最近的一項(xiàng)研究表明，有25%的互聯(lián)網(wǎng)流量是由Bot產(chǎn)生的。Bot通常用于自動(dòng)執(zhí)行簡單且重復(fù)的任務(wù)，但惡意Bot也可能被用于漏洞攻擊。好消息是，有一些解決方案可以幫助企業(yè)采取防御措施免受惡意Bot的攻擊。

[[408310]]

通常來說，選擇Bot防御方案時(shí)，安全主管需要向安全廠商詢問五個(gè)關(guān)鍵問題：

• 解決方案是否涵蓋所有威脅，包括賬戶接管、網(wǎng)站抓取、欺詐、DDoS和庫存保留?
• 它如何檢測(cè)類似人類和分布式行為的不良意圖?
• 如何保護(hù)我的合法Bot流量?
• 是否能為所有資產(chǎn)(網(wǎng)站、移動(dòng)應(yīng)用程序和API)提供最大的安全防護(hù)?
• 有哪些部署方式可確保獲得良好的用戶體驗(yàn)并避免不必要的延遲?

此外，要為業(yè)務(wù)選擇合適的Bot保護(hù)解決方案，用戶企業(yè)還需要考慮更多因素。以下是業(yè)內(nèi)多位專家給出的建議和見解：

DataDome首席技術(shù)官Benjamin Fabre

為了從供應(yīng)商的Bot保護(hù)解決方案中獲取最大價(jià)值，請(qǐng)?jiān)u估以下幾點(diǎn)：

• 檢測(cè)質(zhì)量：準(zhǔn)確的僵尸程序檢測(cè)非常困難，不同供應(yīng)商的技術(shù)水平參差不齊。如果可能的話，企業(yè)可以同時(shí)針對(duì)實(shí)際流量測(cè)試候選供應(yīng)商，以查看他們阻止了什么、通過了什么。方案之間的差異可能令人大開眼界。

• 易于實(shí)施：企業(yè)不必經(jīng)歷一個(gè)復(fù)雜的集成項(xiàng)目或進(jìn)行重大的體系結(jié)構(gòu)更改。提前向潛在的供應(yīng)商詢問他們提供了哪些集成方式、文檔的范圍以及上線流程是什么樣的。

• 自治權(quán)：有些Bot管理有可能會(huì)消耗企業(yè)大量的時(shí)間和資源。企業(yè)應(yīng)選擇一種無需企業(yè)自身的干預(yù)即可處理Bot攻擊，且能夠提供詳細(xì)的實(shí)時(shí)分析和KPI的Bot解決方案。

• SOC：雖然供應(yīng)商的解決方案能阻止大多數(shù)對(duì)自動(dòng)駕駛儀的攻擊，但在某些情況下可能需要更多的動(dòng)手方法。因此企業(yè)應(yīng)詢問供應(yīng)商機(jī)器人SOC團(tuán)隊(duì)的運(yùn)作方式，以及合同中包含哪些服務(wù)。

• 靈活性：企業(yè)如果不想僅是為了將IP地址列入白名單或更改域規(guī)則而提交工單，那就需要檢查自身的解決方案，確保自己對(duì)方案設(shè)置是否具有足夠的控制權(quán)。

• 延遲和可伸縮性：企業(yè)在業(yè)務(wù)和安全性之間是無法取舍的，為了確保對(duì)訪客的零影響，企業(yè)應(yīng)選擇具有堅(jiān)實(shí)的自動(dòng)縮放基礎(chǔ)結(jié)構(gòu)和大量PoP的解決方案。

Kasada首席執(zhí)行官Sam Crowther

選擇機(jī)器人保護(hù)解決方案最重要的是了解Bot攻擊者的任務(wù)和目標(biāo)。要確定他們是想從您的網(wǎng)站中耗盡廣告資源抬高價(jià)格以更好地競(jìng)爭，還是測(cè)試被盜的憑據(jù)以進(jìn)行欺詐。

通過了解Bot對(duì)業(yè)務(wù)的全面影響，安全主管可以確保該Bot防護(hù)解決方案能夠滿足企業(yè)的特定需求。例如，許多解決方案被設(shè)計(jì)為在檢測(cè)到Bot之前需要采樣多個(gè)請(qǐng)求——如果是這樣，則它的設(shè)計(jì)目的就不是有效地阻止抓取和賬戶接管嘗試，因?yàn)槿绻沁@些嘗試則會(huì)迅速地“進(jìn)出”。

歷史表明，攻擊者已經(jīng)適應(yīng)企業(yè)上述的防御。成功的Bot緩解解決方案必須立即生效，并能阻止新的Bot，它還必須通過數(shù)月和數(shù)年的時(shí)間考驗(yàn)。企業(yè)應(yīng)該詢問供應(yīng)商正在采取哪些措施來實(shí)現(xiàn)產(chǎn)品的長期防御效力，例如阻止逆向工程和研發(fā)以檢測(cè)新的自動(dòng)化威脅。

企業(yè)應(yīng)該尋求盡可能少的配置、維護(hù)和支持的方案。供應(yīng)商的解決方案是否使您的生活更輕松?它是否可以適應(yīng)最新類型的攻擊和重組工作?您的安全團(tuán)隊(duì)能否不斷完善和更新檢測(cè)規(guī)則?該解決方案是在自動(dòng)駕駛儀上運(yùn)行，還是需要專門的內(nèi)部時(shí)間和專業(yè)知識(shí)才能成功?

Kount副總裁兼高級(jí)產(chǎn)品主管Vikram Dhawan

根據(jù)以往的經(jīng)驗(yàn)，企業(yè)往往只考慮使用Bot解決方案來保護(hù)其技術(shù)基礎(chǔ)設(shè)施，而不是保護(hù)企業(yè)自身的業(yè)務(wù)。

不良行為者可以使用Bot作為工具來發(fā)起帳戶接管攻擊并大規(guī)模進(jìn)行欺詐性購買。這是大規(guī)模的欺詐行為，會(huì)影響企業(yè)的庫存、收入，退款率和品牌聲譽(yù)。

當(dāng)企業(yè)選擇Bot保護(hù)解決方案時(shí)，他們實(shí)際上是在尋找一種能夠防止欺詐活動(dòng)的解決方案，例如卡測(cè)試、憑證填充和帳戶接管攻擊。并且他們應(yīng)該對(duì)宣稱能阻止所有Bot活動(dòng)的解決方案保持警惕。

事實(shí)是，Bot的發(fā)展速度超過任何用戶的速度，企業(yè)應(yīng)該尋找可以與他們合作以了解欺詐跡象的防欺詐解決方案供應(yīng)商，如何在不增加摩擦的情況下調(diào)整其政策以阻止或挑戰(zhàn)欺詐，以及攻擊者可能如何使用Bot進(jìn)行欺詐。企業(yè)和安全方案提供者可以一起工作，共同檢測(cè)和阻止各種欺詐攻擊，而不僅僅是來自Bot的欺詐攻擊。

Pesdro Fortuna首席技術(shù)官Jscrambler

在過去的幾年中，Bot的技術(shù)水平飛速進(jìn)化，攻擊者現(xiàn)在執(zhí)行JavaScript的Bot，幾乎能完美地模仿用戶行為，并且可以欺騙大多數(shù)Bot檢測(cè)和設(shè)備指紋識(shí)別解決方案，僅執(zhí)行常規(guī)的僵尸程序檢測(cè)方法不再可行。

企業(yè)需要多層的全面防御。除了設(shè)備指紋識(shí)別和用戶行為分析，甚至使用CAPTCHA，這些解決方案還意識(shí)到防止對(duì)客戶端代碼進(jìn)行自動(dòng)篡改的重要性，因此開始使用令牌化作為授權(quán)和防重播作為附加層。

如果這還不夠的話，那么抵制Bot僵尸程序的最終武器就是增加一個(gè)層，以監(jiān)視整個(gè)客戶端是否存在未經(jīng)授權(quán)的行為。這樣，就有可能觀察到客戶端代碼的行為的細(xì)節(jié)，發(fā)現(xiàn)潛在的惡意代碼并在成功之前將其阻止。

與幾乎所有安全防御一樣，Bot的攻防也是一場(chǎng)貓鼠游戲，這會(huì)引起“貓”與“老鼠”之間的你追我趕。Bot解決方案能夠保護(hù)企業(yè)免受代碼篡改并且不被輕易繞開非常重要。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文