對於網站系統而言,自動化機器人程式(bot)可能是一種爭議性應用,它能幫開發者或管理者自動、反覆地執行指定的任務,但也有些人會將其用來爬取其他網站的內容、收集數據、搶線上訂位或訂票,甚至是進行點擊舞弊(Click fraud)、奪取使用者帳戶,以及各種形形色色的濫用存取行為,像是帳號填充攻擊、建立假帳號。

因應這樣的態勢,市面上出現了專屬的網站機器人管理解決方案(Bot Management),像是Akamai、Cloudflare、Radware、Reblaze,有些則是在廠商既有的網站應用程式防火牆(WAF)、應用程式遞送控制器(ADC)等產品裡面,延伸提供這類功能,F5與Citrix均屬此例。

此外,也有廠商透過併購其他公司的方式擴增相關防護的陣容,例如,在2019年底,F5買下一家專攻預防網站存取舞弊與濫用的IT廠商,名為Shape Security,隔年1月完成併購,正式加入F5的應用程式安全防護產品線,而首波主打的解決方案,就是我們現在所要介紹的Shape Enterprise Defense,能夠緩解應用程式層級的自動化攻擊,以及舞弊與濫用行為,提供深層的防護。

就整體功能而言,Shape Enterprise Defense可針對網站與行動應用程式、API端點(endpoint),提供自動化攻擊的防護功能,阻止大規模的使用者舞弊行為,能偵測機器人程式、偽冒使用者、未經授權的交易作業等活動。除了識別攻擊者,以及預防自動化流量接觸到應用系統的伺服器等資安防護方面的訴求,它也可以藉此降低伺服器的處理延遲、提升執行效能,進而減少使用者在系統互動流程當中的摩擦(User Friction)。

這套解決方案背後會運用機器學習技術,即時精準判斷應用程式的存取請求來源是否為詐欺,再予以有效緩解,而在部署新的反制措施之後,部分攻擊者通常會嘗試重新構建工具、發動新一波攻擊,F5認為,就算攻擊行動進化,他們的產品仍可隨之調適,維持完整的準確度。

而除了判斷應用程式的存取請求是機器人或真人發起的,Shape Enterprise Defense還能同時判定這些請求是惡意或良性的,以此即時預防線上舞弊,管理各種服務的帳戶整合(aggregator)與存取應用程式的合作廠商,同時還能針對顧客與業務的洞察需求提供新的分析資料。

為了能夠做到持續學習與調適,在系統架構上,Shape Enterprise Defense是由4大元件組成的,分別是:Shape Defense Engine、Client Signals、 Shape AI Cloud、Shape Protection Manager。

其中的Shape Defense Engine,是整個解決方案的核心,可針對鎖定企業應用程式的自動化交易行為,提供偵測與緩解機制。它仰賴數百個「信號」來偏導(deflect)舞弊行為的存取請求,而這些信號的取得,則是從網路、瀏覽器、使用者層級來進行偵測,以發掘各種自動化處理活動。

從技術的角度來看,Shape Defense Engine負責處理流量、套用需即時施行的機器人偵測規則、服務連至瀏覽器與行動裝置的Shape的JavaScript,以及將遙測資料傳送至Shape AI Cloud等工作。它本身是一個可執行指令碼的反向代理(Reverse Proxy),能以叢集的方式部署在企業內部,或是Shape本身設置的資料中心、Shape代管的公有雲服務環境。

而Shape Defense Engine的運作上,若是部署企業內部時,主要是透過虛擬應用設備ShapeShifter Elements(SSE)來提供相關功能,可將Client Signals提取出來,具備即時移除機器人流量的功能。

Client Signals主要的作用是收集進階的遙測資料,強化偵測攻擊的防護引擎,這些信號資料的取得,是透過植入網頁應用程式的JavaScript,以及原生行動應用程式當中整合的軟體開發套件。

經由特製的JavaScript,Shape所收集到的資訊,主要針對的是網頁應用程式,本身是基於JavaScipt實作的虛擬機器而成的功能──以JavaScipt搭配頻繁亂數化的運算碼(opcode)實作出來的虛擬機器,因此,兼具難以重新再造,以及縮短可能被濫用的空窗期等兩種特性。

             

           

這裡也運用了複雜混淆技術,因此攻擊者不易發現Shape收集到的信號,只能在黑暗中摸索、解決複雜的多元挑戰。

同時,Shape也提供行動裝置專用的軟體開發套件,以便整合到iOS與Android等兩大行動裝置平臺,當中會在瀏覽器執行網頁檢視之際,載入JavaScript,以確保信號收集能夠與時俱進,而不需要額外的整合與App強制更新。

Shape所用的JavaScript,會在HTTP請求與受保護資源之間連接時,針對當下的執行環境與使用者行為,去收集信號資料,例如,使用者登入系統的路徑、建立帳號的路徑、網頁擷取程式(scrapers)回傳資料的路徑。與信號資料相關的請求,會經由Shape Defense Engine進行導引分析,以判定該請求是由真人或機器人程式發出。

Shape AI Cloud會分析所有的交易動作,隨後能夠主動辨認不斷再造攻擊工具的行為,自動部署新的反制對策,以便緩解攻擊活動。

在運作上,Shape AI Cloud主要的任務,是接收Shape Defense Engine傳來的遙測資料,這裡會透過多種機器學習演算法的分析,以便廣泛偵測自動化執行與舞弊行為的模式。之後產生的分析結果,能讓Shape系統產生新的機器人偵測規則,並且提供豐富的資安情資報告。

至於Shape Protection Manager,則是網頁管理主控臺,同時也是存取與控管整個Shape系統的主要介面,負責提供部署、設定、監控Shape Defense Engine的多種工具,以及檢視Shape AI Cloud分析結果。用戶可藉此深入了解攻擊流量的狀態,查看攻擊工具的再造時機與頻率、攻擊者鎖定目標的路徑、偽冒的瀏覽器與IP位址。

到了2020年下半,F5又繼續推出代管服務Silverline Shape Defense,搭配人工智慧引擎的軟體即服務(SaaS)──Shape AI Fraud Engine(SAFE),以及即時裝置識別服務DeviceID+。

今年4月,F5在自家舉行的Agility全球用戶大會上,再度主推源於Shape Security的3款SaaS服務:Device ID、Shape Recognize、Shape AI Fraud Engine。

其中的DeviceID+,是在2020年底推出的服務,免費提供F5的用戶,但令人好奇的是,為何Shape Security系列解決方案當中,只有DeviceID+並未冠上Shape的名稱?F5表示,他們將DeviceID+相關設定服務遷移至F5 Cloud Services,而由於今年1月F5併購Volterra,未來F5 Cloud Services與Volterra也有可能整合。

產品資訊

F5 Shape Enterprise Defense
●原廠:F5
●建議售價:廠商未提供
●組成元件:Client Signals(透過JavaScript收集)、Shape Defense Engine、Shape AI Cloud、Shape Protection Manager
●部署方式:反向代理(建置於企業內部或使用Shape代管主機服務)、API(Shape代管的公有雲服務)

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


熱門新聞

Advertisement