博客

机器人是图灵安全测试的祸根

Lori MacVittie 缩略图
洛里·麦克维蒂
2017 年 9 月 28 日发布

机器人很酷。 机器人很可怕。 机器人代表着未来。 机器人每天都在变得越来越智能。

根据我们谈论的机器人类型,我们要么对它们感到沮丧,要么对它们着迷。 一方面,聊天机器人通常被认为是企业数字化转型战略的关键组成部分。 对于消费者而言,它们提供了快速回应问题和疑问的机会。 在内部,他们可以执行任务并回答有关所有事项的状态问题,从最近提交的费用报告到全新应用程序的当前容量。

另一方面(无疑是更黑暗的一面),有些机器人是坏的。 非常糟糕。 有事物机器人——那些已被入侵并加入死星僵尸网络的物联网设备。 而有些机器人的唯一目的就是通过诡计来抓取、窃取和阻止业务。

我们今天所关注的正是后者的机器人,因为它们变得越来越聪明,不幸的是,它们现在已经成为互联网上大多数“用户”。

恶意机器人影响

严重地。 所有互联网流量中有 52% 是非人类的。 现在其中一些是企业对企业的 API 和合法机器人,例如搜索索引器和媒体机器人。 但其中很大一部分只是彻头彻尾的坏机器人。 据跟踪这些数字啮齿动物的 Distil Networks称,“恶意机器人占所有网络流量的 20%,并且无处不在、无时无刻。” 对于大型网站来说,它们占流量的 21.83%——比 2015 年增加了 36.43%。 其他研究也讲述了类似的故事。 无论谁提供这些数字,对于企业来说都不是好消息。

 

Distil Networks 的报告指出,“2016 年,三分之一 (32.36%) 的网站的恶意机器人流量峰值是平均值的 3 倍,平均每年出现 16 次此类峰值。” 突然的峰值是导致性能问题(因为负载增加,性能下降)以及停机的原因。 

如果机器人攻击本地应用程序,它们不仅会导致中断,还会导致与该应用程序相关的成本上升。 许多应用程序仍然部署在需要许可证的平台上。 每次启动新实例时,会计分类账中也会有一条条目。 扩展软件需要花费真金白银。 无论许可成本如何,每笔交易都会有相关成本,因为硬件和带宽仍然不像我们希望的那么便宜。

在云中,扩展更容易(通常),但您仍然需要为此付费。 云端的计算和带宽都不是免费的,并且与本地部署一样,由于机器人流量的存在,实际交易的成本将会增加。

答案当然是简单的。 在流量到达应用程序之前停止流量。

这听起来比实际要容易得多。 你看,安全被迫在图灵测试的标准解释中扮演“玩家 C”的角色。 对于那些不记得的人来说,图灵测试迫使询问者(玩家 C)确定哪个玩家(A 或 B)是机器,哪个是人类。 而且它只能使用书面回复,因为否则,嗯,呃。 简单的。

如今,安全解决方案也同样必须使用数字化信息来区分人与机器。

Web 应用防火墙: 图灵安全测试中的玩家“C”

Web应用防火墙 (WAF) 的设计目的就是实现这一点。 无论是作为服务在本地还是在公共云中,WAF 都可以通过检测机器人并拒绝其访问所需资源来保护应用程序免受机器人的攻击。 问题是许多 WAF 仅过滤与已知不良用户代理和 IP 地址匹配的机器人。 但是机器人变得越来越聪明,它们知道如何轮换 IP 地址并切换用户代理以逃避检测。 Distil 指出,52.05% 的“恶意机器人会加载并执行 JavaScript,这意味着它们安装了 JavaScript 引擎”,这表明机器人的智能程度正在不断提高。

这意味着如果您要成功识别并拒绝恶意机器人,您必须掌握更多有关“用户”的信息。 好消息是,信息就在那里,而且都是数字化的。 正如我们可以通过人类的肢体语言、说话方式和词汇选择了解很多信息一样,我们也可以透过每次交易所携带的数字信息收集很多信息。

通过正确结合威胁情报、设备分析和行为分析,WAF 可以正确区分恶意机器人和合法用户(人类或机器人)。 您的选择决定了机器人是否能够超越您的安全策略并有效“赢得”图灵安全测试。

  • 威胁情报
    威胁情报将地理位置与流量的主动分类相结合,并使用来自尽可能多可靠来源的情报来帮助识别坏机器人。 这本质上是“大数据”,它使整个安全合作伙伴生态系统能够共享情报,从而及时、更准确地识别最新的机器人攻击尝试。
waf 工作原理

 

  • 设备分析
    对设备进行分析包括将请求与已知的 BOT 签名和身份检查进行比较。 操作系统、网络、设备类型——从连接中收集到的一切信息(有很多)都可以使用。 指纹识别也很有价值,因为事实证明,浏览器(以及机器人)共享的信息量(可能是无意中)足以唯一地识别它们。 在EFF网站上可以找到关于此理论的精彩文章。 我要指出的是,统计数据表明,截至 2007 年,只需要 32.6 位信息就能唯一地识别一个个人。 用户代理字符串包含大约 10.5 位,并且机器人可以免费提供这些字符串。
  • 行为分析
    然而,在数字世界中,个人资料可以瞬间改变,位置也可以被掩盖或欺骗。 这就是为什么行为分析也是从合法流量中识别坏机器人的一部分。 这通常以某种挑战的形式出现。 我们将此视为用户在验证码和“我不是机器人”复选框中的操作,但这些并不是挑战机器人的唯一手段。 行为分析还会监视会话和交易异常以及暴力访问的尝试。
  •  

    使用这三种方法可以提供更全面的背景信息,并允许 WAF 正确识别坏机器人并拒绝其访问。

    我们(即企业的我们)一直将这种独特的变量组合称为“背景”。 上下文是当今许多安全解决方案不可或缺的组成部分——访问控制、身份管理和应用程序安全。 上下文对于以应用程序为中心的安全策略至关重要,它是任何能够准确有效地处理恶意机器人的 WAF 的关键功能。 上下文提供了“全局”,使 WAF 能够正确地区分好坏,从而保护宝贵的资产并限制经营成本。

    已修复。 机器人已经深入人心,通过正确的 WAF,您可以提高阻止机器人进行恶意攻击的能力,即窃取对企业利润产生真正影响的数据和资源。