有效反BOT解决方案的要素

时至今日，安全与防诈领域的大多数专业人士都清楚反BOT给在线应用和业务带来的各种风险，明白需要用高管层和董事会能理解的语言有效阐明此类风险。事实上，这样的沟通已经越来越普遍了，反BOT问题也得到了更多关注。

毫不意外，随着反BOT问题引起关注，针对企业买家的营销内容也甚嚣尘上。无论顾虑何种风险，安全与防诈团队都需要看穿大堆营销辞令，准确评估反BOT解决方案。那么，企业买家该如何客观评估反BOT解决方案呢？怎么判断谁能真正兑现承诺，哪些方法会在自家环境中起效，哪家供应商能够在不断变化的威胁形势中领先一步？

市场上可能有很多不同方法，但企业在评估反BOT解决方案时需要着重考虑以下几个方面：

• 研发（R&D）：很多反BOT管理供应商都会收集遥测数据。但不同供应商对这些数据的处理方式会对其解决方案的功效产生巨大影响。持续分析、研究和调查这些遥测数据是反BOT管理解决方案起效的必要条件。需要一直反复提出的问题包括：这些数据能告诉我们什么？数据收集对了吗？我们如何可靠而准确地区分用户流量和机器流量？成功的R&D还包括识别遥测数据缺口，以及了解还需收集哪些遥测数据才能最大限度地发挥解决方案的效能。

• 机器学习：机器学习是检测和了解哪些流量源自人类而哪些流量源自反BOT的重要组成部分。很多供应商都会吹嘘自己的机器学习功能，将其模型的威力吹得天花乱坠。当然，良好的模型很重要，而且许多顶级供应商也确实拥有很不错的模型。于是，最有效的反BOT管理解决方案与众不同的地方在哪里呢？秘密在于数据：馈送进模型中的数据越好，模型产出的预测就越准确可靠。如果没有输入合适的数据，就算是最伟大的机器学习模型也无法准确区分用户流量和反BOT自动生成的流量。

• 身份验证：供应商总是坚持要求启用他们最新最棒的检测规则和/或特征码。但很多情况下，这么做都造成了误报和噪音飙升，工作队列因而堵塞。雪崩般的误报甚至能把安全信息与事件管理（SIEM）搞崩溃。顶级反BOT管理供应商会在规则发布前进行彻底的测试和验证。在这些供应商看来，更新后引发大量误报搞崩客户简直就是巨大的失败。

• 混淆：有必要混淆反BOT管理解决方案的JavaScript脚本，让攻击者难以识别这些代码。很多供应商都没有做这项操作，导致攻击者很容易知道自己的目标页面受反BOT管理解决方案的保护。然后攻击者就能轻易绕过解决方案，比如说，攻击者可能会直接修改页面，删除掉反BOT管理解决方案的JavaScript脚本，然后就好像根本没有解决方案一样继续他们的攻击。混淆不是个一劳永逸的流程，而是个需要不断迭代的过程。能够抵御攻击者规避措施的恰当混淆需要研究攻击者，逆向工程他们的战术、技术与程序（TTP），并不断发布新的改进版。

• 高级分析：说在最后，但同样重要的一点是，在反BOT管理解决方案中融入习得的知识能够大幅提高效率。但遗憾的是，很多供应商发售的解决方案只能应付一定程度的复杂性。他们并没有持续研究攻击者工具更换情况，没有将研究成果融入自己的解决方案，没有持续改善自己的产品。这就导致反BOT管理解决方案有时候会在几周内有一定效果，直到攻击者发现其目标已经实现了机器人程序管理解决方案。这个时候，攻击者往往会更换自己的工具，如果解决方案无法应对增加的复杂度，反BOT管理就完全无效了。顶级反BOT管理供应商会持续执行离线或第二阶段分析，从而确保他们的解决方案能够始终有效。

谈到反BOT管理解决方案，迭代型解决方案占据绝对的统治地位。在有效率方面，研究攻击者并将此知识持续反馈给解决方案的供应商比没这么做的同行要高得多。与之类似，勤于收集最好、最恰当的数据，审查规则，并确保解决方案不被攻击者篡改，这样的供应商，其表现也比不这么做的同行要好得多。在评估反BOT管理解决方案时，企业最好参考以上几个要点。