OTTストリーミング・アプリケーションのセキュリティリスクです

元のソース：エッジキャスト

ここ数年、スタジオや放送局はストリーミング・テクノロジーを活用して、新しい消費者向けダイレクト・サービスを構築してきました。これは、視聴者を獲得し、視聴者データから利益を得るための魅力的な機会となりますが、管理する新たなリスクにもなります。悪意のある攻撃者は、この成長を続ける消費者データベースから利益を得るために懸命に働いています。ウェブアプリケーションの脆弱性に関する広範な知識を持つ攻撃者は、ウェブセキュリティの管理にあまり経験のない新しいストリーミングサービスを標的にしています。このテクニカル記事では、これらの新しいWebアプリケーションが攻撃に対して脆弱である理由と、リスクを軽減するために実行できることについて説明します。

概要オーバーザトップ（OTT）攻撃の表面について説明します

An OTTアプリケーションには、その機能を実現するさまざまな要素があります。できるだけ多くの視聴者にリーチするには、Webブラウザー、モバイルデバイス、スマートTV、ストリーミングプレーヤーで視聴できる必要があります。各アプリケーションのバージョン、サポートされるプラットフォーム、およびインフラストラクチャによって、表面積が定義されます。もう1つの方法として、アプリケーションの表面積は、アプリケーションと対話するためのすべての方法です。

アプリケーションの表面積には、攻撃または悪用に対して脆弱な可能性のあるコンポーネントが含まれています。カスタムコード、サードパーティのライブラリ、および統合機能を備えています。これらのコンポーネントに脆弱性が存在する可能性があります。これらのコンポーネントに脆弱性が存在する場合、悪意のある攻撃者がその脆弱性を悪用しようとします。これらの脆弱な領域は攻撃対象となります。セキュリティがほとんどないように設計されたアプリケーションは、攻撃対象となる面が大きくなる可能性があります。対照的に、適切に設計されたアプリケーションでは、攻撃対象領域が小さくなることがあります。残念ながら、攻撃対象となる面は常に存在し、目標は可能な限り小さくすることです。

OTT攻撃の表面は進化しています

実現OTTアプリケーションのセキュリティ保護を強化するには、次のいずれかの理由が考えられます。

• オペレーティングシステムでは、毎月のアップデートが導入されます

• サードパーティのライブラリでは、定期的に変更がリリースされます

• 統合およびストリーミングプレーヤーは、非推奨を通知します

• セキュリティ研究者はほぼ毎日脆弱性を公開しています

これらすべての変更により、開発者はセキュリティをバックバーナーに適用することができます。ただし、セキュリティ修正プログラムに対処できない場合、アプリケーションは脆弱性を悪用される可能性があります。

Malicious Motivationsの一つです

エグソ悪意のある攻撃者は、セキュリティチームも利用できる脆弱性データベースとツールにアクセスできます。ほとんどのアプリケーションはJavaScriptを使用しているため、サイバー攻撃者は最も一般的なフレームワークとパッケージをチェックします。アプリケーションに最新のセキュリティパッチが適用されていない可能性があるため、既知の脆弱性を標的にしています。

サイバー攻撃者は、管理者ポータル、バックドア、残りの情報ファイル(phpinfo.phpなど)、インストールフォルダ、保護されていないページ、開発者環境を探します。 APIエンドポイント、Gitリポジトリ、およびその他のアクセス方法を忘れました。また、サポートシステム（マーケティングWebサイト、コンテンツ管理システム、支払い処理者など）からエントリポイントを見つけようとします。ダークWebにアクセスして、エクスプロイトとログイン資格情報を購入することもできます。適切なセキュリティ対策を講じないと、監視が検出されない場合があります。

OTTストリーミングサービスの脆弱性を特定する方法をご確認ください

多くのセキュリティ対策では、アプリケーションを保護し、攻撃対象領域を減らすことができます。調査結果を検出するだけで、修正するための手動アクションが必要なものもあります。その他の対策は、脅威から保護します。セキュリティ対策には、可能な限り検出機能と保護機能の両方が必要です。

脆弱性管理および評価システムです

これらの脆弱性管理システムは、アプリケーションで検出された脆弱性のリストをコンパイルし、脆弱性評価システムは脆弱性を検出します。評価システムは、アプリケーションリソースをスキャンし、オペレーティングシステム、ソフトウェアアプリケーション、システムおよびネットワークの構成ミスなどに関するセキュリティ上の調査結果を報告します。管理システムは、さまざまな評価システムから結果をインポートします。両方のシステムを使用すると、既知の脆弱性を検出し、上位のリスクを特定して優先順位を提案するレポートを提供することで、攻撃対象となる面を減らすことができます。

ソフトウェア組成分析（SCA）の説明

一部のSCAシステムでは、OTTアプリケーションのサードパーティライブラリ（または依存関係）に脆弱性がないかチェックします。SCAはアプリケーションの依存関係と各依存関係を確認し、脆弱性を解決するために必要なバージョンアップグレードを提案します。場合によっては、アップグレードによって変更が中断され、その場合にSCAから警告が出されることがあります。SCAは、依存関係に既知の脆弱性がある場合に警告することで、攻撃対象を減らします。

「ペネトレーション」テストを参照してください

自動APIテストおよびペネトレーションテストの自動化ツールにより、実行中のアプリケーションに脆弱性が発見されます。これらの自動化ツールは、OTTアプリケーションが認証の破損、クロスサイトスクリプティング、SQLインジェクション、メモリリーク、アプリケーションクラッシュの影響を受けているかどうかを特定できます。 その他にも多数の機能があります。アプリケーションを数分で評価し、継続的な統合（CI）システムと統合できます。自動化されたテストをCIシステムに統合することで、ソフトウェアのリリース前に脆弱性を検出できます。

OTTストリーミング・サービスを保護する方法をご確認ください

説明上記のシステムとベストプラクティスは、セキュリティリスクとバグの特定に役立ちます。開発者は、セキュリティエンジニアやリーダーシップと協力して、セキュリティ更新プログラムに迅速に対処する必要があります。しかし、チームが修正プログラムを迅速に展開できる場合でも、実装の遅延によってアプリケーションが攻撃に対して脆弱になる可能性があります。次の防御機能は、OTTストリーミング・アプリケーションをさらに保護することができます。ストリーミング・アプリケーションのコードベースとは独立して機能するため、開発者がシステムにパッチを適用しながら既知の脅威から保護するためのバッファとして機能できます。また、これらの保護により、セキュリティチームは、常に進化する脅威から防御するために、リアルタイムで対策を展開する柔軟性を高めることができます。

分散型サービス妨害（DDoS）保護システムを提供します

DDoS防御システムは、攻撃を受けたときにアプリケーションを機能させることを目的としています。これらの攻撃は、短時間でWebサイトに要求を大量に送信して、Webサイトを過負荷にします。インフラストラクチャとアプリケーションが受信する要求が多すぎると、応答が停止することがあります。DDoS攻撃が成功すると、アプリケーションが長期間使用できなくなります。DDoS防御システムは、要求と接続を分析することで、攻撃の開始時期を決定します。DDoS攻撃が検出されると、システムは攻撃者からの要求数を減らしたり、停止したりしますが、実際のユーザーはストリーミングを続行できます。

ウェブ・アプリケーション・ファイアウォール（WAF）の構築

参照WAFは、アプリケーション要求を監視および保護します。HTTP要求を分析する一連のルールを使用します。これらのルールでは、IPアドレス、発信国、ヘッダー、ペイロードに基づいてアクセスを許可または制限できます。一部のWAFには静的ルールがあり、他のWAFには動的ルールがあります。動的ルールにより、WAFは新たな脅威から保護できますが、静的ルールでは既知の脅威のみを阻止できます。

ボット管理システムです

クラウドボット管理システムは、重要なAPIサービスなど、OTTアプリケーションインフラストラクチャとやり取りする自動ボットから保護します。ボットは、実際のユーザーのシミュレーション、CAPTCHAの解決、情報の収集、悪意のあるコードの挿入、クレジットカード番号やアカウント資格情報の侵害などを試みることがあります。ボット管理システムは、HTTPリクエストとユーザーエージェントの詳細情報の多数の信号特性を分析して、自動化された脅威がサービスにアクセスしようとしているかどうかを判断します。ボットがインターネットの使用量を多く占めていることを考えると、ボット管理システムを導入することで、OTTアプリケーションを悪質なアクティビティから保護できます。

Makeアプリケーションのセキュリティを優先します

をご利用ください。Verizon MediaのクラウドベースのWebセキュリティソリューションは、ストリーミングサービスを正確かつ迅速に保護します。また、変更管理の影響を予測することで、正当なユーザーに影響を与えることなくルールを確実に更新し、OTTアプリケーションサーバーに到達する前に攻撃者を阻止できます。

Verizon Mediaは最近、さまざまなOTTおよびストリーミングサービスの250人のセキュリティ専門家を対象に調査を行い、ストリーミングアプリケーションのセキュリティリスクにどのように対処するかを尋ねました。Akamaiの新しいセキュリティレポート「ネット攻撃からOTTサービスを保護する」をダウンロードして、ストリーミング・アプリケーションを保護する方法をご確認ください。