数字经济中,API是物联网设备、Web和移动应用以及业务合作伙伴流程的入口。然而,API也是犯罪分子的前门,许多人依靠Bot来发动攻击。据统计,财富500强企业在这些Bot攻击中损失了数千万美元,已成为造成经济损失的最大原因之一。那么企业怎样保护API并缓解Bot攻击呢?本期API安全专题为你解读。
当我们聚焦于OWASP十大API安全漏洞,可以了解到Bot在API攻击中的核心地位。十大API漏洞中有三个与Bot有直接明显的关联,分别是身份验证失败、无限制的资源消耗以及无限制访问敏感业务流程。以无限制的资源消耗为例,Bot会利用无限制的资源消耗,耗尽API的内存和处理能力。当Bot攻击为交互式应用程序(即人类使用的网页和移动应用程序)设计的API时,对性能的影响可能是灾难性的。攻击者还会向API发送数千次请求以找出漏洞。为了深入了解这种窥探行为并降低其成功几率,就需要一个有效的Bot攻击缓解系统。
值得关注的是,Bot对不同API的影响方式并不相同。那些用于机器到机器通信并由自动化流程访问的API(通常是内部流程或合作伙伴的流程)通常通过双向TLS进行保护,在这种情况下,身份验证失效的风险较低,并且可以根据已验证的客户端实施速率限制。相反,最容易受到 Bot攻击的是那些只用于从交互式应用程序(即人类使用的网页和移动应用程序)获得流量的 API。为深入了解这种窥探行为并降低其成功几率,就需要一个有效的Bot攻击缓解系统。
在不影响客户体验的情况下,Bot管理解决方案必须随攻击者绕过对策手段的变化而做出调整。准确的检测和弹性保护可以减少欺诈损失,并最大限度地提高运营效率和商业智能,从而显著改善业务成果。F5推出的Bot解决方案通过防欺骗的遥测收集、高度训练的人工智能和一流的安全操作,特别提供长期且持久的效率。还能减少或消除高风险的用户身份验证机制,包括CAPTCHA和多重因素身份验证,从而改善客户体验。
对于期望由人类发起流量的API来说,抵御Bot攻击变得越来越困难。通过防欺骗的遥测收集、高度训练的人工智能和一流的安全操作,F5能保护应用和API免遭Bot攻击和恶意自动化,同时确保业务的正常运行和用户互动的顺畅。
