向机器人缓解供应商提出的 10 个问题

您怀疑自己遇到了机器人问题。 也许由于流量激增、账户接管（ATO）率过高，或者有人破解了您的礼品卡并窃取了您的知识产权，您已经增加了基础设施成本。 最有可能的是，如果你深入挖掘，你还会发现欺诈问题，以及品牌评分和客户忠诚度的近期下降。 您尝试使用速率限制、IP 和地理阻止、信誉、指纹识别、CAPTCHA 和多因素身份验证 (MFA) 自行处理此问题，但这变成了一场无休止的战斗，需要管理多种解决方案、试图领先于攻击者并处理无法完成购买的沮丧客户。

现在您决定寻求专业人士的帮助，以节省一些时间。 您已经将范围缩小到几个供应商，并且您将向他们询问一些问题。 但什么问题呢？

这里有一些很好的建议，可以让您了解机器人缓解供应商的解决方案是否适合您的环境。

1. 供应商如何处理攻击者的重新装备？

如果您的客户帐户的感知价值很高，攻击者可能不会轻易放弃 - 相反，他们会不断重新装备并再次尝试。 这是基本的攻击者经济学，这意味着这是你最重要的问题。 当安全对策到位后，持续攻击者会重新调整策略，使用各种方法、工具甚至人工智能来绕过缓解控制。撞库攻击的受害者表示，独自对抗机器人和自动化就像玩打地鼠游戏一样。 您正在付费让服务为您玩这个游戏，因此请询问他们如何处理。

2. 供应商是否大幅增加了客户摩擦？

CAPTCHA 和 MFA 会大大增加客户的摩擦力。 人为失误率在 15% 到 50% 之间，导致购物车放弃率高，用户满意度下降。 即使出现过一次负面的用户体验，您的客户也可能永远不会再回来。

老实说，请仔细考虑那些依赖已知会引发摩擦的对策的供应商。 这些防御措施不仅让用户感到沮丧，而且攻击者通常能够绕过它们。 欺诈者可以利用工具和人力来解决 CAPTCHA ，甚至可以利用受损的 PII 来冒充帐户持有人，以便将电话线转移到他们控制的帐户以完成 MFA 请求。

3. 该服务如何处理误报？

对于供应商来说，误报是指将真人标记为机器人。 当他们将机器人标记为人类时，就会出现假阴性。

机器人缓解措施将同时具备这两种特点；对任何声称具有不同特点的供应商应持怀疑态度。 但是供应商应该对误报问题做出积极响应；也就是说，您应该能够联系他们、进行投诉并解决误报问题。

4. 当攻击者绕过检测时，服务如何适应？

一些高级攻击者将会尝试甚至设法绕过检测，从而造成误报。 机器人缓解供应商必须像熟练的攻击者即将绕过所有对策一样进行操作。 当它发生时，您可能不会意识到，直到看到副作用（帐户接管、欺诈、歪曲的业务分析等）。 然后您需要联系您的供应商并与他们合作解决如何补救。

他们是如何处理这个过程的？ 供应商的响应和周转时间是多少？

5. 供应商如何处理手动（人为）欺诈？

如果您的供应商特别擅长阻止自动化（机器人），那么非常坚定且熟练的攻击者将在真实浏览器中手动输入凭据，以绕过反自动化防御，从而可能导致帐户接管（ATO）和欺诈。 事实上，安全登录背后仅仅 10 美元的价值就足以激发专业攻击者的攻击动机。 许多服务都无法检测到这一点（因为人类不是机器人）。

供应商必须能够确定一个人是值得信赖的客户还是欺诈者。

他们的服务能检测到恶意吗？ 准确的检测可以区分机器人、使用复杂工具和人工智能模拟或表现出人类行为的攻击者以及真实客户，然后采取最合适的行动，而不会协助攻击者的侦察工作或影响客户体验。 

6. 如果一个客户被绕过，供应商如何保护该绕过不影响所有其他客户？

在许多情况下，应该为每个客户部署定制的检测和缓解策略。 这样，如果攻击者重新调整策略以绕过某个站点的对策，他们就无法自动使用该剧本进入您的站点。 应该避免每个客户因针对不同客户而进行重新装备。

银行和金融服务等某些垂直行业吸引了最有动机和最老练的网络犯罪分子。 最有效的机器人缓解解决方案将在类似的攻击概况和风险面上检测攻击者的技术，以便自动部署适当的对策。 此外，历史欺诈记录可以进一步训练人工智能模型，以最大限度地提高效力。

7. 如果攻击者绕过缓解措施，服务是否仍然能够发现攻击？

攻击者绕过防御后，服务变得盲目是很常见的。 如果供应商减轻了他们用于检测的数据的威胁，那么当攻击者绕过缓解措施时，您将失去检测能力。 例如，如果他们在 IP 上进行阻止，当攻击者绕过阻止（全局分发）时，供应商可能会失去可见性，并且不知道攻击的严重程度。

系统正常运行的一个例子是，当有 10,000 次登录时，它们最初看起来都正常，因为它们具有适合人类的行为分析。 但后来确定这 10,000 人的行为均相同，这意味着登录是自动的。

最有效的机器人缓解解决方案持续收集和分析各种设备、网络、环境和行为遥测信号，以最大限度地提高可见性并准确识别异常。 这反过来又提高了闭环 AI 模型的有效性，同时为供应商的安全运营中心 (SOC) 提供了关键见解。

8. 该解决方案的部署和维护有多困难？

用户或管理员是否必须安装自定义端点软件，还是自动进行保护？ 如果没有端点存在，供应商如何检测已 root 的移动设备？ 它如何使用最新的安全工具和来自暗网的数据检测攻击？ 那么 API 呢？

当您的团队发明了 JavaScript 中的 9 个相关功能中的 5 个，并且您的解决方案跨云和架构运行时，它会有所帮助，无缝部署定制的保护措施，最大限度地提高可见性和安全效力，而不会给应用开发生命周期或客户体验带来摩擦。

9. 供应商检测到哪些类型的异常？

攻击者不断利用机器人、自动化和受损凭证来协助他们的攻击，最终目的是获取经济利益。 基本的缓解措施还不够。 例如，攻击者会重复使用 IP 地址，但通常平均只有 2.2 次。 通常，它们每天或每周仅使用一次！ 这使得 IP 封锁基本上无效。

自动化工具可以构建绕过速率限制的定制攻击，CAPTCHA 求解器和 Web 堆栈模拟可以欺骗标头和环境检查，可编写脚本的消费者浏览器和反指纹识别工具可以击败指纹识别甚至行为分析。 这确实是一场军备竞赛。

攻击者通常会从四个方面进行投资：

• 欺骗网络流量
• 模拟各种有效的设备和浏览器
• 使用被盗凭证、PII 和合成身份
• 模仿和展示真实的人类行为

除了IP地址之外，还有上百个客户端信号。 良好的服务将利用各种信号和人工智能来提供可操作的见解并检测表明欺诈的异常行为 - 包括复制和粘贴活动、屏幕切换、奇怪的屏幕空间使用、设备亲和性、环境欺骗和匿名身份尝试 - 而不是依赖于 IP 阻止、签名和指纹识别。

10. 供应商多快能够做出改变？

当攻击者重新调整策略以绕过当前的对策时，供应商会多快重新调整策略？ 是几小时，还是几天？ 如果存在复杂的持续性攻击者，并且需要采取多种对策或与 SOC 协商，供应商是否会收取额外费用？

对于任何供应商来说，还存在其他必须回答的问题。 诸如部署模型（有云选项吗？）和成本模型（清洁流量还是按小时收费？）。 当然，您还应该比较每个供应商的服务水平协议 (SLA)。 但您可能还是会问这些问题（对吗？）。

是的，这篇文章有点偏见，因为 F5 是首屈一指的应用安全供应商。 但请考虑一下我们与之交谈过的数百名选择我们的客户；这些都是他们提出的问题，我们希望这些问题能够对您有所帮助，即使您最终选择了其他机器人缓解供应商。 因为攻击者不会根据云、架构、CDN 或您的安全和欺诈团队组织结构图进行区分。 您的应用程序背后隐藏着金钱，而金钱正是犯罪分子攻击的对象。

下一步

全球最有价值的品牌，包括金融机构、零售商、航空公司和连锁酒店，都已在使用 F5 机器人缓解解决方案来保护他们的应用程序、客户和业务。

F5 始终比其他供应商阻止更多的机器人和自动化。 这减少了欺诈和操作复杂性，同时增加了收入并改善了客户体验。

如果您想亲自查看，请告诉我们。

本博文的部分内容基于之前发布的内容，已更新以反映 F5 当前提供的内容。