作者 | Byron McNaught
职位 | F5 员工
您认为自己面临着一个 Bot 问题。也许您的基础设施成本因流量激增而增加,帐户接管 (ATO) 率很高,或者有人在破解您的礼品卡并窃取您的知识产权。更有甚者,如果您再深入挖掘下去,还会发现存在欺诈问题,以及最近品牌分数和客户忠诚度下降。您试图通过速率限制、IP 和地域屏蔽、信誉、指纹、CAPTCHA 和多重因素身份验证 (MFA) 来自行处理,但这会成为一场无休止的战斗 - 管理多种解决方案,试图领先攻击者一步,还要安抚购物不顺而沮丧的客户。
现在您已经决定请专业人士前来帮助,以节省您的时间。您已经将范围缩小到几个供应商,您将要询问他们一些问题,但是要询问什么问题呢?
以下是一些值得思考的问题,可以让您了解 Bot 缓解供应商的解决方案是否适合您所处的环境。
1.供应商如何应对攻击者的重新调整?
如果客户帐户的感知价值很高,攻击者很可能不会轻易放弃,相反,他们会不断重新调整并再次尝试。这就是基本的攻击者经济学,这意味着该问题对您而言十分重要。当采取安全对策后,持续的攻击者会利用各种方法、工具,甚至是人工智能,重新调整以绕过缓解控制措施。撞库攻击的受害者表示,仅靠个人来对抗 Bot 和自动化永远不会成功。您打算聘请专业的服务人士为您提供帮助,因此,您需要询问他们如何解决这一难题。
攻击者总是重新调整策略,供应商要如何
2.供应商是否大大增加了客户摩擦?
CAPTCHA 和 MFA 极大增加了客户摩擦。人为的失败率在 15% 到 50% 之间,并导致购物放弃率增加以及用户满意度下降。即使是一次糟糕的用户体验,客户也可能会永久流失。
坦诚而言,请认真考虑那些依靠明知会带来摩擦对策的供应商。这些防御措施不仅会使用户感到沮丧,攻击者往往也能绕过。欺诈者可以利用工具和人力来解决 CAPTCHA,甚至可以利用受损的 PII 来冒充帐户持
3.服务如何应对误报?
对供应商而言,误报是指他们将真实人类标记为 Bot,以及将 Bot 标记为人类。
Bot 缓解一般两者皆存在,因此,对任何声称不存在此情况的供应商都要持怀疑态度。但供应商应该对误报问题做出非常积极的反应,也就是说,您应该能够联系他们,进行投诉并对误报判断进行处理。
4.当攻击者绕过检测时,服务会如何应对?
将会有高级攻击者试图甚至是设法绕过检测,造成误报。Bot 缓解供应商在运作时,必须假定会有熟练的攻击者立即绕过所有的应对措施。发生这种情况时,您可能还未察觉,直至发现其所带来的负面影响(帐户接管、欺诈、歪曲商业分析等)。而后,您需要联系供应商并与他们一起研究如何进行补救。
他们如何应对这一过程?供应商的反应和周转时间为何?
5.供应商如何处理人为(人为因素)欺诈?
如果您的供应商特别善于阻止自动化 (Bot),十分坚决且熟练的攻击者会在真实的浏览器中手动输入凭证,以绕过反自动化防御,这可能导致帐户接管 (ATO) 和欺诈。事实上,在安全登录的背后,仅仅 10 美元的价值便可能足以激励专业的攻击者发起攻击。而许多服务并没有发现这一点(因为人类并非 Bot)。
供应商必须能够确定某个人是值得信赖的客户还是欺诈者。
他们的服务能否检测出恶意意图?准确检测可以区分 Bot、使用复杂工具和人工智能以模仿或表现人类行为的攻击者以及真正的客户,然后采取最为适当的行动,而不协助攻击者的侦察工作或影响客户体验。
服务如何应对人为欺诈?
6.如果绕过某位客户,供应商如何保护此绕过行为不会影响所有其他客户?
在许多情况下,应该为每位客户部署定制的检测和缓解策略。如此一来,若攻击者重新调整,足以绕过一个网站的应对措施,他们便无法自动使用该战术进入您的网站。每位客户都应免受针对不同客户的重新调整策略的影响。
某些行业的垂直领域(如银行和金融服务)吸引了最具动力的老练网络犯罪分子。最为有效的 Bot 缓解解决方案将在类似的攻击特征和风险面检测攻击者的技术,以便自动部署适当的对策。此外,历史欺诈记录可以进一步训练人工智能模型,以最大限度提高功效。
7.如果攻击者绕过缓解措施,服务是否仍对攻击具有可视化?
攻击者绕过防御措施后,服务不会对攻击有可视化,这十分正常。如果供应商对他们用于检测的数据采取缓解措施,那么当攻击者绕过缓解措施时,您就会失去检测的能力。例如,如果他们对 IP 进行封锁,当攻击者绕过封锁(分布于全球)时,供应商可能会失去可视化并且不会知道攻击到底有多严重。
系统正常运行的示例即,当出现 10,000 次登录时,最初看起来一切都正常,因为其行为分析在人类的适当范围内,但后来确定这 10,000 登录皆为相同的行为,这意味着这是自动登录。
最为有效的 Bot 缓解解决方案会不断收集和分析各种设备、网络、环境和行为遥测信号,以最大限度地提高可视化和准确识别异常情况。而这反过来又提高了闭环人工智能模型的功效,同时为供应商的安全运营中心 (SOC) 提供关键的洞察。
8.该解决方案的部署与维护难度如何?
用户或管理员是否必须安装定制的端点软件,或是自动保护?如果不存在端点,供应商如何检测被植根的移动设备?其如何使用最新的安全工具和暗网数据检测攻击?API 情况又如何?
当您的团队在 JavaScript 中发明了 5 个相关功能(共 9 个),并且您的解决方案跨云和架构运行,无缝部署定制的保护措施,从而最大限度地提高可视化和安全功效,而不会给应用开发生命周期或客户体验带来摩擦时,这将有所帮助。
9.供应商能够检测到哪些类型的异常情况?
攻击者不断利用 Bot、自动化和被破坏的凭证来协助攻击,从而最终获得经济利益。基本的缓解措施远远不够。例如,攻击者重复使用 IP 地址,但通常平均只有 2.2 次。通常,他们每天或每周只使用一次!这使得 IP 封锁在很大程度上无效。
自动化工具可以构建绕过速率限制的定制攻击,CAPTCHA 解算器和 Web 堆栈模拟能够欺骗标头和环境检查,可编写脚本的消费者浏览器和抗指纹工具可以击败指纹识别甚至是行为分析。这确实是一场硬仗。
攻击者通常沿四个载体进行攻击:
欺骗网络流量
仿效各种有效设备和浏览器
使用偷窃的凭证、PII 和合成身份
模仿和展示真实的人类行为
除了 IP 地址,还有一百多个客户信号。一项良好的服务将利用各种信号和人工智能来提供可操作的洞察,并可检测出表明欺诈的异常行为,其中包括复制和粘贴活动、屏幕切换、奇怪的屏幕空间使用、设备关联性、环境欺骗和试图匿名身份,而不是依靠 IP 封锁、签名和指纹。
10.供应商做出改变的速度如何?
当攻击者重新调整以绕过当前的应对措施时,供应商重新调整的速度如何?几小时还是几天?如果是老练的持久性攻击者,需要采取多种应对措施或需与 SOC 协商,供应商是否会额外收费?
还有一些其他问题,对任何供应商而言都十分重要。诸如部署模型(是否有云选项?)和成本模型(清洁流量还是按小时收费?)当然,您还应该比较每个供应商的服务水平协议 (SLA)。但您可能还是要提问这些问题(对吗?)。
这篇文章或许略有偏颇,但考虑到与我们交谈过并选择我们的数百名客户,这些都是他们提出的问题;即使您最终选择了不同的 Bot 缓解供应商,我们也希望能对您有所帮助。因为攻击者不会因为云、架构、CDN 或您的安全及欺诈团队组织结构图而区别对待。应用背后的利益才是犯罪分子发起攻击的原因所在。
☆下 一 步
全球最有价值的品牌(包括金融机构、零售商、航空公司和连锁酒店)都已在使用 F5分布式云机器人防御解决方案来保护其应用、客户和业务。
一直以来,F5 所阻止的 Bot 和自动化都要比其他供应商多。这也减少了欺诈和操作复杂性,同时增加收入并改善客户体验。
这篇文章的部分内容基于以前发表的内容,目前已更新以反映出 F5 当前提供的产品。