OTT流應用程式中的安全風險

Download

About The Author

Charlie Russell

Charlie Russell is a Senior Product Marketing Manager who enjoys spreading the word about Edgio. He gets to learn about the challenges customers face and how Edgio helps solve them, the new offerings from Product and Engineering, and all the myriad goodness that comprises the Edgio advantage. And he gets to help other pteople learn about it too – members of the Edgio team, people who wan to deliver better and more secure digital experiences, and thousands of happy customers. In his free time, Charlie is a musician who loves playing with friends and performing around town.

Download

在過去幾年中，工作室和廣播公司利用流技術創建了新的直接面向消費者的服務。雖然這提供了吸引觀眾的機會並從觀眾數據中獲利，但這也是一個新的風險需要管理。惡意攻擊者正在努力從這一不斷增長的消費者數據庫中獲利。鑑於對Web應用程式漏洞的廣泛了解，攻擊者正在瞄準在管理Web安全方面經驗較少的新流服務。本技術文章探討了為什麼這些新的Web應用程式容易受到攻擊，以及可以採取哪些措施來降低風險。

‍Understanding OTT攻擊面

‍An OTT應用程式有許多部分可使其正常工作。要盡可能接觸到更多觀眾，需要在Web瀏攬器，移動設備，智能電視和流媒體播放器上提供。每個應用程式版本，支援的平臺和基礎設施都定義了一個表面積。換句話說，應用程式的表面積是與應用程式交互的所有方式。

應用程式的表面區域有可能容易受到攻擊或利用的元件。它具有自定義代碼，第三方庫和集成。這些組件中的任何組件都可能存在漏洞。當這些組件中存在漏洞時，惡意攻擊者將嘗試利用該漏洞。這些易受攻擊的地區就是攻擊面。設計的安全性很低的應用程式可能有很大的攻擊面。相比之下，設計良好的應用程式可能受到攻擊的風險較小。不幸的是，攻擊面總是存在，其目標是盡可能縮小攻擊面。

‍The OTT攻擊面正在演變

‍Keeping您的OTT應用程式的安全性可能會像是一輛移動的列車，原因如下：

操作系統每月部署更新
第三方庫定期發布更改
集成和流媒體播放器宣布棄用
安全研究人員幾乎每天都會揭露漏洞

所有這些更改都會吸引開發人員將安全性置於後頭。但是，如果無法解決安全修復問題，應用程式就容易受到利用。

‍Malicious動機

‍Malicious參與者可以訪問安全小組也可以使用的漏洞數據庫和工具。由於大多數應用程式都使用JavaScript，因此網路攻擊者會檢查最常見的框架和軟體包。由於應用程式可能沒有最新的安全修補程序，因此它們以已知的漏洞為目標。

網路攻擊者會尋找管理入口網站，後門，剩餘資訊檔案(例如phpinfo.php)，安裝資料夾，未受保護的網頁，開發人員環境，遺忘的API端點，Git儲存庫，以及其他存取方式。他們還試圖從支援系統(例如行銷網站，內容管理系統和支付處理商)中找到一個切入點。他們可能會到Dark Web購買利用和登入憑證。在沒有適當安全措施的情況下，他們的監視可能不被髮現。

‍How識別OTT流服務中的漏洞

許多安全措施可以保護應用程式並減少攻擊面。其中一些只檢測發現的問題，需要手動操作來修復它們。其他防範威脅的措施。安全措施應盡可能具有檢測和保護功能。

漏洞管理和評估系統

‍A漏洞管理系統編譯應用程式檢測到的漏洞，漏洞評估系統檢測到的漏洞。評估系統將掃描應用程式資源並報告有關操作系統，軟體應用程式，系統和網路配置錯誤等方面的安全發現。管理系統將從各種評估系統導入結果。使用這兩個系統可以檢測已知漏洞並提供報告以確定首要風險並建議優先級，從而減少攻擊面。

‍Software成分分析(SCA)

‍SCA系統會檢查OTT應用程式第三方程式庫(或相依性)中的弱點。 SCA將檢查應用程式和每個依賴關係的依賴關係，並建議解決漏洞所需的版本升級。有時升級可能導致更改中斷，SCA將在這種情況下發出警告。 SCA通過在依賴關係存在已知漏洞時發出警報來減少攻擊面。

‍Penetration測試

‍Automated API測試和滲透測試工具可在執行的應用程式中發現漏洞。這些自動化工具可以識別OTT應用程式是否存在身份驗證中斷，跨站點腳本執行，SQL注入，記憶體洩漏和崩潰等問題。他們可以在幾分鐘內對應用程式進行評估，並可與持續集成(CI)系統集成。將自動化測試集成到CI系統中，可以在軟體發布之前捕獲漏洞。

‍How保護您的OTT流媒體服務

‍The上述系統和最佳實踐有助於識別安全風險和錯誤。開發人員應與安全工程師和領導人員合作，及時解決安全更新問題。但即使小組可以快速部署修復程序，實施延遲仍會使應用程式容易受到攻擊。以下防禦措施可為OTT流應用程式提供一些額外的保護。由於它們獨立於流應用程式的代碼庫執行，因此它們可以充當緩衝區，在開發人員對系統進行修補時防止已知威脅。這些保護措施還使安全小組能夠更靈活地實時部署對策，以抵禦不斷演變的威脅。

‍Distributed拒絕服務(DDoS)保護系統

‍DDoS保護系統旨在使應用程式在遭受攻擊時保持正常執行。這些攻擊會在短時間內充斥您的網站，讓網站無法滿足。當基礎結構和應用程式收到太多請求時，它們可能會停止響應。成功的DDoS攻擊會使應用程式長時間無法使用。 DDoS保護系統通過分析請求和連接來確定攻擊何時開始。當系統偵測到DDoS攻擊時，會嘗試減少或停止攻擊者的要求數量，同時允許實際使用者繼續串流。

‍Web應用防火牆(WAF)

‍WAFs監控和保護應用程序請求。它們使用一組分析HTTP請求的規則。這些規則可能會根據IP地址，來源國，標頭和有效負載允許或限制訪問。有些WAF具有靜態規則，而其他WAF則具有動態規則。動態規則允許WAF抵禦新興威脅，而靜態規則只能阻止已知威脅。

爬蟲程序管理系統

‍Bot管理系統可防止自動爬蟲程序與OTT應用程式基礎設施(包括關鍵API服務)交互。機器人程式可能會嘗試模擬實際使用者，解析CAPTCHA，收集資訊，插入惡意程式碼，嘗試破解信用卡號碼和帳戶認證等。爬蟲程序管理系統分析HTTP請求的多個信號特徵和用戶代理詳細資訊，以確定自動威脅是否正在嘗試訪問該服務。由於爬蟲程序占了Internet使用的大部分，爬蟲程序管理系統可以保護OTT應用程式免受惡意活動的侵害。