到目前为止,许多安全和欺诈专业人士都了解机器人程序给我们的在线应用程序和我们的一般业务带来的风险。在之前的一篇文章中,我讨论并总结了其中一些风险,以帮助安全和欺诈团队理解用他们自己的语言向高管和董事会阐明机器人程序威胁的必要性。事实上,这种类型的交流已经越来越普遍,导致人们对机器人问题有了更高的认识。
毫不奇怪,随着对机器人程序问题的认识不断提高,针对企业买家的营销材料也越来越多。无论安全和欺诈团队担心哪些风险,他们都需要一种方法来穿透营销言论,以便正确评估机器人解决方案。企业买家如何客观地评估机器人解决方案?他们如何评估谁能够真正兑现他们的承诺,哪些方法在他们的环境中有效,以及哪些供应商能够在不断变化的威胁形势下领先一步?
虽然这里可能有许多不同的方法,但我强调了几点我认为对于企业在评估机器人解决方案时需要考虑的重要事项:
- 研发:许多机器人管理供应商收集遥测数据。但是,不同的供应商如何处理这些数据对其解决方案的功效有着巨大的影响。持续分析、剖析和调查遥测数据是机器人管理解决方案有效的必要条件。需要持续不断地提出的问题包括:数据告诉我们什么?什么是正确的数据收集?我们如何可靠准确地区分人流量和机器流量?成功的研发还包括识别遥测数据中的差距,并了解需要收集哪些额外的遥测数据才能使解决方案发挥最大功效。
- 机器学习:机器学习是检测和理解哪些流量来自人类,哪些流量来自机器人的重要组成部分。许多供应商都在吹捧他们的机器学习能力和模型的强大功能。当然,好的模型很重要,许多顶级厂商确实有好的模型。那么,最有效的爬虫程序管理解决方案与其他解决方案有什么区别呢?秘密在于数据——进入模型的数据越好,模型的预测就越准确可靠。如果没有接收到适当的数据作为输入,即使是最强大的机器学习模型也无法准确地区分人工流量和自动流量。
- 验证:在我从事运营方面的这些年里,供应商坚持要我们打开他们最新最好的检测规则和/或签名的情况不止几次。毫不奇怪,在许多情况下,这会导致大量误报和噪音堵塞工作队列。在一个实例中,大量误报甚至导致 SIEM 崩溃。最好的机器人管理供应商在发布规则之前会对其规则进行彻底的测试和验证。对于这些供应商来说,在更新后用大量误报轰炸客户将被视为巨大的失败。
- 混淆:混淆机器人管理解决方案的 Javascript 以防止攻击者发现它是必不可少的。我经常惊讶于有多少供应商不这样做,从而使攻击者更容易知道他们正在使用机器人管理解决方案访问页面。然后,攻击者可以轻松绕过解决方案——例如,攻击者可以简单地修改页面,删除机器人管理解决方案的 Javascript,然后继续他们的攻击,就好像根本没有解决方案一样。混淆不是一劳永逸的过程——它是一个迭代的过程。能够抵御攻击者变通方法的适当混淆需要研究攻击者,对他们的策略、技术和程序进行逆向工程,并不断发布新的和修改后的混淆。
- 进阶分析:最后但并非最不重要的一点是,将学习纳入机器人程序管理解决方案可大大提高效率。不幸的是,许多供应商开发和销售解决一定复杂程度的解决方案。然而,他们并没有持续研究攻击者的重组工具,将学习到的知识整合到他们的解决方案中,并改进他们的产品。这导致机器人管理解决方案有时会在几周内有效,直到攻击者意识到他们的目标已经实施了机器人管理解决方案。届时,攻击者通常会重组,如果解决方案无法处理增加的复杂程度,则机器人管理解决方案将变得完全无效。
在机器人程序管理解决方案方面,迭代解决方案至高无上。那些研究攻击者并不断将这些知识反馈到解决方案中的供应商比那些不研究的供应商具有更高的效率。同样,努力收集最佳和正确数据、审查规则并确保其解决方案免受攻击者篡改的供应商比那些不这样做的供应商做得更好。这些要点以及其他要点对于企业在评估机器人管理解决方案时牢记在心非常重要。