恶意 Bot 会给企业带来重大的财务成本:Bot 通过撞库攻击接管客户账户,并通过抓取降低 Web 和应用性能。此外,Bot 还通过倒卖和库存囤积来挫败忠诚的客户并阻止其购买,通过枚举窃取礼品卡和忠诚度积分,并通过验证被盗的信用卡数据来累积退款和罚款。无效的 Bot 缓解策略(例如 CAPTCHA 和过度依赖多重身份验证)会带来安全冲突,从而导致通过较低的转化率和放弃购物车造成的收入损失。
犯罪分子通过 Bot 施加的成本千差万别,使安全专业人员难以向组织的业务领导者阐释恶意 Bot 流量带来的广泛经济和运营影响。本白皮书概述了自动化 Bot 攻击的定量和定性影响,以及成功的 Bot 管理带来的业务优势。我们希望本文档能成为信息安全 (Infosec) 和欺诈团队以及最高管理层之间,就恶意 Bot 攻击的影响界限以及有效 Bot 防御技术的重大财务利益开展对话的切入点。
“恶意 Bot 攻击不仅是对安全基础设施的威胁,也意味着要必须解决的业务挑战,从而保护组织的业务运营和财政健康状况。”
一系列全新研究报告获取了 Bot 自动攻击造成的财务和业务后果,这使安全专业人员更易指出网络犯罪造成的财务影响,并与业务负责人讨论专业的防 Bot 解决方案的投资回报率 (ROI)。此信息有助于安全团队提升有关 Bot 攻击对组织财务实力的经济影响的关键讨论。
Aite-Novarica Group 报告显示,Bot 占全球在线流量的 40%,是网络攻击的主要原因。根据 Global Privacy Assembly 引用的研究(一家由 130 多个数据保护和隐私监管机构及执法者组成的协会),2020 年全球发生了 1930 亿次由 Bot 驱动的撞库攻击,相当于每月发生超过 160 亿次攻击,每天发生超过 5 亿次攻击。这些攻击可能会产生严重的经济后果:Juniper Research 报告显示,到 2023 年,全球在线欺诈损失预计将超过每年 480 亿美元。
成功的 Bot 管理策略可以改善成本管理、提高运营效率、降低业务和财务风险以及控制 IT 支出,所有这些都有助于对组织的财务健康产生直接的积极影响。此外,准确的 Bot 检测不依赖于能造成用户摩擦的控件,可提高收入和客户保留率。
恶意 Bot 负责各种自动化攻击,这些攻击会对组织产生直接的负面经济影响,包括营业收入和企业运营成本。这些攻击包括:
Bot 管理已成为董事会议题;以下是定量和定性指标,有助于您证明正确的 Bot 策略如今已成为底线经济问题。
财务、运营和声誉成本是自动化 Bot 攻击的主要影响。
自动化 Bot 攻击还可能通过以下方式,直接导致财务损失和经济机会丢失:
Bot 攻击不仅影响收入。它们还通过以下方式增加企业的运营成本:
定性影响可能比定量指标更难衡量,但这并不意味着它们对组织没那么重要。自动化 Bot 攻击还可以通过以下方式直接促成这些主观价值驱动因素:
主要结论为 Bot 管理是重要的业务主题。保护应用和基础设施免受 Bot 攻击可提供切实的经济利益,从而确保:
为阐明成功的 Bot 管理带来的财务价值和影响,请考虑以下案例研究。一家拥有 3100 万个用户账户且每个用户账户平均月收入为 54 美元的大型在线零售商遭到恶意 Bot 攻击。这些攻击导致每年因应对撞库攻击和 ATO 事件而造成的损失估计为 100 万美元;结算和呼叫中心支持的费用;以及站点中断期间 Bot 抓取事件和利用 Web 基础设施与托管资源的 Bot 流量造成的收入损失。
F5 与在线零售商合作,使用成本节约、收入增加和收入损失预防等业务案例指标,量化将 F5 Distributed Cloud Bot Defense 部署为 Bot 管理解决方案的影响。F5 与在线零售商利用交互式业务案例建模工具确定,部署 F5 Distributed Cloud Bot Defense 将在第一年节省约 930,000 美元,五年内累计节省成本近 490 万美元。
此外,该建模工具预计因 Bot 流量导致的站点中断减少,每年可预防近 50,000 美元的收入损失;因用户账户丢失、用户体验不佳而导致客户流失,每年可预防 200,000 至 100 万美元的收入损失。由于顺畅的用户体验以及客户浏览网站的时间更长,转化率的提高预计将带来额外的 160 万美元的收入增长。
在线零售商从 Distributed Cloud Bot Defense 中获得的总经济效益在第一年后总计近 360 万美元,五年后累计的总经济效益近 1950 万美元。
这些预测与 Forrester Consulting 代表 F5 开展的委托研究中讨论的经济效益一致(下文将更详尽地讨论)。F5 Distributed Cloud Bot Defense 的总体经济影响™ 研究发现,通过实施 Distributed Cloud Bot Defense,Forrester 采访的五位决策者的复合组织代表将在三年内获得 972 万美元的总收益,ROI 为 195%。
解释 Bot 攻击如何影响与组织中特定角色和职能相关的操作和指标是展现成功的 Bot 管理价值的重要方式。
CISO 关切信息安全、成本控制,并确保 IT 支持业务使命;Bot 会影响这其中的每一个问题。
Bot 会破坏机密性、完整性和可用性这信息安全三要素的各个方面。接管账户的撞库攻击 Bot 会披露应保密的数据。同样,这些 Bot 会使攻击者更改数据并进行交易,从而破坏完整性。抓取 Bot 会歪曲数据,虚假帐户创建 Bot 亦是如此,所有这些都违反了关键业务指标的完整性。最后,抓取和倒卖 Bot 可能会增加站点基础设施的负载,使其不可用。
Bot 以多种方式影响成本:
此外,Bot 还与 CISO 相关,因为其阻碍了 IT 支持业务。无效的 Bot 管理(例如 CAPTCHA 和过度依赖多重身份验证)会产生摩擦,从而损害客户体验并减少收入。Bot 歪曲了业务指标,以至于难以评估业务策略。当您甚至不知与谁互动时,您如何实施业务策略?
SecOps 团队负责有效管理业务的网络安全风险,而 Bot 阻碍了这一任务的实现。与 CISO 一样,SecOps 将关注机密性、完整性和可用性,这些都受到了 Bot 的影响。除了这些共同关注的问题外,在有效应对安全风险方面,Bot 还带来了制造大量噪音以淹没信号,从而将威胁隐藏在恶意流量中的挑战。
当 Bot 占站点流量的大部分时,分析日志以查找漏洞扫描和注入攻击的迹象会更加困难。SIEM 和入侵检测以及防御系统等安全工具将不堪重负,从而增加成本并导致太多误报需要调查。当视太少为正常时,追踪异常情况就变得不切实际。
成功的 Bot 管理消除了噪音,使 SecOps 能够有效专注于剩余的威胁。
与 SecOps 一样,Bot 通过显著增加噪音来影响欺诈运营团队。由于有众多 Bot 接管账户、锁定账户、创建虚假帐户并触发异常警报,因此工作负载变得不切实际。
当欺诈和安全团队共同管理 Bot 时,每个团队都是赢家。安全团队可以专注于更小的安全事件,而且欺诈水平也会降低,因此,欺诈团队能够专注于需要专家判断才能解决的更复杂欺诈案例,从而减少案例数量并提高成功指标。从欺诈的角度来看,Bot 是前奏,是欺诈者获得访问权限的一种手段,阻止上游 Bot 减少下游工作负载。
NetOps 团队负责运行服务于业务的基础设施,在控制成本的同时维持正常的运行时间和性能。
在某些情况下,电子商务应用中的抓取 Bot 占流量的 90% 以上,这意味着大多数基础设施都在为 Bot 服务,浪费了基础设施的大部分预算,这一指标在云服务法案中非常明确。
这些 Bot 不关心站点的性能或正常运行时间,并且可以随时在无警告的情况下增加流量,从而导致不可预测性和更高的成本,以确保必要的可扩展性。
在 DevOps 文化中,DevSecOps 负责将安全性纳入到持续集成/持续开发 (CI/CD) 管道中,确保快速向开发人员反馈安全错误,并不断提升安全性与技术价值流的集成。
DevSecOps 将安全性左移,确保在工作流的早期规划任何差距。Bot 在此具相关性,因为需要评估新功能,以了解 Bot 如何利用该功能、可能造成的危害以及在部署时应采取哪些措施来预防危害。
DevSecOps 团队特别关注遥测。根据 DevOps 手册1,遥测对于预测、诊断和解决复杂系统中的问题至关重要。欲实现 DevOps 成功,遥测应涵盖多层,包括业务指标、功能使用、网络性能以及基础设施负载,以便可以跨堆栈跟踪一层中的问题,从而快速发现根本原因。
Bot 会在很大程度上歪曲遥测数据。许多 F5 Distributed Cloud Bot Defense 客户发现,他们的大多数用户账户虚假,并且 Bot 占登录流量的 95% 以上。在某些情况下,大量的组织基础设施只不过是为抓取 Bot 提供服务。DevSecOps 若要执行安全使命,他们需要从遥测中移除此类歪曲。
这一切都归结为所有者。电子商务副总裁是否负责欺诈、基础设施和退款的成本?这些费用是否显著削减了在线业务的利润?转化率和收入是否受到 CAPTCHA 等安全问题的影响?如果是,该副总裁将非常关注 Bot 管理如何提高营业收入和底线利润。
这同样适用于通过 Web 或移动应用在线销售的任何产品或服务线的负责人。寻求利润最大化必然涉及解决应用的最大流量来源。
营销人员关注 Bot 有其自己的一套理由。减慢网站速度、关闭网站和接管客户账户的 Bot 都会损害品牌形象。Bot 歪曲了营销人员赖以决策的网站分析。由 Bot 驱动的点击欺诈会耗尽广告预算,而不会产生任何收入。
所有这些业务对话都需要打包,以便最高管理层和董事会了解恶意 Bot 如何影响业务的各个方面。成本和收入损失的累计总额很可能对底线产生重大影响,这值得他们关注。
“如果我们遭受网络攻击或其他隐私或数据安全事件,导致安全漏洞中断我们的运营或导致受保护的个人信息或专有信息或保密资料的意外传播,我们可能会遭受收入损失和成本增加,面临着重大责任、声誉受损和其他严重的负面后果。”
Bot 攻击可能会对收入产生直接影响,浪费负责阻止恶意自动化的安全团队成员的时间和资源,并损害客户体验。为了减轻这些后果,F5 Distributed Cloud Bot Defense 提供实时监控和情报,以保护组织免受 Bot 攻击,而不会带来用户摩擦。
Forrester Consulting 代表 F5 开展的委托研究调查了企业通过部署 Distributed Cloud Bot Defense 可能获得的潜在 ROI。Forrester 研究中量化的主要发现和益处包括:
将 Bot 攻击造成的欺诈成本降低 30%。通过将反欺诈流程从下游欺诈专业人员转移至发生自动化 Bot 攻击的前端,复合组织能够将其与 Bot 相关的欺诈成本降低 30%。受访者表示,在没有先前解决方案的情况下,欺诈性账户创建减少了 92%,Bot 拦截提升了 80%,在先前 Bot 防护工具到位时,Bot 拦截提升了 30%。
将撞库攻击的成本降低 96%。Distributed Cloud Bot Defense 节省了与撞库攻击相关的额外非欺诈相关成本。该复合组织通过将攻击次数从每年 50 多次减少到每年两次左右,攻击减少了 96%,每年可节省超过 120 万美元。受访者指出,每次攻击的撞库攻击成本可能高达 500,000 美元,相当于每年约 2500 万美元。
将账户锁定及其支持成本降低 88%。通过预防账户锁定,受访者能够改善其客户体验,减少客户创建新账户、重置密码或联系客户支持所需的时间和精力。通过减少呼叫客户支持,组织能够节省客户支持劳动力和技术成本等成本。
消除手动 Bot 防护流程,将规则设置工作减少 40%。通过将 F5 产品的自动化实施到其 Bot 防护实践中,受访者所在公司的安全团队每年能够节省 10,000 小时,节省的这些小时之前用于阻止 IP 地址和调查安全事件,相当于五名全职员工的时间。此外,安全团队还节省了 40% 的之前花费在规则设置方面的时间。
该研究的未量化益处包括:
改善安全和欺诈团队的协作。客户注意到但无法量化部署产品后,对其安全和欺诈团队间协作水平的积极影响。
降低停用第三方 Bot 防护工具的成本。所在组织之前拥有 Bot 防护工具的受访者在投资 F5 Distributed Cloud Bot Defense 后能够停用该工具,从而节省这些成本。
在线活动增加时的弹性。受访者指出,F5 针对自动化攻击提供的防护使其在线业务在 COVID-19 大流行期间,在线活动大幅增加时具有更大的弹性。
灵活扩展到新用例和市场。受访者还分享道,他们计划将 Distributed Cloud Bot Defense 的使用扩展到新用例(例如防止屏幕抓取),以及未来的新地理市场。
“如今,我们深知我们对于对手的了解,我知道如果没有类似于 [Distributed Cloud Bot Defense] 的工具,任何级别的员工都不会如此富有效率。”
“借助 F5 Distributed Cloud Bot Defense,我们可以在 97% 的恶意入站流量到达应用层之前将其拦截,这极大地降低了我们客户的风险。”
目前 Bot 管理意味着成本管理。如果做得好,则可以提高运营效率,降低业务和财务风险并控制 IT 支出,为安全团队和欺诈分析师挤出时间,并通过准确的检测和偏转战略性地管理合作伙伴 Bot,同时提供更好的客户体验。
自动化攻击是企业和组织出于底线和业务运营安全而必须应对的经济挑战。为实现其收入目标,公司必须保护用户和客户免受欺诈和账户接管的侵害,并缓解其安全团队的手动和无效防 Bot 工作流程。
F5 Distributed Cloud Bot Defense 能够防止可绕过现有 Bot 控制解决方案的欺诈和滥用,并提供实时监控和情报,以保护组织免受自动化攻击,而不会造成用户摩擦或中断客户体验。这些保护措施有助于降低因欺诈和恶意 Bot 流量造成的经济影响而造成的成本,同时降低客户支持支出。
若要深入了解 Bot 流量对组织的业务影响,请使用我们的 Bot 影响计算器以了解恶意 Bot 在欺诈、库存操纵、基础设施费用、员工倦怠和客户流失方面给您造成的损失。
来源:
1. Gene Kim、Patrick Debois、John Willis、Jez Humble 和 John Allspaw。DevOps 手册:如何在技术组织中实现世界一流的敏捷性、可靠性和安全性。俄勒冈州波特兰,IT Revolution Press, LLC,2021。