依存関係の依存関係を確認し、脆弱性を解決するために必要なバージョンアップグレードを提案します。 アップグレードによって変更が中断されることがあります。その場合、SCAは警告を発します。 SCAは、依存関係に既知の脆弱性がある場合に警告することで、攻撃対象領域を削減します。

貫通テスト

自動化されたAPIテストおよびペネトレーションテストツールは、実行中のアプリケーションの脆弱性を検出します。 これらの自動化されたツールは、OTTアプリケーションが認証の破綻、クロスサイトスクリプティング、SQLインジェクション、メモリリーク、クラッシュの被害を受けているかどうかを特定できます。 アプリケーションを数分で評価し、継続的インテグレーション(CI)システムと統合できます。 自動テストをCIシステムに統合することで、ソフトウェアリリース前に脆弱性を検出できます。

OTTストリーミングサービスを保護する方法

上記のシステムとベストプラクティスは、セキュリティリスクとバグを特定するのに役立ちます。 開発者は、セキュリティエンジニアやリーダーシップと協力して、セキュリティ更新プログラムに迅速に対応する必要があります。 しかし、チームが迅速に修正プログラムを展開できる場合でも、実装の遅延により、アプリケーションが攻撃に対して脆弱になる可能性があります。 次の防御策は、OTTストリーミングアプリケーションに追加の保護を提供できます。 これらはストリーミングアプリケーションのコードベースとは独立して機能するため、開発者がシステムにパッチを適用しながら既知の脅威から保護するためのバッファとして機能できます。 これらの保護機能により、セキュリティチームはリアルタイムで対策を展開する柔軟性を高め、絶えず進化する脅威から防御できます。

分散型サービス妨害(DDoS)保護システム

DDoS防御システムは、攻撃を受けたときにアプリケーションを機能させ続けることを目的としています。 これらの攻撃は、短期間でウェブサイトにリクエストを殺到させ、ウェブサイトを圧倒します。 インフラストラクチャとアプリケーションが受信する要求が多すぎると、応答を停止することがあります。 DDoS攻撃に成功すると、アプリケーションが長期間使用できなくなります。 DDoS防御システムは、要求と接続を分析して攻撃がいつ開始されるかを判断します。 DDoS攻撃を検出すると、システムは攻撃者からの要求の数を減らしたり、停止したりしようとしますが、実際のユーザーはストリーミングを継続できます。

Webアプリケーションファイアウォール(WAF)

WAFは、アプリケーション要求を監視および保護します。 HTTP要求を分析する一連のルールを使用します。 これらのルールでは、IPアドレス、発信国、ヘッダー、ペイロードに基づいてアクセスを許可または制限できます。 一部のWAFにはスタティックルールがありますが、他のWAFにはダイナミックルールがあります。 動的ルールを使用すると、WAFは新たな脅威から保護できますが、静的ルールでは既知の脅威のみを阻止できます。

ボット管理システム

ボット管理システムは、重要なAPIサービスを含む、OTTアプリケーションインフラストラクチャと対話する自動ボットから保護します。 ボットは、実際のユーザーのシミュレーション、CAPTCHAの解決、情報の収集、悪意のあるコードの挿入、侵害されたクレジットカード番号やアカウント資格情報の試行などを試みる可能性があります。 ボット管理システムは、HTTPリクエストの多数の信号特性とユーザーエージェントの詳細を分析して、自動化された脅威がサービスにアクセスしようとしているかどうかを判断します。 ボットはインターネットの使用量の大部分を占めているため、ボット管理システムはOTTアプリケーションを悪質な活動から保護することができます。

アプリケーションのセキュリティを優先事項にする

EdgioのクラウドベースのWebセキュリティソリューションは、ストリーミングサービスを正確かつ迅速に保護します。 変更管理の影響を予測するため、正当なユーザーに影響を与えることなく、確実にルールを更新し、攻撃者がOTTアプリケーションサーバーに到達する前に阻止できます。

当社のクラウドセキュリティ機能により、さまざまなサイバーセキュリティの脅威からOTTストリーミングアプリケーションを保護する方法について説明します。