新型數字經濟中，API是物聯網設備、Web和移動應用以及業務合作伙伴流程的入口點。然而，API也是犯罪分子的前門，許多人依靠Bot來發動攻擊。對于安全團隊來說，保護API并緩解Bot攻擊至關重要。那么Bot在API攻擊中處于怎樣的地位，組織又該如何抵御Bot攻擊？本文將會為你逐一解讀。

　　當我們聚焦于OWASP十大API安全漏洞，可以了解到Bot在API攻擊中的核心地位。十大API漏洞中有三個與Bot有直接明顯的關聯，分別是身份驗證失敗、無限制的資源消耗以及無限制訪問敏感業務流程。以無限制的資源消耗為例，Bot會利用無限制的資源消耗，耗盡API的內存和處理能力。當Bot攻擊為交互式應用程序（即人類使用的網頁和移動應用程序）設計的API時，對性能的影響可能是災難性的。

　　值得關注的是，Bot對不同API的影響方式并不相同。那些用于機器到機器通信并由自動化流程訪問的API（通常是內部流程或合作伙伴的流程）通常通過雙向TLS進行保護，在這種情況下，身份驗證失效的風險較低，并且可以根據已驗證的客戶端實施速率限制。相反，最容易受到 Bot攻擊的是那些只用于從交互式應用程序（即人類使用的網頁和移動應用程序）獲得流量的 API。為深入了解這種窺探行為并降低其成功幾率，就需要一個有效的Bot攻擊緩解系統。
　　

　　由于頭分析、IP拒絕列表和驗證碼等舊技術不再有效，應用程序安全團隊必須依靠豐富的客戶端信號收集、JavaScript 和移動SDK以及復雜的機器學習來區分攻擊工具和Bot行為，從而減少Bot攻擊的出現。在機器學習(ML)的支持下，F5分布式云機器人防御分析所有交易，并仔細檢查每個機器人攻擊活動。它通過智能數字行為機器人分析技術主動識別模式并阻止未來的攻擊媒介。部署靈活性方面，F5機器人防御可以輕松地在云中、本地或混合環境部署Bot防御用于保護本地和跨云端的舊有和現代應用。
　

　　有利的經濟形勢促使攻擊者使用Bot和自動化，對Web應用和API進行Bot攻擊，導致濫用、帳戶接管、欺詐、客戶信任喪失和品牌受損。通過防欺騙的遙測收集、高度訓練的人工智能和一流的安全操作，F5能保護應用和API免遭Bot攻擊和惡意自動化，同時確保業務的正常運行和用戶互動的順暢。