有效反BOT解決方案的要素

時至今日，安全與防詐領域的大多數專業人士都清楚反BOT給在線應用和業務帶來的各種風險，明白需要用高管層和董事會能理解的語言有效闡明此類風險。事實上，這樣的溝通已經越來越普遍了，反BOT問題也得到了更多關注。

毫不意外，隨著反BOT問題引起關注，針對企業買家的營銷內容也甚囂塵上。無論顧慮何種風險，安全與防詐團隊都需要看穿大堆營銷辭令，準確評估反BOT解決方案。那么，企業買家該如何客觀評估反BOT解決方案呢？怎么判斷誰能真正兌現承諾，哪些方法會在自家環境中起效，哪家供應商能夠在不斷變化的威脅形勢中領先一步？

市場上可能有很多不同方法，但企業在評估反BOT解決方案時需要著重考慮以下幾個方面：

? 研發（R&D）：很多反BOT管理供應商都會收集遙測數據。但不同供應商對這些數據的處理方式會對其解決方案的功效產生巨大影響。持續分析、研究和調查這些遙測數據是反BOT管理解決方案起效的必要條件。需要一直反復提出的問題包括：這些數據能告訴我們什么？數據收集對了嗎？我們如何可靠而準確地區分用戶流量和機器流量？成功的R&D還包括識別遙測數據缺口，以及了解還需收集哪些遙測數據才能最大限度地發揮解決方案的效能。

? 機器學習：機器學習是檢測和了解哪些流量源自人類而哪些流量源自反BOT的重要組成部分。很多供應商都會吹噓自己的機器學習功能，將其模型的威力吹得天花亂墜。當然，良好的模型很重要，而且許多頂級供應商也確實擁有很不錯的模型。于是，最有效的反BOT管理解決方案與眾不同的地方在哪里呢？秘密在于數據：饋送進模型中的數據越好，模型產出的預測就越準確可靠。如果沒有輸入合適的數據，就算是最偉大的機器學習模型也無法準確區分用戶流量和反BOT自動生成的流量。

? 身份驗證：供應商總是堅持要求啟用他們最新最棒的檢測規則和/或特征碼。但很多情況下，這么做都造成了誤報和噪音飆升，工作隊列因而堵塞。雪崩般的誤報甚至能把安全信息與事件管理（SIEM）搞崩潰。頂級反BOT管理供應商會在規則發布前進行徹底的測試和驗證。在這些供應商看來，更新后引發大量誤報搞崩客戶簡直就是巨大的失敗。

? 混淆：有必要混淆反BOT管理解決方案的JavaScript腳本，讓攻擊者難以識別這些代碼。很多供應商都沒有做這項操作，導致攻擊者很容易知道自己的目標頁面受反BOT管理解決方案的保護。然后攻擊者就能輕易繞過解決方案，比如說，攻擊者可能會直接修改頁面，刪除掉反BOT管理解決方案的JavaScript腳本，然后就好像根本沒有解決方案一樣繼續他們的攻擊。混淆不是個一勞永逸的流程，而是個需要不斷迭代的過程。能夠抵御攻擊者規避措施的恰當混淆需要研究攻擊者，逆向工程他們的戰術、技術與程序（TTP），并不斷發布新的改進版。

? 高級分析：說在最后，但同樣重要的一點是，在反BOT管理解決方案中融入習得的知識能夠大幅提高效率。但遺憾的是，很多供應商發售的解決方案只能應付一定程度的復雜性。他們并沒有持續研究攻擊者工具更換情況，沒有將研究成果融入自己的解決方案，沒有持續改善自己的產品。這就導致反BOT管理解決方案有時候會在幾周內有一定效果，直到攻擊者發現其目標已經實現了機器人程序管理解決方案。這個時候，攻擊者往往會更換自己的工具，如果解決方案無法應對增加的復雜度，反BOT管理就完全無效了。頂級反BOT管理供應商會持續執行離線或第二階段分析，從而確保他們的解決方案能夠始終有效。

談到反BOT管理解決方案，迭代型解決方案占據絕對的統治地位。在有效率方面，研究攻擊者并將此知識持續反饋給解決方案的供應商比沒這么做的同行要高得多。與之類似，勤于收集最好、最恰當的數據，審查規則，并確保解決方案不被攻擊者篡改，這樣的供應商，其表現也比不這么做的同行要好得多。在評估反BOT管理解決方案時，企業最好參考以上幾個要點。