数字经济中，API是物联网设备、Web和移动应用以及业务合作伙伴流程的入口。然而，API也是犯罪分子的前门，许多人依靠Bot来发动攻击。据统计，财富500强企业在这些Bot攻击中损失了数千万美元，已成为造成经济损失的最大原因之一。那么企业怎样保护API并缓解Bot攻击呢？本期API安全专题为你解读。
　

　　当我们聚焦于OWASP十大API安全漏洞，可以了解到Bot在API攻击中的核心地位。十大API漏洞中有三个与Bot有直接明显的关联，分别是身份验证失败、无限制的资源消耗以及无限制访问敏感业务流程。以无限制的资源消耗为例，Bot会利用无限制的资源消耗，耗尽API的内存和处理能力。当Bot攻击为交互式应用程序（即人类使用的网页和移动应用程序）设计的API时，对性能的影响可能是灾难性的。攻击者还会向API发送数千次请求以找出漏洞。为了深入了解这种窥探行为并降低其成功几率，就需要一个有效的Bot攻击缓解系统。
　　

　　值得关注的是，Bot对不同API的影响方式并不相同。那些用于机器到机器通信并由自动化流程访问的API（通常是内部流程或合作伙伴的流程）通常通过双向TLS进行保护，在这种情况下，身份验证失效的风险较低，并且可以根据已验证的客户端实施速率限制。相反，最容易受到 Bot攻击的是那些只用于从交互式应用程序（即人类使用的网页和移动应用程序）获得流量的 API。为深入了解这种窥探行为并降低其成功几率，就需要一个有效的Bot攻击缓解系统。

　　在不影响客户体验的情况下，Bot管理解决方案必须随攻击者绕过对策手段的变化而做出调整。准确的检测和弹性保护可以减少欺诈损失，并最大限度地提高运营效率和商业智能，从而显著改善业务成果。F5推出的Bot解决方案通过防欺骗的遥测收集、高度训练的人工智能和一流的安全操作，特别提供长期且持久的效率。还能减少或消除高风险的用户身份验证机制，包括CAPTCHA和多重因素身份验证，从而改善客户体验。
　

　　对于期望由人类发起流量的API来说，抵御Bot攻击变得越来越困难。通过防欺骗的遥测收集、高度训练的人工智能和一流的安全操作，F5能保护应用和API免遭Bot攻击和恶意自动化，同时确保业务的正常运行和用户互动的顺畅。