什么是机器人安全？ 保护您的基础设施

机器人安全是防止恶意机器人并确保在线资源的完整性和可用性的实践，同时不影响有助于促进在线商务、充当 Alexa 或 Siri 等个人助理或充当聊天机器人以自动化网站客户服务的良好机器人。

恶意机器人通过多种方式泄露数据、破坏服务和损害企业，对数字生态系统构成重大威胁。 

机器人可以被编程来渗透系统并窃取敏感信息，如个人数据、财务记录或知识产权；机器人是用于基于凭证的攻击的主要数字工具。 机器人还可以操纵或更改数据库或存储系统中的数据，导致财务损失或不准确的记录。 

机器人还被用来破坏在线服务和系统。 犯罪分子可以从多个连接的设备中指挥大量机器人，通过分布式拒绝服务 (DDoS) 攻击来淹没网站、服务器或网络，使目标用户无法访问他们的服务。

机器人活动还会损害品牌声誉、操纵库存、实现账户接管 (ATO) 并引发金融欺诈，从而严重损害企业的财务成功。

在网络安全方面，机器人主要有两种类型：恶意机器人和防御性机器人。

网络犯罪分子编写恶意机器人程序来发起各种有创意、复杂且隐秘的攻击，试图利用整个网络属性和应用中的攻击面。 这些机器人被设计为无需人工干预即可运行，它们通常执行传播恶意软件、执行 DDoS 攻击、窃取敏感信息或从事欺诈活动等任务。 恶意机器人可以渗透网络、破坏数据完整性并破坏服务，带来严重的网络安全威胁。 他们的行动范围从利用软件漏洞到进行社会工程攻击，最终目的是造成伤害、经济损失或未授权访问系统和敏感信息。

防御性机器人控制是旨在保护计算机系统、网络和 Web 平台免受各种安全威胁和攻击的自动化程序和机制的另一个术语。 这些机器人通过多种方式运行来保护数字资产并确保信息的完整性、机密性和可用性。

这些防御自动化包括防病毒机器人，它使用基于签名的检测、行为分析和启发式方法来识别与已知恶意软件相关的模式和行为。 防御机器人也被用作防火墙保护的一部分，它们通过分析数据包并执行预定义的安全规则来确定是否允许或阻止流量，从而监控传入和传出的网络流量。 特别是 Web应用防火墙 (WAF)，它结合了行为分析，并可以与通过机器学习提供自动保护的复杂机器人管理控制相结合。 

入侵检测和预防系统 (IDPS)还采用防御机器人通过自动响应和利用威胁情报（例如阻止某些 IP 地址、修改防火墙规则或警告安全人员）主动识别和预防安全事件。 防御机器人还可以通过识别与 DDoS 攻击相关的模式并实施对策来维持服务可用性，从而过滤和转移与僵尸网络相关的恶意流量。 这些措施可能包括动态更新防火墙规则以阻止来自攻击源的流量，从而防止恶意机器人进一步访问网络。

机器人攻击有多种形式，针对多种类型的组织。 

• 撞库攻击。 机器人攻击的最常见形式之一是撞库攻击，这会导致账户接管（ATO） ，这是各种欺诈的主要载体。 网络犯罪的这种双重打击始于窃取或获取用户凭证，通常是用户名-密码对。 这些可以通过一系列其他网络攻击和其他网络犯罪技术被窃取，或者在暗网市场上购买。 一旦攻击者积累了大量有效凭证，他们就可以开始撞库攻击过程，通常是大规模的，通过针对另一个站点的网站登录表单测试大量受损凭证。 由于大约三分之二的消费者在多个网站上重复使用相同的用户名和密码，这些受损凭据很容易被网络犯罪分子及其自动机器人大军利用：很大一部分受损凭据还可以用于访问其他网站的帐户。 一旦攻击者接管了账户，他们就可以更改凭证以锁定合法账户所有者，耗尽资产，并使用这些账户实施其他欺诈行为。
  
• 内容抓取。 使用机器人进行内容抓取既有合法的影响，也有有害的影响。 内容抓取使用自动机器人从目标网站收集大量内容，以便在其他地方分析或重复使用这些数据。 内容收集虽然可以用于价格优化和市场研究等积极目的，但也可以用于恶意目的，包括价格操纵和盗窃版权内容。 此外，大量的内容抓取活动也会影响网站性能并阻止合法用户访问网站。
• DDoS 攻击。 降低网站性能是 DDoS 攻击的预期目标，犯罪分子会从多个来源或僵尸网络（攻击者控制的受感染计算机或设备的网络）调配大量机器人。 攻击者协调这些多个来源，同时对目标发起攻击，使目标不堪重负、无法使用。 DDoS 攻击可能会造成严重后果，损害在线服务的可用性和完整性并造成严重破坏，还可能造成财务损失、勒索和声誉损害。
• 库存囤积。 经销商机器人有时被称为购买机器人，它们被部署来在网上商品或服务开始销售时批量购买它们。 通过即时完成结账流程，犯罪分子可以大规模控制有价值的库存，这些库存通常会在二级市场上以大幅加价转售。 这些机器人让犯罪分子能够控制库存或价格，导致人为短缺、库存被拒绝以及消费者沮丧。  
• 创建虚假帐户。 网络犯罪分子使用机器人自动完成账户创建过程，并使用虚假账户实施欺诈行为，例如影响产品评论、传播虚假信息、传播恶意软件、滥用奖励或折扣计划、或创建和发送垃圾邮件。 同样，犯罪分子可以编写机器人程序来申请信用卡或贷款，以欺骗金融机构。
• 礼品卡破解。 攻击者部署机器人检查数百万个礼品卡号码变体，以识别有价值的卡号。 一旦攻击者识别出余额为正的卡号，他们就会在合法客户有机会使用礼品卡之前兑换或出售礼品卡。 旅游和酒店忠诚度计划也是这些基于机器人的攻击的目标。

机器人攻击会对组织的网络产生深远的负面影响，并对其业务运营造成重大损害。 

数据盗窃是机器人攻击最严重的潜在后果之一，因为机器人可以被编程为系统地从网站、数据库或 API 中收集数据。 这些数据可能包括知识产权、商业秘密或其他专有信息，可能会导致竞争优势的丧失或品牌声誉的损害。 盗窃客户信息还会危及数据保护法规的遵守，并导致罚款或法律后果。 

机器人攻击会破坏服务，给组织造成严重损害，导致财务损失并损害客户信任。 不受缓解的机器人驱动攻击的一个严重后果是 DDoS，当犯罪分子指挥僵尸网络压垮网络资源并导致服务中断时。 

当合法客户发现自己的账户被锁定并且无法进行业务交易时，撞库攻击和账户接管攻击也会导致服务中断。 客户不仅无法访问自己的账户，控制被盗账户的犯罪分子还可以利用这些账户进行欺诈交易。 

设置安全机器人防御以防范恶意机器人攻击涉及几个关键步骤。 

进行彻底的分析以识别特定于您的系统和行业的潜在机器人威胁。 使用 IP 分析等技术根据源 IP 地址检查传入流量的特征。 这有助于识别与已知恶意 IP 地址或可疑行为相关的模式，并有助于区分机器人流量和合法用户活动。 维护与机器人活动相关的已知恶意 IP 地址的拒绝列表。 

分析 IP 地址的地理位置以检测异常；来自异常区域的流量突然涌入可能表明存在僵尸网络。 此外，据了解，许多自治系统编号 (ASN) 被攻击者用来为其活动构建分布式基础设施，以帮助避免被发现。 通过用户代理分析，检查用户代理签名以识别发出请求的客户端类型。 机器人通常使用通用或经过修改的用户代理，这些代理偏离了典型模式，使其与真正用户区分开来。 

使用行为分析来评估传入的流量，以识别可能表明机器人活动的模式或异常。 这种方法对于试图模仿人类行为的复杂机器人特别有效。 检查用户会话的持续时间和流程，因为与合法用户相比，机器人的会话通常更短、变化更少，或者在与网站或应用的交互中可能表现出重复、快速或非人类的模式。 一些先进的行为分析机制可以跟踪鼠标移动和点击，以区分人机交互和自动交互。

WAF 充当 Web应用和 Internet 之间的保护屏障，保护数据和 Web应用免受各种网络威胁，并防止任何未经授权的数据离开应用程序。WAF 包括检测和缓解恶意机器人流量的功能，可防止网络抓取、撞库攻击和自动攻击等恶意活动。 WAF 还包括速率限制和节流机制，可限制特定 IP 地址在规定时间范围内的请求数量，从而有助于减轻 DDoS 攻击的影响。 WAF 还可以保护 Web应用和系统免受其他恶意和自动攻击，包括 SQL 注入、跨站点脚本 (XSS) 和跨站点请求伪造 (CSRF)。

WAF 可以通过多种方式部署 - 这完全取决于您的应用部署在何处、所需的服务、您希望如何管理它以及您所需的架构灵活性和性能级别。 WAF 还可以与专门的机器人管理控制集成，无论攻击者如何调整恶意活动，都能保持有效性和弹性。  以下指南可帮助您选择适合您的 WAF 和部署模式。

安全性必须适应攻击者的重新装备，试图绕过对策 - 无论攻击者的工具、技术或意图如何 - 而不会用登录提示、CAPTCHA 和 MFA 来挫败用户。 其中包括针对Web应用、移动应用和API接口的全渠道保护、实时威胁情报、以及由AI驱动的回顾性分析。

跨云和架构的可见性、持久且模糊的遥测，再加上集体防御网络和高度训练的机器学习模型，提供了无与伦比的精确度来检测和阻止机器人、自动攻击和欺诈。 当攻击者重新调整并适应对策时，这使得缓解措施能够保持完全有效性——阻止最先进的网络犯罪分子和国家行为者，而不会让您的真正客户感到沮丧。

以下是维护有效机器人安全的最佳实践指南。

• 主动监控机器人流量并对威胁做出快速反应。 定期监控使组织能够建立网络流量正常行为的基线。 然后可以同时检测到模式中的任何偏差或异常，从而发出潜在的机器人活动信号。 早期检测能够在机器人造成重大危害之前做出迅速反应。 此外，威胁形势也在不断演变，新的机器人攻击技术不断涌现。 定期监控可以让安全团队随时了解最新趋势并识别新出现的威胁。 通过结合实时情报和人工智能的回顾性分析，防御者可以调整对策，并通过阻止攻击者的重组努力来消灭攻击者。 
• 针对可疑机器人活动设置实时警报。 使用日志和警报系统立即接收可疑行为的通知。 定期检查日志以识别模式和潜在的安全事件。 制定全面的事件响应计划，概述发生机器人相关攻击时应采取的步骤。 许多供应商提供持续监控和定期威胁简报，以帮助组织分析风险并采取必要的保护措施。 
• 制定系统的安全修补实践。 通过及时应用安全补丁和系统更新，组织可以降低针对已知漏洞的恶意机器人利用的风险。 定期修补系统还可以减少攻击面，使机器人更难利用未公开的漏洞，从而增强对零日漏洞的防护。 值得注意的是，许多机器人针对固有漏洞并滥用关键业务逻辑（例如登录、创建帐户、重置密码功能），而不是利用软件漏洞或软件弱点。 

随着恶意机器人攻击变得越来越复杂、恶意和危险，机器人安全也在不断发展，以保持领先地位，并在网络犯罪分子和安全团队之间不断扩大的军备竞赛中保持弹性——同时要认识到威胁（和缓解措施）永远不会停止发展。 

减轻机器人威胁的最佳方法是采用分层安全方法来管理不断变化的攻击媒介，并在漏洞和威胁执行之前识别和解决它们。 主动让您的组织做好应对机器人影响的准备将有助于保护您的知识产权、客户数据和关键服务免受自动攻击。

F5 分布式云机器人防御提供实时监控和情报，保护组织免受自动攻击，包括针对 Web应用、移动应用和 API 接口的全渠道保护。 分布式云机器人防御使用实时威胁情报、人工智能驱动的回顾性分析和持续的安全运营中心 (SOC) 监控来提供具有弹性的机器人缓解措施，以阻止最先进的网络攻击。 无论攻击者如何重组，无论攻击从 Web 应用程序转向 API，还是试图通过欺骗遥测或使用人工 CAPTCHA 求解器来绕过反自动化防御，F5 解决方案均能保持有效性。

F5 还提供多层 DDoS 保护以实现高级在线安全，作为一种托管的、云交付的缓解服务，可以实时检测和缓解大规模网络、协议和应用程序攻击；本地硬件、软件和混合解决方案也可以提供相同的保护。 F5 分布式云 DDoS 缓解功能可在容量和特定于应用程序的 3-4 层攻击以及高级 7 层攻击到达您的网络基础设施和应用之前防御这些攻击。