在过去的几年中,广播公司和广播公司利用流技术创建了新的直接面向消费者的服务。 虽然这提供了一个吸引人的机会来培养受众并从观众数据中获利,但这也是一个新的风险管理。 恶意攻击者正在努力从不断增长的消费者数据库中获利。 鉴于对Web应用程序漏洞的广泛了解,攻击者正在瞄准在管理Web安全方面经验较少的新流服务。 这篇技术文章探讨了为什么这些新的Web应用程序容易受到攻击,以及可以采取哪些措施来缓解风险。
Understanding Over-the-top (OTT)攻击面
An OTT应用程序具有许多功能。 要接触到尽可能多的观众,需要在Web浏览器,移动设备,智能电视和流媒体播放器上使用它。 每个应用程序版本,支持的平台和基础设施都定义了一个表面积。 换句话说,应用程序的表面积是与应用程序交互的所有方式。
应用程序的表面积中的组件可能容易受到攻击或利用。 它具有自定义代码,第三方库和集成。 这些组件中的任何一个都可能存在漏洞。 当这些组件中存在漏洞时,恶意攻击者将尝试利用该漏洞。 这些脆弱区域是攻击面。 设计的安全性较低的应用程序可能具有较大的攻击面。 相比之下,设计良好的应用程序可能具有较小的攻击面。 遗憾的是,攻击面始终存在,目标是尽可能缩小攻击面。
The OTT攻击面在不断发展
Keeping出于以下任一原因,您的OTT应用程序安全可能看起来像是移动中的列车:
- 操作系统部署每月更新
- 第三方库定期发布更改
- 集成和流媒体播放器宣布弃用
- 安全研究人员几乎每天都会披露漏洞
有了所有这些变化,开发人员很容易把安全性放在次要地位。 但是,如果未能解决安全修补程序,应用程序就容易受到攻击。
Malicious动机
Malicious参与者可以访问漏洞数据库和安全小组也可以使用的工具。 由于大多数应用程序使用JavaScript,网络攻击者会检查最常见的框架和软件包。 它们以已知漏洞为目标,因为应用程序可能没有最新的安全修补程序。
网络攻击者寻找管理门户,后门,剩余信息文件(例如phpinfo.php),安装文件夹,未受保护的页面,开发者环境,被遗忘的API端点,Git存储库以及其他获取访问权限的方式。 他们还尝试从支持系统(例如营销网站,内容管理系统和支付处理器)中找到入口点。 他们可以访问暗网并购买漏洞和登录凭据。 如果没有适当的安全措施,他们的监视可能无法被发现。
How识别OTT流媒体服务中的漏洞
许多安全措施都可以保护应用程序并减少攻击面。 其中有些只能检测到发现结果,需要手动操作来修复它们。 其他措施可防止威胁。 安全措施应尽可能具有探测和保护能力。
脆弱性管理和评估系统
A漏洞管理系统编译应用程序检测到的漏洞,漏洞评估系统检测到漏洞。 评估系统将扫描应用程序资源并报告有关操作系统,软件应用程序,系统和网络配置错误等的安全发现。 管理系统将从各种评估系统导入结果。 使用这两个系统可检测已知漏洞并提供报告以识别最高风险并建议优先级,从而减少攻击面。
Software成分分析(SCA)
SCA系统会检查OTT应用程序的第三方库(或依赖项)中的漏洞。 SCA将审查应用程序和每个依赖项的依赖项,并建议解决漏洞所需的版本升级。 有时升级可能会导致更改中断,在这种情况下SCA将发出警告。 SCA通过在依赖项具有已知漏洞时发出警报来缩小攻击面。
Penetration测试
Automated API测试和渗透测试工具查找正在运行的应用程序中的漏洞。 这些自动化工具可以识别OTT应用程序是否受到身份验证中断,跨站点脚本执行,SQL注入,内存泄漏和崩溃的影响。 他们在几分钟内评估应用程序,并可与持续集成(CI)系统集成。 将自动化测试集成到CI系统中,可以在软件发布之前捕获漏洞。
How保护您的OTT流媒体服务
The上述系统和最佳实践有助于识别安全风险和错误。 开发人员应与安全工程师和领导层合作,迅速解决安全更新问题。 但是,即使团队可以快速部署修复程序,实施延迟仍会使应用程序容易受到攻击。 以下防御措施可为OTT流应用程序提供一些额外保护。 由于它们独立于流应用程序的代码库运行,因此在开发人员修补系统时,它们可以充当缓冲区,以抵御已知威胁。 这些保护还为安全团队提供了更多的灵活性,以便实时部署对策,抵御不断演变的威胁。
Distributed拒绝服务(DDoS)保护系统
DDoS保护系统旨在使应用程序在受到攻击时保持正常运行。 这些攻击会在短时间内用请求淹没您的网站,以压倒网站。 当基础设施和应用程序收到太多请求时,它们可能会停止响应。 成功的DDoS攻击将使应用程序在很长一段时间内不可用。 DDoS保护系统通过分析请求和连接来确定攻击何时开始。 当它检测到DDoS攻击时,系统将尝试减少或停止攻击者的请求数量,同时允许实际用户继续流式传输。
Web应用程序防火墙(WAF)
WAFs监控和保护应用程序请求。 它们使用一组规则来分析HTTP请求。 这些规则可能会根据IP地址,原产国,标头和有效负载来允许或限制访问。 某些WAF具有静态规则,而其他WAF则具有动态规则。 动态规则允许WAF抵御新兴威胁,而静态规则只能阻止已知威胁。
爬虫程序管理系统
Bot管理系统可防止自动爬虫程序与OTT应用程序基础设施(包括关键API服务)交互。 爬虫程序可能会尝试模拟实际用户,解决验证码,收集信息,插入恶意代码,尝试违反信用卡号和帐户凭据等。 爬虫程序管理系统分析HTTP请求的众多信号特征和用户代理详细信息,以确定自动威胁是否试图访问服务。 由于爬虫程序占互联网使用的大部分,爬虫程序管理系统可以保护OTT应用程序免受恶意活动的侵害。
Make应用程序安全是一个优先事项
T Ü V基于云的Web安全解决方案精确,快速地保护您的流媒体服务 Edgio。 它可以预测变更管理的影响,因此您可以充满信心地更新规则,而不会影响合法用户,并在攻击者到达OTT应用程序服务器之前阻止他们。
Learn有关我们的云安全功能如何保护您的OTT流媒体应用程序免受各种网络安全威胁的更多信息。