从Bot到董事会:恶意Bot如何对您的资产负债表产生负面影响
恶意 Bot 不仅仅是安全问题
恶意 Bot 会给企业带来重大的财务成本:Bot 通过撞库攻击接管客户账户,并通过抓取降低 Web 和应用性能。此外,Bot 还通过倒卖和库存囤积来挫败忠诚的客户并阻止其购买,通过枚举窃取礼品卡和忠诚度积分,并通过验证被盗的信用卡数据来累积退款和罚款。无效的 Bot 缓解策略(例如 CAPTCHA 和过度依赖多重身份验证)会带来安全冲突,从而导致通过较低的转化率和放弃购物车造成的收入损失。
犯罪分子通过 Bot 施加的成本千差万别,使安全专业人员难以向组织的业务领导者阐释恶意 Bot 流量带来的广泛经济和运营影响。本白皮书概述了自动化 Bot 攻击的定量和定性影响,以及成功的 Bot 管理带来的业务优势。我们希望本文档能成为信息安全 (Infosec) 和欺诈团队以及最高管理层之间,就恶意 Bot 攻击的影响界限以及有效 Bot 防御技术的重大财务利益开展对话的切入点。
“恶意 Bot 攻击不仅是对安全基础设施的威胁,也意味着要必须解决的业务挑战,从而保护组织的业务运营和财政健康状况。”
向最高管理层阐明 Bot 攻击带来的经济威胁
一系列全新研究报告获取了 Bot 自动攻击造成的财务和业务后果,这使安全专业人员更易指出网络犯罪造成的财务影响,并与业务负责人讨论专业的防 Bot 解决方案的投资回报率 (ROI)。此信息有助于安全团队提升有关 Bot 攻击对组织财务实力的经济影响的关键讨论。
Aite-Novarica Group 报告显示,Bot 占全球在线流量的 40%,是网络攻击的主要原因。根据 Global Privacy Assembly 引用的研究(一家由 130 多个数据保护和隐私监管机构及执法者组成的协会),2020 年全球发生了 1930 亿次由 Bot 驱动的撞库攻击,相当于每月发生超过 160 亿次攻击,每天发生超过 5 亿次攻击。这些攻击可能会产生严重的经济后果:Juniper Research 报告显示,到 2023 年,全球在线欺诈损失预计将超过每年 480 亿美元。
Bot 管理的企业经济学
成功的 Bot 管理策略可以改善成本管理、提高运营效率、降低业务和财务风险以及控制 IT 支出,所有这些都有助于对组织的财务健康产生直接的积极影响。此外,准确的 Bot 检测不依赖于能造成用户摩擦的控件,可提高收入和客户保留率。
Bot 攻击的经济影响
恶意 Bot 负责各种自动化攻击,这些攻击会对组织产生直接的负面经济影响,包括营业收入和企业运营成本。这些攻击包括:
- 撞库攻击:攻击者根据另一个应用的登录表测试大量受损凭据,以获取访问权限并劫持这些账户,从而谋取经济利益或进行欺诈。了解一家全球转账服务商如何在运行 F5 Distributed Cloud Bot Defense 的第一个月期间,通过撞库攻击和账户接管欺诈节省了 786,000 美元。
- 创建虚假帐户:网络犯罪分子使用 Bot 实现自动化创建账户,并利用虚假帐户实施欺诈行为,例如滥用奖励或折扣计划。Bot 创建的虚假帐户可能会严重歪曲应用使用数据,从而引发关于企业估值的问题。阅读有关 Twitter 虚假帐户问题的严重程度及其对 Twitter 估值的影响。
- 黄牛/库存囤积:攻击者利用自动化 Bot,在开始销售的那一刻批量购买在线商品或服务。通过即时结账,犯罪分子可以大规模控制有价值的库存,这些库存通常在二级市场上以高价转售,从而导致人为的稀缺性、拒绝库存和消费者沮丧。此外,恶意 Bot 还涉及酒店行业的库存囤积,他们将大量客房搁置,从而将其从库存中移除并阻止实际的宾客进行预订。了解一家北美大型零售商如何在 30 天内,通过倒卖限量版球鞋和其他形式的欺诈节省超过了 500,000 美元。
- 内容抓取:Bot 用于从目标网站收集大量内容,以分析、重复使用或参与价格操纵。抓取可能会影响网站性能并阻止合法用户访问网站。了解一家财产及意外事故保险公司如何预防在抓取 Bot 引起的虚假报价后续请求中花费超过 100 万美元。
- 礼品卡破解和忠诚度积分欺诈:攻击者会检查数百万个礼品卡或忠诚度账号变体,以识别有价值的账户。一旦攻击者识别出余额为正的卡号,他们就会在合法客户有机会使用之前兑换或以其他方式通过卡片或账户获利。了解一家财富 500 强的零售商如何消除数千万美元的欺诈交易和拒付费用。
按行业划分的常见 Bot 攻击和成本
Bot 造成的定量和定性成本影响
Bot 管理已成为董事会议题;以下是定量和定性指标,有助于您证明正确的 Bot 策略如今已成为底线经济问题。
财务、运营和声誉成本是自动化 Bot 攻击的主要影响。
定量的财务收入和声誉成本
自动化 Bot 攻击还可能通过以下方式,直接导致财务损失和经济机会丢失:
- 账户接管后失去客户信任。如果组织的 Bot 防御措施不足导致账户接管 (ATO) 和代价高昂的欺诈活动,导致客户满意度下降、声誉受损以及关系终止,那么客户有理由不满意。超过四分之一的美国受访消费者表示,如果他们对银行应对欺诈案件的方式不满意,则会更换银行。
- 因欺诈和退款而加剧损失。当犯罪分子利用被盗凭据进行购买或设置虚假帐户时,Bot 驱动的 ATO 攻击和欺诈性账户创建会影响底线。退款会损害商家在信用卡处理机构中的声誉,并导致拒付罚款。
- 劳动力成本增加。导致 ATO 的撞库攻击等 Bot 攻击需要欺诈分析师进行调查,这会占用他们更关键且更深入的调查时间。即使撞库攻击 Bot 无法接管账户,但其也经常通过快速连续地尝试多个密码来锁定账户,迫使客户致电支持人员,从而增加每次致电的支持成本。
- 歪曲投资者估值。当上市公司的估值取决于关注者、用户或参与度的数量时,非人类 Bot 账户的存在可能会极大歪曲准确评估。例如,最近试图基于人类操作的账户数量与 Bot 操作的账户数量,对 Twitter 进行准确估值,这在 2022 年的新闻中占据了主导地位。
- 将 Bot 误认为人类,反之亦然,使用不可靠的 Bot 缓解解决方案。糟糕的 Bot 缓解措施会产生这些错误,但必须对其加以限制和预防。误报(当 Bot 管理工具指控真实的人为 Bot 时)和漏报(当工具将 Bot 标记为人类时)都会影响营业收入和底线。其中一个会导致您失去客户,而另一个则会因欺诈而给您造成经济损失。事实上,阻止战略客户进行转账的误报可能比导致欺诈或拒付的漏报对银行造成的损害更大。此外,这两种情况还需要欺诈分析师投入时间和精力进行调查。
- 未能保护消费者数据。欧盟《通用数据保护条例》(GDPR)、《加州消费者保护法》(CCPA) 以及 Payment Card Industry Data Security Standard (PCI-DSS) 等立法和标准旨在确保消费者数据隐私,并在发生数据泄露时处以巨额罚款。这其中包括将私人数据暴露给 Bot 的 ATO 和内容抓取攻击。因未能遵守这些法规而导致的数据泄露代价可能十分高昂:根据 GDPR,欧盟数据保护机构可以处最高 2000 万欧元或上一财政年全球营业额 4% 的罚款。
定量运营费用
Bot 攻击不仅影响收入。它们还通过以下方式增加企业的运营成本:
- 妨碍应用性能和正常运行时间,并可能增加基础设施成本。Bot 抓取攻击由于其数量庞大,可能会损害应用和平台性能,若不加以控制,可能需要对基础设施容量进行过度投资,并产生额外的云使用费用以维持所需的性能水平。
- 降低应用可用性和业务弹性。被 Bot 活动淹没的 Web 应用无法用于实时客户查询和电子商务活动,从而导致收入损失、声誉受损、客户流失以及用户体验中断。
- 破坏与第三方生态系统合作伙伴的关系。被不需要的 Bot 流量淹没的平台和应用可能会导致 API 经济中的合作伙伴错过 SLA,从而违反合同承诺。
- 歪曲业务决策。Bot 活动可能会歪曲某些方面有价值的网站统计数据、日志数据和客户互动指标,企业依赖这些指标来指导业务决策,例如定价以及付费和有机 SEO 优化。
- 操纵库存管理。自动化 Bot 可以在开始销售的那一刻批量购买在线商品或服务,使犯罪分子能够大规模控制有价值的库存,这些库存通常在二级市场上以高价转售,从而导致人为的稀缺性、拒绝库存和消费者沮丧。
- 增加客户支持成本。当攻击成功时,自动化 Bot 会增加客户支持团队的压力,从而产生更多的来电和通信来处理账户接管、礼品卡或忠诚度积分欺诈,以及其他客户对于账户受损的投诉。使用 CAPTCHA 工具和多重身份验证 (MFA) 来防止欺诈也可能会带来增加用户摩擦和客户支持电话等意外后果,因为这些流程可能难以正确完成,并可能导致合法客户的账户锁定。这可能会增加客户支持中心的运营成本、客户流失以及通过净推荐值 (NPS) 及社交媒体平台上的差评和评分损害品牌声誉。
- 缓解 Bot 攻击的工时成本不断增加。通过 Web 应用防火墙 (WAF) 对抗恶意 Bot 攻击并手动阻止 IP 地址非常耗时,并且需要越来越多训练有素的员工来执行。基本的 WAF 不会即时了解;它们依靠预设规则来检测恶意 Bot,并且保持 WAF 处于最新状态通常需要增量修补和规则设置。使用这些手动流程扩展防御的唯一方法是增加专业 IT 和安全人员的数量。
定性影响
定性影响可能比定量指标更难衡量,但这并不意味着它们对组织没那么重要。自动化 Bot 攻击还可以通过以下方式直接促成这些主观价值驱动因素:
- 影响员工体验。信息安全 (Infosec) 专业人才供不应求,许多组织正努力解决网络安全劳动力短缺的问题,即使自动化 Bot 攻击的数量和复杂性都在不断增加。尽管他们竭尽所能,但许多 SOC 和欺诈团队仍无法紧跟网络犯罪分子每周多次的立即调整和重组 Bot 攻击。如果没有更智能且技术方面更精细的 Bot 防御解决方案,就很难让有才华的安全专业人员继续工作,尤其是当他们感到筋疲力尽和不知所措时。
Bot 管理案例研究
主要结论为 Bot 管理是重要的业务主题。保护应用和基础设施免受 Bot 攻击可提供切实的经济利益,从而确保:
- 因基础设施和劳动力成本降低,节省成本。
- 通过提高站点可用性和减少客户流失,防止收入损失。
- 通过顺畅的用户体验和更高的转化率提高收入。
- 提高员工满意度和跨组织协作。
为阐明成功的 Bot 管理带来的财务价值和影响,请考虑以下案例研究。一家拥有 3100 万个用户账户且每个用户账户平均月收入为 54 美元的大型在线零售商遭到恶意 Bot 攻击。这些攻击导致每年因应对撞库攻击和 ATO 事件而造成的损失估计为 100 万美元;结算和呼叫中心支持的费用;以及站点中断期间 Bot 抓取事件和利用 Web 基础设施与托管资源的 Bot 流量造成的收入损失。
F5 与在线零售商合作,使用成本节约、收入增加和收入损失预防等业务案例指标,量化将 F5 Distributed Cloud Bot Defense 部署为 Bot 管理解决方案的影响。F5 与在线零售商利用交互式业务案例建模工具确定,部署 F5 Distributed Cloud Bot Defense 将在第一年节省约 930,000 美元,五年内累计节省成本近 490 万美元。
此外,该建模工具预计因 Bot 流量导致的站点中断减少,每年可预防近 50,000 美元的收入损失;因用户账户丢失、用户体验不佳而导致客户流失,每年可预防 200,000 至 100 万美元的收入损失。由于顺畅的用户体验以及客户浏览网站的时间更长,转化率的提高预计将带来额外的 160 万美元的收入增长。
在线零售商从 Distributed Cloud Bot Defense 中获得的总经济效益在第一年后总计近 360 万美元,五年后累计的总经济效益近 1950 万美元。
这些预测与 Forrester Consulting 代表 F5 开展的委托研究中讨论的经济效益一致(下文将更详尽地讨论)。F5 Distributed Cloud Bot Defense 的总体经济影响™ 研究发现,通过实施 Distributed Cloud Bot Defense,Forrester 采访的五位决策者的复合组织代表将在三年内获得 972 万美元的总收益,ROI 为 195%。
如何与关键利益相关者进行业务对话
解释 Bot 攻击如何影响与组织中特定角色和职能相关的操作和指标是展现成功的 Bot 管理价值的重要方式。
CISO
CISO 关切信息安全、成本控制,并确保 IT 支持业务使命;Bot 会影响这其中的每一个问题。
Bot 会破坏机密性、完整性和可用性这信息安全三要素的各个方面。接管账户的撞库攻击 Bot 会披露应保密的数据。同样,这些 Bot 会使攻击者更改数据并进行交易,从而破坏完整性。抓取 Bot 会歪曲数据,虚假帐户创建 Bot 亦是如此,所有这些都违反了关键业务指标的完整性。最后,抓取和倒卖 Bot 可能会增加站点基础设施的负载,使其不可用。
Bot 以多种方式影响成本:
- 撞库攻击 Bot 因账户锁定而增加支持成本,并在犯罪分子清空账户余额时增加金融负债。
- 梳理 Bot 会提高拒付费用,并可能导致罚款。
- 抓取和倒卖 Bot 会增加流量负载和基础设施成本。
- 使用 WAF 等无效工具对抗 Bot 会产生高昂的 SecOps 成本。
此外,Bot 还与 CISO 相关,因为其阻碍了 IT 支持业务。无效的 Bot 管理(例如 CAPTCHA 和过度依赖多重身份验证)会产生摩擦,从而损害客户体验并减少收入。Bot 歪曲了业务指标,以至于难以评估业务策略。当您甚至不知与谁互动时,您如何实施业务策略?
安全运营 (SecOps)
SecOps 团队负责有效管理业务的网络安全风险,而 Bot 阻碍了这一任务的实现。与 CISO 一样,SecOps 将关注机密性、完整性和可用性,这些都受到了 Bot 的影响。除了这些共同关注的问题外,在有效应对安全风险方面,Bot 还带来了制造大量噪音以淹没信号,从而将威胁隐藏在恶意流量中的挑战。
当 Bot 占站点流量的大部分时,分析日志以查找漏洞扫描和注入攻击的迹象会更加困难。SIEM 和入侵检测以及防御系统等安全工具将不堪重负,从而增加成本并导致太多误报需要调查。当视太少为正常时,追踪异常情况就变得不切实际。
成功的 Bot 管理消除了噪音,使 SecOps 能够有效专注于剩余的威胁。
欺诈运营
与 SecOps 一样,Bot 通过显著增加噪音来影响欺诈运营团队。由于有众多 Bot 接管账户、锁定账户、创建虚假帐户并触发异常警报,因此工作负载变得不切实际。
当欺诈和安全团队共同管理 Bot 时,每个团队都是赢家。安全团队可以专注于更小的安全事件,而且欺诈水平也会降低,因此,欺诈团队能够专注于需要专家判断才能解决的更复杂欺诈案例,从而减少案例数量并提高成功指标。从欺诈的角度来看,Bot 是前奏,是欺诈者获得访问权限的一种手段,阻止上游 Bot 减少下游工作负载。
网络运营 (NetOps)
NetOps 团队负责运行服务于业务的基础设施,在控制成本的同时维持正常的运行时间和性能。
在某些情况下,电子商务应用中的抓取 Bot 占流量的 90% 以上,这意味着大多数基础设施都在为 Bot 服务,浪费了基础设施的大部分预算,这一指标在云服务法案中非常明确。
这些 Bot 不关心站点的性能或正常运行时间,并且可以随时在无警告的情况下增加流量,从而导致不可预测性和更高的成本,以确保必要的可扩展性。
DevSecOps
在 DevOps 文化中,DevSecOps 负责将安全性纳入到持续集成/持续开发 (CI/CD) 管道中,确保快速向开发人员反馈安全错误,并不断提升安全性与技术价值流的集成。
DevSecOps 将安全性左移,确保在工作流的早期规划任何差距。Bot 在此具相关性,因为需要评估新功能,以了解 Bot 如何利用该功能、可能造成的危害以及在部署时应采取哪些措施来预防危害。
DevSecOps 团队特别关注遥测。根据 DevOps 手册1,遥测对于预测、诊断和解决复杂系统中的问题至关重要。欲实现 DevOps 成功,遥测应涵盖多层,包括业务指标、功能使用、网络性能以及基础设施负载,以便可以跨堆栈跟踪一层中的问题,从而快速发现根本原因。
Bot 会在很大程度上歪曲遥测数据。许多 F5 Distributed Cloud Bot Defense 客户发现,他们的大多数用户账户虚假,并且 Bot 占登录流量的 95% 以上。在某些情况下,大量的组织基础设施只不过是为抓取 Bot 提供服务。DevSecOps 若要执行安全使命,他们需要从遥测中移除此类歪曲。
业务线所有者
这一切都归结为所有者。电子商务副总裁是否负责欺诈、基础设施和退款的成本?这些费用是否显著削减了在线业务的利润?转化率和收入是否受到 CAPTCHA 等安全问题的影响?如果是,该副总裁将非常关注 Bot 管理如何提高营业收入和底线利润。
这同样适用于通过 Web 或移动应用在线销售的任何产品或服务线的负责人。寻求利润最大化必然涉及解决应用的最大流量来源。
营销
营销人员关注 Bot 有其自己的一套理由。减慢网站速度、关闭网站和接管客户账户的 Bot 都会损害品牌形象。Bot 歪曲了营销人员赖以决策的网站分析。由 Bot 驱动的点击欺诈会耗尽广告预算,而不会产生任何收入。
将其交由董事会和执行领导层
所有这些业务对话都需要打包,以便最高管理层和董事会了解恶意 Bot 如何影响业务的各个方面。成本和收入损失的累计总额很可能对底线产生重大影响,这值得他们关注。
“如果我们遭受网络攻击或其他隐私或数据安全事件,导致安全漏洞中断我们的运营或导致受保护的个人信息或专有信息或保密资料的意外传播,我们可能会遭受收入损失和成本增加,面临着重大责任、声誉受损和其他严重的负面后果。”
成功的 Bot缓解措施带来的业务优势
Bot 攻击可能会对收入产生直接影响,浪费负责阻止恶意自动化的安全团队成员的时间和资源,并损害客户体验。为了减轻这些后果,F5 Distributed Cloud Bot Defense 提供实时监控和情报,以保护组织免受 Bot 攻击,而不会带来用户摩擦。
Forrester Consulting 代表 F5 开展的委托研究调查了企业通过部署 Distributed Cloud Bot Defense 可能获得的潜在 ROI。Forrester 研究中量化的主要发现和益处包括:
将 Bot 攻击造成的欺诈成本降低 30%。通过将反欺诈流程从下游欺诈专业人员转移至发生自动化 Bot 攻击的前端,复合组织能够将其与 Bot 相关的欺诈成本降低 30%。受访者表示,在没有先前解决方案的情况下,欺诈性账户创建减少了 92%,Bot 拦截提升了 80%,在先前 Bot 防护工具到位时,Bot 拦截提升了 30%。
将撞库攻击的成本降低 96%。Distributed Cloud Bot Defense 节省了与撞库攻击相关的额外非欺诈相关成本。该复合组织通过将攻击次数从每年 50 多次减少到每年两次左右,攻击减少了 96%,每年可节省超过 120 万美元。受访者指出,每次攻击的撞库攻击成本可能高达 500,000 美元,相当于每年约 2500 万美元。
将账户锁定及其支持成本降低 88%。通过预防账户锁定,受访者能够改善其客户体验,减少客户创建新账户、重置密码或联系客户支持所需的时间和精力。通过减少呼叫客户支持,组织能够节省客户支持劳动力和技术成本等成本。
消除手动 Bot 防护流程,将规则设置工作减少 40%。通过将 F5 产品的自动化实施到其 Bot 防护实践中,受访者所在公司的安全团队每年能够节省 10,000 小时,节省的这些小时之前用于阻止 IP 地址和调查安全事件,相当于五名全职员工的时间。此外,安全团队还节省了 40% 的之前花费在规则设置方面的时间。
该研究的未量化益处包括:
改善安全和欺诈团队的协作。客户注意到但无法量化部署产品后,对其安全和欺诈团队间协作水平的积极影响。
降低停用第三方 Bot 防护工具的成本。所在组织之前拥有 Bot 防护工具的受访者在投资 F5 Distributed Cloud Bot Defense 后能够停用该工具,从而节省这些成本。
在线活动增加时的弹性。受访者指出,F5 针对自动化攻击提供的防护使其在线业务在 COVID-19 大流行期间,在线活动大幅增加时具有更大的弹性。
灵活扩展到新用例和市场。受访者还分享道,他们计划将 Distributed Cloud Bot Defense 的使用扩展到新用例(例如防止屏幕抓取),以及未来的新地理市场。
“如今,我们深知我们对于对手的了解,我知道如果没有类似于 [Distributed Cloud Bot Defense] 的工具,任何级别的员工都不会如此富有效率。”
“借助 F5 Distributed Cloud Bot Defense,我们可以在 97% 的恶意入站流量到达应用层之前将其拦截,这极大地降低了我们客户的风险。”
结论
目前 Bot 管理意味着成本管理。如果做得好,则可以提高运营效率,降低业务和财务风险并控制 IT 支出,为安全团队和欺诈分析师挤出时间,并通过准确的检测和偏转战略性地管理合作伙伴 Bot,同时提供更好的客户体验。
自动化攻击是企业和组织出于底线和业务运营安全而必须应对的经济挑战。为实现其收入目标,公司必须保护用户和客户免受欺诈和账户接管的侵害,并缓解其安全团队的手动和无效防 Bot 工作流程。
F5 Distributed Cloud Bot Defense 能够防止可绕过现有 Bot 控制解决方案的欺诈和滥用,并提供实时监控和情报,以保护组织免受自动化攻击,而不会造成用户摩擦或中断客户体验。这些保护措施有助于降低因欺诈和恶意 Bot 流量造成的经济影响而造成的成本,同时降低客户支持支出。
若要深入了解 Bot 流量对组织的业务影响,请使用我们的 Bot 影响计算器以了解恶意 Bot 在欺诈、库存操纵、基础设施费用、员工倦怠和客户流失方面给您造成的损失。
来源:
1. Gene Kim、Patrick Debois、John Willis、Jez Humble 和 John Allspaw。DevOps 手册:如何在技术组织中实现世界一流的敏捷性、可靠性和安全性。俄勒冈州波特兰,IT Revolution Press, LLC,2021。
Connect with F5
