譯者 | 陳峻

審校 | 重樓

在各國，流媒體服務已越來越受到大眾的歡迎。有統(tǒng)計表明，目前視頻流已占網絡整體流量的80%以上。不過如您所見，近年來，數字威脅的不斷增加，也讓網絡攻擊逐年遞增。單個視頻用戶受到的危險，往往會危及到整個服務平臺，使其面臨各種潛在的風險。無論視頻應用的交付形式如何持續(xù)迭代，各個視頻流媒體平臺都需要通過利用成熟的管控策略、以及采取強有力的安全措施，來保護自身和用戶的信息與網絡安全。下面，我們來深入討論常見的攻擊方式與防范措施。

針對視頻流媒體平臺的常見網絡攻擊

由于對于內容交付連續(xù)性的要求較高，因此視頻流媒體平臺往往特別容易受到服務中斷的影響。其中，分布式拒絕服務（DDoS）攻擊是最主要的影響方式之一。有報道顯示，2021年發(fā)生的DDoS攻擊要比2020年多40%。在2021年間，此類攻擊通常只持續(xù)30分鐘，而到了2022年，其平均持續(xù)時間已增加到50小時以上。這些跳躍式增長足以凸顯確保系統(tǒng)和網絡安全、以及防范攻擊的嚴峻性。

勒索軟件攻擊則是另一種針對視頻流媒體的廣泛應用攻擊類型。而且一旦平臺拒絕了攻擊者的支付贖金要求，它們除了無法找回被鎖死的內容、以及后臺管理系統(tǒng)之外，還會遭遇各種直接與間接的經濟損失。

同時，基于信任憑證的攻擊也并非某個平臺獨有，它已讓視頻流媒體平臺的用戶成為了受攻擊的重災區(qū)。攻擊者完全可以利用社會工程或網絡釣魚的方式，去誘騙用戶“自愿”交出平臺的相關賬號信息。

就算用戶安全意識較強，攻擊者也可以直接使用暴力破解、或是基于憑證認證的攻擊手段，以用戶身份登錄，從而更改原有密碼，或是全面接管該賬號。至此，用戶帳號的隱私信息、以及積點金額等已完全暴露，攻擊者甚至可以此為跳板，進一步竊取該用戶的其他平臺賬號信息。

通過進一步探究，我們發(fā)現攻擊者一旦掌握了某個平臺的大量用戶賬號信息，他們就會打包將其轉賣給暗網中的最高出價者，以牟取豐厚的暴利。一位知名公司的安全技術和戰(zhàn)略總監(jiān)透露，他們曾發(fā)現有人將100萬個被盜的信任憑據，多次轉賣給了上萬名黑客。這種行為直接導致了平臺受攻擊面的增加，即：數十次（甚至是數千次）的額外網絡攻擊。

此外，攻擊者還會經常使用盜竊來的賬號，散布各種有害信息、發(fā)表攻擊性評論、以及發(fā)送惡意鏈接。這些都會嚴重影響流媒體平臺的正常運營，以及用戶的觀看體驗。

視頻流平臺的安全態(tài)勢

不可否認，隨著威脅環(huán)境的不斷變化，越來越多的流媒體平臺的網絡安全態(tài)勢有待進一步且持續(xù)的提升。許多傳統(tǒng)的防御方法正在逐漸失去其原有的功效。事實上，據統(tǒng)計，從2023年到2024年間，美國能夠達到網絡攻擊恢復能力最低標準的組織，已減少了約30%。

保護視頻流媒體平臺的方法

通常，我們可以采用如下6種方法來保障視頻流媒體平臺本身及其數據內容。

1. HTTPS作為一種安全在線通信標準，超文本傳輸協(xié)議安全（HTTPS）通過HTTP連接，使用傳輸層安全和安全套接層加密，來保護數據通信。它能夠有效地防止攻擊者竊聽或攔截通信中往來的數據，從而起到了預防中間人攻擊（Man-in-the-Middle Attack）的效果。
2. 地理位置鎖定（Geoblocking）流媒體平臺可以通過建立地理位置鎖定的機制，來自動阻止任何非白名單地區(qū)的內容訪問請求。此法對于那些能夠確切知曉訪問源頭（如IP地址）的Web攻擊而言非常實用。
   不過話說回來，網絡攻擊者也可以通隱藏甚至偽造自己的IP地址，以實現地理位置鎖定的規(guī)避。為此，流媒體平臺可通過增設服務協(xié)議條款的方式，明確暫?；蚪K止為那些使用非真實方式連入的賬號，去訪問受限制地域的內容。
3. 令牌驗證基于令牌的身份驗證系統(tǒng)，僅在用戶身份驗證通過之后，再向其授予訪問令牌。可見，如果流媒體平臺啟用會員制，或只允許其付費用戶與視頻內容進行互動的話，此法便可防止未經授權的訪問發(fā)生，進而遏制惡意軟件的攻擊和數據的泄露。
4. 高級加密標準（Advanced Encryption Standard，AES）協(xié)議作為一種對稱的塊密碼加密算法，高級加密標準協(xié)議能夠在客戶端和服務器之間，通過交換單一密鑰的形式，來實現數據的加密和解密。在實際應用中，平臺可以管控只有通過了詳細信息驗證的、持有合法身份的用戶，才能登錄并觀看授權內容，進而將未經授權的用戶拒于門外。
5. HLS加密HTTP實時流（HLS）加密是一種先進的視頻內容加密方法。它能夠與128位塊密碼，即AES-128配合使用，以進一步加強安全性。
   HLS加密技術的原理是通過在播放視頻內容之前，檢查加密密鑰的有效性，以防止未經授權的訪問嘗試。也就是說，如果用戶使用了錯誤的密鑰、或者根本就沒有密鑰的話，視頻播放將會立即停止。
6. 多重數字版權管理（Multi-DRM）

作為可用來管理視頻內容授權的技術，多重數字版權管理服務雖然旨在打擊盜版等未經授權的視頻訪問與使用，但是也能夠在一定程度上減緩Web威脅與攻擊。

保護視頻流媒體平臺用戶的方法

作為視頻流媒體平臺安全的基礎，廣大平臺用戶同樣需要得到安全保護。具體方法包括：

1.一次性密碼

一次性密碼（One-Time Password，OTP）可以在用戶每次嘗試登錄平臺時，生成唯一的、由數字和字符組成的字符串。在被觸發(fā)后（如，用戶輸入PIN碼），OTP會顯示在用戶的設備上。其目的就是要確保只有真正的賬號所有者才能憑碼登錄。

OTP可以大幅減少賬號被盜用的次數，以使基于憑證的攻擊所造成的影響大幅降低。此外，由于它不限于在單獨的硬件上實現，因此大多數移動設備都能自動識別由APP產生的“軟”O(jiān)TP，并自動完成文本的填寫和補足，給用戶帶來了極大的便利。

2.多因素身份驗證

多因素身份驗證（Multi-Factor Authentication，MFA）與OTP類似，不過它要求用戶展示其知道的、擁有的、以及正在使用的三類事物中的至少兩種，如：安全問題的答案、個人設備、或生物特征，以驗證自己的身份。此法可以被用來抵御賬號的盜用、暴力破解以及憑證攻擊。

一般來說，MFA能夠提供的安全系數較高，僅此一項就能夠阻止高達50%的賬號泄露攻擊。同時，通過結合其他保護方法，它還可以阻止大多數針對終端用戶的攻擊。

3.密碼策略

在日常生活中，人們通常會重復使用舊的密碼，或是為了方便而盡量簡化密碼，這樣就很容易受到暴力破解攻擊。為此，流媒體平臺應當要求其用戶設置滿足一定長度的密碼，強制包含多種特殊字符，并要求用戶每六個月更新一次登錄密碼。這些都是比較切實可行的密碼策略。

4.實用提醒

目前，許多人都已形成了抵御基本的社會工程攻擊的意識。不過，正所謂“道高一尺，魔高一丈”，人工智能（AI）也在讓攻擊者能夠更容易地生成令人信服的偽造信息。對此，流媒體平臺應當考慮主動關懷用戶，以解決此類問題。例如，流媒體平臺可以經常提醒其用戶，平臺的客戶服務代表絕不會詢問用戶的登錄密碼，也不會索取OTP，更不會收集其不必要的個人信息?？梢?，只有降低了網絡釣魚的成功幾率，才能真正減少賬號被接管和攻擊的可能性。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：How to Secure Video Streaming Against Cyberattacks，作者：Zac Amos