译者 | 陈峻
审校 | 重楼
在各国,流媒体服务已越来越受到大众的欢迎。有统计表明,目前视频流已占网络整体流量的80%以上。不过如您所见,近年来,数字威胁的不断增加,也让网络攻击逐年递增。单个视频用户受到的危险,往往会危及到整个服务平台,使其面临各种潜在的风险。无论视频应用的交付形式如何持续迭代,各个视频流媒体平台都需要通过利用成熟的管控策略、以及采取强有力的安全措施,来保护自身和用户的信息与网络安全。下面,我们来深入讨论常见的攻击方式与防范措施。
针对视频流媒体平台的常见网络攻击
由于对于内容交付连续性的要求较高,因此视频流媒体平台往往特别容易受到服务中断的影响。其中,分布式拒绝服务(DDoS)攻击是最主要的影响方式之一。有报道显示,2021年发生的DDoS攻击要比2020年多40%。在2021年间,此类攻击通常只持续30分钟,而到了2022年,其平均持续时间已增加到50小时以上。这些跳跃式增长足以凸显确保系统和网络安全、以及防范攻击的严峻性。
勒索软件攻击则是另一种针对视频流媒体的广泛应用攻击类型。而且一旦平台拒绝了攻击者的支付赎金要求,它们除了无法找回被锁死的内容、以及后台管理系统之外,还会遭遇各种直接与间接的经济损失。
同时,基于信任凭证的攻击也并非某个平台独有,它已让视频流媒体平台的用户成为了受攻击的重灾区。攻击者完全可以利用社会工程或网络钓鱼的方式,去诱骗用户“自愿”交出平台的相关账号信息。
就算用户安全意识较强,攻击者也可以直接使用暴力破解、或是基于凭证认证的攻击手段,以用户身份登录,从而更改原有密码,或是全面接管该账号。至此,用户帐号的隐私信息、以及积点金额等已完全暴露,攻击者甚至可以此为跳板,进一步窃取该用户的其他平台账号信息。
通过进一步探究,我们发现攻击者一旦掌握了某个平台的大量用户账号信息,他们就会打包将其转卖给暗网中的最高出价者,以牟取丰厚的暴利。一位知名公司的安全技术和战略总监透露,他们曾发现有人将100万个被盗的信任凭据,多次转卖给了上万名黑客。这种行为直接导致了平台受攻击面的增加,即:数十次(甚至是数千次)的额外网络攻击。
此外,攻击者还会经常使用盗窃来的账号,散布各种有害信息、发表攻击性评论、以及发送恶意链接。这些都会严重影响流媒体平台的正常运营,以及用户的观看体验。
视频流平台的安全态势
不可否认,随着威胁环境的不断变化,越来越多的流媒体平台的网络安全态势有待进一步且持续的提升。许多传统的防御方法正在逐渐失去其原有的功效。事实上,据统计,从2023年到2024年间,美国能够达到网络攻击恢复能力最低标准的组织,已减少了约30%。
保护视频流媒体平台的方法
通常,我们可以采用如下6种方法来保障视频流媒体平台本身及其数据内容。
- HTTPS作为一种安全在线通信标准,超文本传输协议安全(HTTPS)通过HTTP连接,使用传输层安全和安全套接层加密,来保护数据通信。它能够有效地防止攻击者窃听或拦截通信中往来的数据,从而起到了预防中间人攻击(Man-in-the-Middle Attack)的效果。
- 地理位置锁定(Geoblocking)流媒体平台可以通过建立地理位置锁定的机制,来自动阻止任何非白名单地区的内容访问请求。此法对于那些能够确切知晓访问源头(如IP地址)的Web攻击而言非常实用。
不过话说回来,网络攻击者也可以通隐藏甚至伪造自己的IP地址,以实现地理位置锁定的规避。为此,流媒体平台可通过增设服务协议条款的方式,明确暂停或终止为那些使用非真实方式连入的账号,去访问受限制地域的内容。 - 令牌验证基于令牌的身份验证系统,仅在用户身份验证通过之后,再向其授予访问令牌。可见,如果流媒体平台启用会员制,或只允许其付费用户与视频内容进行互动的话,此法便可防止未经授权的访问发生,进而遏制恶意软件的攻击和数据的泄露。
- 高级加密标准(Advanced Encryption Standard,AES)协议作为一种对称的块密码加密算法,高级加密标准协议能够在客户端和服务器之间,通过交换单一密钥的形式,来实现数据的加密和解密。在实际应用中,平台可以管控只有通过了详细信息验证的、持有合法身份的用户,才能登录并观看授权内容,进而将未经授权的用户拒于门外。
- HLS加密HTTP实时流(HLS)加密是一种先进的视频内容加密方法。它能够与128位块密码,即AES-128配合使用,以进一步加强安全性。
HLS加密技术的原理是通过在播放视频内容之前,检查加密密钥的有效性,以防止未经授权的访问尝试。也就是说,如果用户使用了错误的密钥、或者根本就没有密钥的话,视频播放将会立即停止。 - 多重数字版权管理(Multi-DRM)
作为可用来管理视频内容授权的技术,多重数字版权管理服务虽然旨在打击盗版等未经授权的视频访问与使用,但是也能够在一定程度上减缓Web威胁与攻击。
保护视频流媒体平台用户的方法
作为视频流媒体平台安全的基础,广大平台用户同样需要得到安全保护。具体方法包括:
1.一次性密码
一次性密码(One-Time Password,OTP)可以在用户每次尝试登录平台时,生成唯一的、由数字和字符组成的字符串。在被触发后(如,用户输入PIN码),OTP会显示在用户的设备上。其目的就是要确保只有真正的账号所有者才能凭码登录。
OTP可以大幅减少账号被盗用的次数,以使基于凭证的攻击所造成的影响大幅降低。此外,由于它不限于在单独的硬件上实现,因此大多数移动设备都能自动识别由APP产生的“软”OTP,并自动完成文本的填写和补足,给用户带来了极大的便利。
2.多因素身份验证
多因素身份验证(Multi-Factor Authentication,MFA)与OTP类似,不过它要求用户展示其知道的、拥有的、以及正在使用的三类事物中的至少两种,如:安全问题的答案、个人设备、或生物特征,以验证自己的身份。此法可以被用来抵御账号的盗用、暴力破解以及凭证攻击。
一般来说,MFA能够提供的安全系数较高,仅此一项就能够阻止高达50%的账号泄露攻击。同时,通过结合其他保护方法,它还可以阻止大多数针对终端用户的攻击。
3.密码策略
在日常生活中,人们通常会重复使用旧的密码,或是为了方便而尽量简化密码,这样就很容易受到暴力破解攻击。为此,流媒体平台应当要求其用户设置满足一定长度的密码,强制包含多种特殊字符,并要求用户每六个月更新一次登录密码。这些都是比较切实可行的密码策略。
4.实用提醒
目前,许多人都已形成了抵御基本的社会工程攻击的意识。不过,正所谓“道高一尺,魔高一丈”,人工智能(AI)也在让攻击者能够更容易地生成令人信服的伪造信息。对此,流媒体平台应当考虑主动关怀用户,以解决此类问题。例如,流媒体平台可以经常提醒其用户,平台的客户服务代表绝不会询问用户的登录密码,也不会索取OTP,更不会收集其不必要的个人信息。可见,只有降低了网络钓鱼的成功几率,才能真正减少账号被接管和攻击的可能性。
译者介绍
陈峻(Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:How to Secure Video Streaming Against Cyberattacks,作者:Zac Amos