數(shù)字經(jīng)濟(jì)中，API是物聯(lián)網(wǎng)設(shè)備、Web和移動(dòng)應(yīng)用以及業(yè)務(wù)合作伙伴流程的入口。然而，API也是犯罪分子的前門，許多人依靠Bot來發(fā)動(dòng)攻擊。據(jù)統(tǒng)計(jì)，財(cái)富500強(qiáng)企業(yè)在這些Bot攻擊中損失了數(shù)千萬美元，已成為造成經(jīng)濟(jì)損失的最大原因之一。那么企業(yè)怎樣保護(hù)API并緩解Bot攻擊呢？本期API安全專題為你解讀。 　　 　　當(dāng)我們聚焦于OWASP十大API安全漏洞，可以了解到Bot在API攻擊中的核心地位。十大API漏洞中有三個(gè)與Bot有直接明顯的關(guān)聯(lián)，分別是身份驗(yàn)證失敗、無限制的資源消耗以及無限制訪問敏感業(yè)務(wù)流程。以無限制的資源消耗為例，Bot會(huì)利用無限制的資源消耗，耗盡API的內(nèi)存和處理能力。當(dāng)Bot攻擊為交互式應(yīng)用程序（即人類使用的網(wǎng)頁和移動(dòng)應(yīng)用程序）設(shè)計(jì)的API時(shí)，對(duì)性能的影響可能是災(zāi)難性的。攻擊者還會(huì)向API發(fā)送數(shù)千次請(qǐng)求以找出漏洞。為了深入了解這種窺探行為并降低其成功幾率，就需要一個(gè)有效的Bot攻擊緩解系統(tǒng)。 　　 　　值得關(guān)注的是，Bot對(duì)不同API的影響方式并不相同。那些用于機(jī)器到機(jī)器通信并由自動(dòng)化流程訪問的API（通常是內(nèi)部流程或合作伙伴的流程）通常通過雙向TLS進(jìn)行保護(hù)，在這種情況下，身份驗(yàn)證失效的風(fēng)險(xiǎn)較低，并且可以根據(jù)已驗(yàn)證的客戶端實(shí)施速率限制。相反，最容易受到 Bot攻擊的是那些只用于從交互式應(yīng)用程序（即人類使用的網(wǎng)頁和移動(dòng)應(yīng)用程序）獲得流量的 API。為深入了解這種窺探行為并降低其成功幾率，就需要一個(gè)有效的Bot攻擊緩解系統(tǒng)。 　　在不影響客戶體驗(yàn)的情況下，Bot管理解決方案必須隨攻擊者繞過對(duì)策手段的變化而做出調(diào)整。準(zhǔn)確的檢測(cè)和彈性保護(hù)可以減少欺詐損失，并最大限度地提高運(yùn)營效率和商業(yè)智能，從而顯著改善業(yè)務(wù)成果。F5推出的Bot解決方案通過防欺騙的遙測(cè)收集、高度訓(xùn)練的人工智能和一流的安全操作，特別提供長(zhǎng)期且持久的效率。還能減少或消除高風(fēng)險(xiǎn)的用戶身份驗(yàn)證機(jī)制，包括CAPTCHA和多重因素身份驗(yàn)證，從而改善客戶體驗(yàn)。 　　 　　對(duì)于期望由人類發(fā)起流量的API來說，抵御Bot攻擊變得越來越困難。通過防欺騙的遙測(cè)收集、高度訓(xùn)練的人工智能和一流的安全操作，F(xiàn)5能保護(hù)應(yīng)用和API免遭Bot攻擊和惡意自動(dòng)化，同時(shí)確保業(yè)務(wù)的正常運(yùn)行和用戶互動(dòng)的順暢。