Home 技术文章 OTT流媒体应用中的安全风险
Applications

OTT流媒体应用中的安全风险

About The Author

Outline

在过去几年中,工作室和广播公司利用流媒体技术来创建新的直接面向消费者的服务。 虽然这为建立受众和从观众数据中获益提供了一个极具吸引力的机会,但这也是一个需要管理的新风险。 恶意攻击者正在努力从这一不断增长的消费者数据库中获利。 由于对Web应用程序漏洞的广泛了解,攻击者将目标对准在管理Web安全方面经验较少的新流服务。 这篇技术文章探讨了为什么这些新的Web应用程序容易受到攻击,以及可以采取哪些措施来降低风险。

‍Understanding (OTT)攻击面

‍An OTT应用程序具有许多功能。 要吸引尽可能多的观众,需要在Web浏览器,移动设备,智能电视和流媒体播放器上使用它。 每个应用程序版本,支持的平台和基础设施都定义了一个表面积。 换言之,应用程序的表面积是与应用程序交互的所有方式。

应用程序的表面积包含可能容易受到攻击或利用的组件。 它具有自定义代码,第三方库和集成。 这些组件中的任何一个都可能存在漏洞。 当这些组件中存在漏洞时,恶意攻击者将尝试利用该漏洞。 这些脆弱区域是攻击面。 设计的安全性极低的应用程序可能具有较大的攻击面。 相比之下,设计良好的应用程序可能具有较小的攻击面。 不幸的是,攻击面始终存在,目标是尽可能缩小攻击面。

‍The OTT攻击面在不断演变

‍Keeping由于以下任一原因,您的OTT应用程序安全可能看起来像一辆移动列车:

  • 操作系统部署每月更新
  • 第三方库定期发布更改
  • 集成和流媒体播放器宣布弃用
  • 安全研究人员几乎每天都披露漏洞

随着所有这些变化,开发人员可能会倾向于将安全性放在次要地位。 但是,如果无法解决安全修补程序问题,则会使应用程序容易被利用。

‍Malicious动机

‍Malicious行为者可以访问漏洞数据库和安全团队也可以使用的工具。 由于大多数应用程序使用JavaScript,网络攻击者会检查最常见的框架和软件包。 它们针对已知漏洞,因为应用程序可能没有最新的安全修补程序。

网络攻击者查找管理门户,后门,剩余信息文件(例如phpinfo.php),安装文件夹,未受保护的页面,开发人员环境, 忘记API端点,Git存储库和其他获取访问权限的方式。 他们还尝试从支持系统(例如,营销网站,内容管理系统和支付处理程序)中查找入口点。 他们可能会进入暗网并购买漏洞利用和登录凭据。 如果没有适当的安全措施,他们的监视可能无法被发现。

‍How识别OTT流媒体服务中的漏洞

许多 安全措施 可以保护应用程序并减少攻击面。 其中一些只检测到发现结果,需要手动操作来修复。 其他措施可防止威胁。 安全措施应尽可能具有检测和保护能力。

漏洞管理和评估系统

‍A漏洞管理系统编译应用程序检测到的漏洞,漏洞评估系统检测漏洞。 评估系统将扫描应用程序资源并报告有关操作系统,软件应用程序,系统和网络配置错误等的安全发现。 管理系统将导入各种评估系统的结果。 使用这两个系统可通过检测已知漏洞并提供可识别首要风险和建议优先级的报告来减少攻击面。

‍Software成分分析(SCA)

‍SCA系统检查OTT应用程序的第三方库(或依赖项)中的漏洞。 SCA将检查应用程序和每个依赖关系的依赖关系,并建议解决漏洞所需的版本升级。 有时升级可能会导致更改中断,SCA会在这种情况下发出警告。 SCA通过在依赖关系有已知漏洞时发出警报来减少攻击面。

‍Penetration测试

‍Automated API测试和渗透测试工具可查找正在运行的应用程序中的漏洞。 这些自动化工具可以识别OTT应用程序是否受到身份验证中断,跨站点脚本,SQL注入,内存泄漏和崩溃的影响。 他们可以在几分钟内评估应用程序,并可与持续集成的(CI)系统集成。 将自动测试集成到CI系统中可以在软件发布之前发现漏洞。

‍How保护您的OTT流媒体服务

‍The上述系统和最佳实践可以帮助识别安全风险和漏洞。 开发人员应与安全工程师和领导层合作,及时解决安全更新问题。 但是,即使一个小组可以快速部署修复程序,实施延迟仍然会使应用程序容易受到攻击。 以下防御可以为OTT流媒体应用程序提供一些额外的保护。 由于它们的功能独立于流应用程序的代码库,因此它们可以用作缓冲区,以在开发人员修补系统时抵御已知威胁。 这些保护还使安全团队能够更灵活地实时部署对策,以抵御不断演变的威胁。

‍Distributed拒绝服务(DDoS)保护系统

‍DDoS保护系统旨在使应用程序在受到攻击时保持正常运行。 这些攻击在短时间内充斥着您的网站请求,以使其不堪重负。 当基础结构和应用程序接收到太多请求时,它们可能会停止响应。 成功的DDoS攻击将使应用程序长时间不可用。 DDoS保护系统通过分析请求和连接来确定攻击何时开始。 当检测到DDoS攻击时,系统将尝试减少或停止来自攻击者的请求数量,同时允许实际用户继续流式传输。

‍Web应用程序防火墙(WAF)

‍WAFs监视和保护应用程序请求。 它们使用一组分析HTTP请求的规则。 这些规则可能允许或限制基于IP地址,来源国家/地区,标头和负载的访问。 有些WAF有静态规则,而其他WAF有动态规则。 动态规则允许WAF抵御新出现的威胁,而静态规则只能阻止已知威胁。

爬虫程序管理系统

‍Bot管理系统可抵御与OTT应用基础设施(包括关键API服务)交互的自动爬虫程序。 爬虫程序可能会尝试模拟实际用户,解决验证码问题,收集信息,插入恶意代码,尝试违反的信用卡号码和帐户凭据等。 爬虫程序管理系统分析HTTP请求的众多信号特征和用户代理详细信息,以确定自动威胁是否正在尝试访问服务。 由于爬虫程序占互联网使用量的很大一部分,因此爬虫程序管理系统可以保护OTT应用程序免受恶意活动的侵害。

‍Make应用程序安全性是首要任务

M ü ‍Edgio基于云的Web安全解决方案可确保您的流媒体服务的准确性和速度。 它可以预测变更管理的影响,因此您可以自信地更新规则,而不会影响合法用户,并在攻击者到达OTT应用程序服务器之前阻止攻击者。

‍Learn有关我们的云安全功能如何保护您的OTT流媒体应用程序免受各种网络安全威胁的更多信息。