如何选择Bot防御方案
星期四, 七月 1, 2021
最近的一项研究表明,有25%的互联网流量是由Bot产生的。Bot通常用于自动执行简单且重复的任务,但恶意Bot也可能被用于漏洞攻击。好消息是,有一些解决方案可以帮助企业采取防御措施免受恶意Bot的攻击。
通常来说,选择Bot防御方案时,安全主管需要向安全厂商询问五个关键问题:
此外,要为业务选择合适的Bot保护解决方案,用户企业还需要考虑更多因素。以下是业内多位专家给出的建议和见解:
DataDome首席技术官Benjamin Fabre
为了从供应商的Bot保护解决方案中获取最大价值,请评估以下几点:
检测质量:准确的僵尸程序检测非常困难,不同供应商的技术水平参差不齐。如果可能的话,企业可以同时针对实际流量测试候选供应商,以查看他们阻止了什么、通过了什么。方案之间的差异可能令人大开眼界。
易于实施:企业不必经历一个复杂的集成项目或进行重大的体系结构更改。提前向潜在的供应商询问他们提供了哪些集成方式、文档的范围以及上线流程是什么样的。
自治权:有些Bot管理有可能会消耗企业大量的时间和资源。企业应选择一种无需企业自身的干预即可处理Bot攻击,且能够提供详细的实时分析和KPI的Bot解决方案。
SOC:虽然供应商的解决方案能阻止大多数对自动驾驶仪的攻击,但在某些情况下可能需要更多的动手方法。因此企业应询问供应商机器人SOC团队的运作方式,以及合同中包含哪些服务。
灵活性:企业如果不想仅是为了将IP地址列入白名单或更改域规则而提交工单,那就需要检查自身的解决方案,确保自己对方案设置是否具有足够的控制权。
延迟和可伸缩性:企业在业务和安全性之间是无法取舍的,为了确保对访客的零影响,企业应选择具有坚实的自动缩放基础结构和大量PoP的解决方案。
Kasada首席执行官Sam Crowther
选择机器人保护解决方案最重要的是了解Bot攻击者的任务和目标。要确定他们是想从您的网站中耗尽广告资源抬高价格以更好地竞争,还是测试被盗的凭据以进行欺诈。
通过了解Bot对业务的全面影响,安全主管可以确保该Bot防护解决方案能够满足企业的特定需求。例如,许多解决方案被设计为在检测到Bot之前需要采样多个请求——如果是这样,则它的设计目的就不是有效地阻止抓取和账户接管尝试,因为如果是这些尝试则会迅速地“进出”。
历史表明,攻击者已经适应企业上述的防御。成功的Bot缓解解决方案必须立即生效,并能阻止新的Bot,它还必须通过数月和数年的时间考验。企业应该询问供应商正在采取哪些措施来实现产品的长期防御效力,例如阻止逆向工程和研发以检测新的自动化威胁。
企业应该寻求尽可能少的配置、维护和支持的方案。供应商的解决方案是否使您的生活更轻松?它是否可以适应最新类型的攻击和重组工作?您的安全团队能否不断完善和更新检测规则?该解决方案是在自动驾驶仪上运行,还是需要专门的内部时间和专业知识才能成功?
Kount副总裁兼高级产品主管Vikram Dhawan
根据以往的经验,企业往往只考虑使用Bot解决方案来保护其技术基础设施,而不是保护企业自身的业务。
不良行为者可以使用Bot作为工具来发起帐户接管攻击并大规模进行欺诈性购买。这是大规模的欺诈行为,会影响企业的库存、收入,退款率和品牌声誉。
当企业选择Bot保护解决方案时,他们实际上是在寻找一种能够防止欺诈活动的解决方案,例如卡测试、凭证填充和帐户接管攻击。并且他们应该对宣称能阻止所有Bot活动的解决方案保持警惕。
事实是,Bot的发展速度超过任何用户的速度,企业应该寻找可以与他们合作以了解欺诈迹象的防欺诈解决方案供应商,如何在不增加摩擦的情况下调整其政策以阻止或挑战欺诈,以及攻击者可能如何使用Bot进行欺诈。企业和安全方案提供者可以一起工作,共同检测和阻止各种欺诈攻击,而不仅仅是来自Bot的欺诈攻击。
Pesdro Fortuna首席技术官Jscrambler
在过去的几年中,Bot的技术水平飞速进化,攻击者现在执行JavaScript的Bot,几乎能完美地模仿用户行为,并且可以欺骗大多数Bot检测和设备指纹识别解决方案,仅执行常规的僵尸程序检测方法不再可行。
企业需要多层的全面防御。除了设备指纹识别和用户行为分析,甚至使用CAPTCHA,这些解决方案还意识到防止对客户端代码进行自动篡改的重要性,因此开始使用令牌化作为授权和防重播作为附加层。
如果这还不够的话,那么抵制Bot僵尸程序的最终武器就是增加一个层,以监视整个客户端是否存在未经授权的行为。这样,就有可能观察到客户端代码的行为的细节,发现潜在的恶意代码并在成功之前将其阻止。
与几乎所有安全防御一样,Bot的攻防也是一场猫鼠游戏,这会引起“猫”与“老鼠”之间的你追我赶。Bot解决方案能够保护企业免受代码篡改并且不被轻易绕开非常重要。