Home 技術文章 OTT流應用程式中的安全風險
Applications

OTT流應用程式中的安全風險

About The Author

Outline

在過去幾年中,工作室和廣播公司利用流媒體技術創造了新的直接對消費者服務。 雖然這爲建立觀衆和從觀衆數據中獲利提供了一個極具吸引力的機會,但這也是一個新的風險管理。 惡意攻擊者正在努力從這個不斷增長的消費者數據庫中獲利。 鑑於對Web應用程式漏洞的廣泛瞭解,攻擊者正在瞄準在管理Web安全方面經驗較少的新流媒體服務。 這篇技術文章探討了這些新的Web應用程式爲何容易受到攻擊,以及可以採取哪些措施來降低風險。

‍Understanding頂部(OTT)攻擊面

‍An OTT應用程式有很多部分使其功能正常。 要接觸儘可能多的觀衆,需要在網頁瀏覽器,移動設備,智能電視和流媒體播放器上提供此功能。 每個應用程式版本,支援的平臺和基礎架構都定義了表面積。 換句話說,應用程式的表面積是與應用程式交互的所有方式。

應用程式的表面積有可能容易受到攻擊或利用的組件。 它具有自定義代碼,第三方庫和集成。 這些組件中的任何組件都可能存在漏洞。 當這些組件中存在漏洞時,惡意攻擊者將嘗試利用它。 這些易受傷害的地區是攻擊面。 安全性較低的應用程式可能具有較大的攻擊面。 相反,設計完善的應用程式可能具有較小的攻擊面。 不幸的是,攻擊面總是存在,目標是儘可能地保持它的小。

‍The OTT攻擊面正在不斷髮展

‍Keeping您的OTT應用程式安全性可能看起來像移動火車,原因如下:

  • 操作系統每月部署更新
  • 第三方庫定期發佈更改
  • 集成和流媒體播放器宣佈棄用
  • 安全研究人員幾乎每天都會披露漏洞

通過所有這些更改,開發人員可能會將安全性放在首位。 但是,如果無法解決安全修補程序,則應用程式容易被利用。

‍Malicious動機

‍Malicious行爲者可以訪問安全小組也可以使用的漏洞數據庫和工具。 由於大多數應用程式都使用JavaScript,網路攻擊者會檢查最常見的框架和軟體包。 它們針對已知漏洞,因爲應用程式可能沒有最新的安全修補程序。

網路攻擊者尋找管理門戶,後門,剩餘資訊文件(例如phpinfo.php),安裝文件夾,未受保護的頁面,開發人員環境, 忘記了API端點,Git存儲庫和其他獲取訪問權限的方法。 他們還試圖從支援系統(例如,行銷網站,內容管理系統和支付處理器)中找到入口點。 他們可能會進入黑暗的網路並購買漏洞和登入憑據。 如果沒有適當的安全措施,他們的監控可能無法被發現。

‍How識別OTT流服務中的漏洞

許多 安全措施 可以保護應用程式並減少攻擊面。 其中有些只能檢測發現結果,需要手動操作來修復這些結果。 其他措施防止威脅。 安全措施應儘可能具有檢測和保護功能。

漏洞管理和評估系統

‍A漏洞管理系統編譯應用程式檢測到的漏洞,漏洞評估系統檢測漏洞。 評估系統將掃描應用程式資源並報告操作系統,軟體應用程式,系統和網路配置錯誤等方面的安全發現。 管理系統將從各種評估系統導入結果。 使用這兩個系統可以檢測已知的漏洞並提供報告以識別最高風險並建議優先級,從而減少攻擊面。

‍Software成分分析(SCA)

‍SCA系統檢查OTT應用程式第三方庫(或依賴項)中的漏洞。 SCA將檢查應用程式和每個依賴關係,並提出解決這些漏洞所需的版本升級。 有時,升級可能導致更改中斷,在發生這種情況時,SCA會發出警告。 SCA通過在依賴性存在已知漏洞時發出警報來減少攻擊面。

‍Penetration測試

‍Automated API測試和滲透測試工具可在執行的應用程式中發現漏洞。 這些自動化工具可以識別OTT應用程式是否會遭受破壞的身份驗證,跨站點腳本,SQL注入,記憶體泄漏和崩潰的影響。 他們可以在幾分鐘內對應用程式進行評估,並可與持續集成(CI)系統集成。 將自動測試集成到CI系統中,可以在軟體發佈之前捕獲漏洞。

‍How保護您的OTT流媒體服務

‍The上述系統和最佳實踐可以幫助識別安全風險和錯誤。 開發人員應與安全工程師和領導層合作,及時解決安全更新問題。 但是,即使團隊可以快速部署修補程序,實施延遲仍可能使應用程式容易受到攻擊。 以下防禦措施可以爲OTT流應用程式提供一些額外的保護。 由於它們獨立於流應用程式的代碼庫執行,因此它們可以作爲緩衝區,在開發人員爲系統修補程序工作時,防止已知威脅。 這些保護還使安全小組能夠更靈活地實時部署對策,以抵禦不斷變化的威脅。

‍Distributed拒絕服務(DDoS)保護系統

‍DDoS保護系統旨在使應用程式在受到攻擊時保持正常執行。 這些攻擊在短時間內充斥着您的網站的請求,以壓倒它。 當基礎架構和應用程式收到太多請求時,它們可能會停止響應。 成功的DDoS攻擊將使應用程式在較長時間內不可用。 DDoS保護系統通過分析請求和連接來確定攻擊何時開始。 當系統偵測到DDoS攻擊時,系統會嘗試減少或停止攻擊者的要求數量,同時允許實際使用者繼續串流。

‍Web應用程式防火牆(WAF)

‍WAFs監控和保護應用程式請求。 它們使用一組分析HTTP請求的規則。 這些規則可能允許或限制基於IP地址,來源國家/地區,標頭和有效負載的訪問。 一些WAF具有靜態規則,而另一些WAF具有動態規則。 動態規則允許WAF抵禦新興威脅,而靜態規則只能阻止已知威脅。

爬蟲程序管理系統

‍Bot管理系統可防止自動爬蟲程序與OTT應用基礎設施(包括關鍵API服務)交互。 爬蟲程序可能會嘗試類比實際用戶,解決驗證碼,收集資訊,插入惡意代碼,嘗試破壞信用卡號和帳戶憑據等。 機器人程式管理系統會分析HTTP要求的許多訊號特徵和使用者代理程式詳細資料,以判斷是否有自動威脅嘗試存取服務。 由於爬蟲程序佔網際網路使用的大部分,因此爬蟲程序管理系統可以保護OTT應用程式免受惡意活動的危害。

‍Make應用程式安全是優先事項

‍Edgio的基於雲的Web安全解決方案可精確,快速地保護您的流媒體服務。 它可以預測變更管理的影響,因此您可以自信地更新規則,而不會影響合法用戶,並在攻擊者到達OTT應用程式伺服器之前阻止他們。

‍Learn更多關於雲安全功能如何保護您的OTT流應用程式免受各種網路安全威脅的資訊。