譯者 | 陳峻

審校 | 重樓

在各國，流媒體服務(wù)已越來越受到大眾的歡迎。有統(tǒng)計(jì)表明，目前視頻流已占網(wǎng)絡(luò)整體流量的80%以上。不過如您所見，近年來，數(shù)字威脅的不斷增加，也讓網(wǎng)絡(luò)攻擊逐年遞增。單個(gè)視頻用戶受到的危險(xiǎn)，往往會(huì)危及到整個(gè)服務(wù)平臺(tái)，使其面臨各種潛在的風(fēng)險(xiǎn)。無論視頻應(yīng)用的交付形式如何持續(xù)迭代，各個(gè)視頻流媒體平臺(tái)都需要通過利用成熟的管控策略、以及采取強(qiáng)有力的安全措施，來保護(hù)自身和用戶的信息與網(wǎng)絡(luò)安全。下面，我們來深入討論常見的攻擊方式與防范措施。

針對視頻流媒體平臺(tái)的常見網(wǎng)絡(luò)攻擊

由于對于內(nèi)容交付連續(xù)性的要求較高，因此視頻流媒體平臺(tái)往往特別容易受到服務(wù)中斷的影響。其中，分布式拒絕服務(wù)（DDoS）攻擊是最主要的影響方式之一。有報(bào)道顯示，2021年發(fā)生的DDoS攻擊要比2020年多40%。在2021年間，此類攻擊通常只持續(xù)30分鐘，而到了2022年，其平均持續(xù)時(shí)間已增加到50小時(shí)以上。這些跳躍式增長足以凸顯確保系統(tǒng)和網(wǎng)絡(luò)安全、以及防范攻擊的嚴(yán)峻性。

勒索軟件攻擊則是另一種針對視頻流媒體的廣泛應(yīng)用攻擊類型。而且一旦平臺(tái)拒絕了攻擊者的支付贖金要求，它們除了無法找回被鎖死的內(nèi)容、以及后臺(tái)管理系統(tǒng)之外，還會(huì)遭遇各種直接與間接的經(jīng)濟(jì)損失。

同時(shí)，基于信任憑證的攻擊也并非某個(gè)平臺(tái)獨(dú)有，它已讓視頻流媒體平臺(tái)的用戶成為了受攻擊的重災(zāi)區(qū)。攻擊者完全可以利用社會(huì)工程或網(wǎng)絡(luò)釣魚的方式，去誘騙用戶“自愿”交出平臺(tái)的相關(guān)賬號(hào)信息。

就算用戶安全意識(shí)較強(qiáng)，攻擊者也可以直接使用暴力破解、或是基于憑證認(rèn)證的攻擊手段，以用戶身份登錄，從而更改原有密碼，或是全面接管該賬號(hào)。至此，用戶帳號(hào)的隱私信息、以及積點(diǎn)金額等已完全暴露，攻擊者甚至可以此為跳板，進(jìn)一步竊取該用戶的其他平臺(tái)賬號(hào)信息。

通過進(jìn)一步探究，我們發(fā)現(xiàn)攻擊者一旦掌握了某個(gè)平臺(tái)的大量用戶賬號(hào)信息，他們就會(huì)打包將其轉(zhuǎn)賣給暗網(wǎng)中的最高出價(jià)者，以牟取豐厚的暴利。一位知名公司的安全技術(shù)和戰(zhàn)略總監(jiān)透露，他們曾發(fā)現(xiàn)有人將100萬個(gè)被盜的信任憑據(jù)，多次轉(zhuǎn)賣給了上萬名黑客。這種行為直接導(dǎo)致了平臺(tái)受攻擊面的增加，即：數(shù)十次（甚至是數(shù)千次）的額外網(wǎng)絡(luò)攻擊。

此外，攻擊者還會(huì)經(jīng)常使用盜竊來的賬號(hào)，散布各種有害信息、發(fā)表攻擊性評論、以及發(fā)送惡意鏈接。這些都會(huì)嚴(yán)重影響流媒體平臺(tái)的正常運(yùn)營，以及用戶的觀看體驗(yàn)。

視頻流平臺(tái)的安全態(tài)勢

不可否認(rèn)，隨著威脅環(huán)境的不斷變化，越來越多的流媒體平臺(tái)的網(wǎng)絡(luò)安全態(tài)勢有待進(jìn)一步且持續(xù)的提升。許多傳統(tǒng)的防御方法正在逐漸失去其原有的功效。事實(shí)上，據(jù)統(tǒng)計(jì)，從2023年到2024年間，美國能夠達(dá)到網(wǎng)絡(luò)攻擊恢復(fù)能力最低標(biāo)準(zhǔn)的組織，已減少了約30%。

保護(hù)視頻流媒體平臺(tái)的方法

通常，我們可以采用如下6種方法來保障視頻流媒體平臺(tái)本身及其數(shù)據(jù)內(nèi)容。

1. HTTPS作為一種安全在線通信標(biāo)準(zhǔn)，超文本傳輸協(xié)議安全（HTTPS）通過HTTP連接，使用傳輸層安全和安全套接層加密，來保護(hù)數(shù)據(jù)通信。它能夠有效地防止攻擊者竊聽或攔截通信中往來的數(shù)據(jù)，從而起到了預(yù)防中間人攻擊（Man-in-the-Middle Attack）的效果。
2. 地理位置鎖定（Geoblocking）流媒體平臺(tái)可以通過建立地理位置鎖定的機(jī)制，來自動(dòng)阻止任何非白名單地區(qū)的內(nèi)容訪問請求。此法對于那些能夠確切知曉訪問源頭（如IP地址）的Web攻擊而言非常實(shí)用。
   不過話說回來，網(wǎng)絡(luò)攻擊者也可以通隱藏甚至偽造自己的IP地址，以實(shí)現(xiàn)地理位置鎖定的規(guī)避。為此，流媒體平臺(tái)可通過增設(shè)服務(wù)協(xié)議條款的方式，明確暫停或終止為那些使用非真實(shí)方式連入的賬號(hào)，去訪問受限制地域的內(nèi)容。
3. 令牌驗(yàn)證基于令牌的身份驗(yàn)證系統(tǒng)，僅在用戶身份驗(yàn)證通過之后，再向其授予訪問令牌。可見，如果流媒體平臺(tái)啟用會(huì)員制，或只允許其付費(fèi)用戶與視頻內(nèi)容進(jìn)行互動(dòng)的話，此法便可防止未經(jīng)授權(quán)的訪問發(fā)生，進(jìn)而遏制惡意軟件的攻擊和數(shù)據(jù)的泄露。
4. 高級加密標(biāo)準(zhǔn)（Advanced Encryption Standard，AES）協(xié)議作為一種對稱的塊密碼加密算法，高級加密標(biāo)準(zhǔn)協(xié)議能夠在客戶端和服務(wù)器之間，通過交換單一密鑰的形式，來實(shí)現(xiàn)數(shù)據(jù)的加密和解密。在實(shí)際應(yīng)用中，平臺(tái)可以管控只有通過了詳細(xì)信息驗(yàn)證的、持有合法身份的用戶，才能登錄并觀看授權(quán)內(nèi)容，進(jìn)而將未經(jīng)授權(quán)的用戶拒于門外。
5. HLS加密HTTP實(shí)時(shí)流（HLS）加密是一種先進(jìn)的視頻內(nèi)容加密方法。它能夠與128位塊密碼，即AES-128配合使用，以進(jìn)一步加強(qiáng)安全性。
   HLS加密技術(shù)的原理是通過在播放視頻內(nèi)容之前，檢查加密密鑰的有效性，以防止未經(jīng)授權(quán)的訪問嘗試。也就是說，如果用戶使用了錯(cuò)誤的密鑰、或者根本就沒有密鑰的話，視頻播放將會(huì)立即停止。
6. 多重?cái)?shù)字版權(quán)管理（Multi-DRM）

作為可用來管理視頻內(nèi)容授權(quán)的技術(shù)，多重?cái)?shù)字版權(quán)管理服務(wù)雖然旨在打擊盜版等未經(jīng)授權(quán)的視頻訪問與使用，但是也能夠在一定程度上減緩Web威脅與攻擊。

保護(hù)視頻流媒體平臺(tái)用戶的方法

作為視頻流媒體平臺(tái)安全的基礎(chǔ)，廣大平臺(tái)用戶同樣需要得到安全保護(hù)。具體方法包括：

1.一次性密碼

一次性密碼（One-Time Password，OTP）可以在用戶每次嘗試登錄平臺(tái)時(shí)，生成唯一的、由數(shù)字和字符組成的字符串。在被觸發(fā)后（如，用戶輸入PIN碼），OTP會(huì)顯示在用戶的設(shè)備上。其目的就是要確保只有真正的賬號(hào)所有者才能憑碼登錄。

OTP可以大幅減少賬號(hào)被盜用的次數(shù)，以使基于憑證的攻擊所造成的影響大幅降低。此外，由于它不限于在單獨(dú)的硬件上實(shí)現(xiàn)，因此大多數(shù)移動(dòng)設(shè)備都能自動(dòng)識(shí)別由APP產(chǎn)生的“軟”O(jiān)TP，并自動(dòng)完成文本的填寫和補(bǔ)足，給用戶帶來了極大的便利。

2.多因素身份驗(yàn)證

多因素身份驗(yàn)證（Multi-Factor Authentication，MFA）與OTP類似，不過它要求用戶展示其知道的、擁有的、以及正在使用的三類事物中的至少兩種，如：安全問題的答案、個(gè)人設(shè)備、或生物特征，以驗(yàn)證自己的身份。此法可以被用來抵御賬號(hào)的盜用、暴力破解以及憑證攻擊。

一般來說，MFA能夠提供的安全系數(shù)較高，僅此一項(xiàng)就能夠阻止高達(dá)50%的賬號(hào)泄露攻擊。同時(shí)，通過結(jié)合其他保護(hù)方法，它還可以阻止大多數(shù)針對終端用戶的攻擊。

3.密碼策略

在日常生活中，人們通常會(huì)重復(fù)使用舊的密碼，或是為了方便而盡量簡化密碼，這樣就很容易受到暴力破解攻擊。為此，流媒體平臺(tái)應(yīng)當(dāng)要求其用戶設(shè)置滿足一定長度的密碼，強(qiáng)制包含多種特殊字符，并要求用戶每六個(gè)月更新一次登錄密碼。這些都是比較切實(shí)可行的密碼策略。

4.實(shí)用提醒

目前，許多人都已形成了抵御基本的社會(huì)工程攻擊的意識(shí)。不過，正所謂“道高一尺，魔高一丈”，人工智能（AI）也在讓攻擊者能夠更容易地生成令人信服的偽造信息。對此，流媒體平臺(tái)應(yīng)當(dāng)考慮主動(dòng)關(guān)懷用戶，以解決此類問題。例如，流媒體平臺(tái)可以經(jīng)常提醒其用戶，平臺(tái)的客戶服務(wù)代表絕不會(huì)詢問用戶的登錄密碼，也不會(huì)索取OTP，更不會(huì)收集其不必要的個(gè)人信息。可見，只有降低了網(wǎng)絡(luò)釣魚的成功幾率，才能真正減少賬號(hào)被接管和攻擊的可能性。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：How to Secure Video Streaming Against Cyberattacks，作者：Zac Amos