This is the Trace Id: 1dae733b0f63758f99fe23665e9a32d6
Przejdź do głównej zawartości
Security Insider

Celem cyberzagrożeń coraz częściej stają się sceny największych światowych wydarzeń

Pobierz
Udostępnij
Ilustracja przedstawiająca stadion piłkarski z wieloma różnymi ikonami.

Cyber Signals, 5. wydanie: Aktualna sytuacja

Źródła zagrożeń podążają za swoimi celami, wykorzystując szanse na przeprowadzenie celowanych lub rozległych, oportunistycznych ataków. Obejmuje to także wydarzenia sportowe wysokiego szczebla, zwłaszcza te w coraz bardziej połączonych środowiskach, co stwarza ryzyko cybernetyczne dla organizatorów, obiektów regionalnego gospodarza i uczestników. Organizacja National Cyber Security Centre (NCSC) Zjednoczonego Królestwa wykryła, że cyberataki na organizacje sportowe są coraz częstsze, a 70% ankietowanych doświadcza co najmniej jednego ataku rocznie. Ta liczba znacznie przewyższa średnią dla firm w Zjednoczonym Królestwie.

Presja na zapewnienie płynnego, bezpiecznego środowiska na arenie światowej stawia nowe wyzwania przed lokalnymi gospodarzami i obiektami. Jedno błędnie skonfigurowane urządzenie, ujawnione hasło lub przeoczone połączenie z innej firmy może doprowadzić do naruszenia zabezpieczeń danych lub udanego włamania.

Firma Microsoft świadczyła pomoc techniczną w zakresie cyberbezpieczeństwa dla krytycznych obiektów infrastruktury, gdy Katar był gospodarzem FIFA World Cup w roku 2022TM. W niniejszym wydaniu przedstawiamy wnioski z pierwszej ręki dotyczące tego, jak źródła zagrożeń oceniają i infiltrują te środowiska w różnych obiektach, drużynach i krytycznej infrastrukturze związanej z samym wydarzeniem.

Wszyscy chronimy cyberbezpieczeństwa.

Firma Microsoft przeprowadziła ponad 634,6 miliona uwierzytelnień, gdy chroniła cyberbezpieczeństwo katarskich obiektów i organizacji między 10 listopada a 20 grudnia 2022 r.

Oportunistyczne źródła zagrożeń wykorzystują środowisko obfite w cele

Zagrożenia dla cyberbezpieczeństwa dotyczące wydarzeń sportowych i miejsc, w których się one odbywają, są różnorodne i złożone. Wymagają ciągłego zachowywania czujności i współpracy między uczestnikami projektu, aby zapobiegać eskalacji i łagodzić ją. Globalny rynek sportowy jest wyceniany na ponad 600 miliardów USD, zatem cel jest bardzo dochodowy. Drużyny sportowe, pierwsza liga i międzynarodowe stowarzyszenia sportowe w połączeniu z miejscami widowiskowymi to istna skarbnica cennych informacji pożądanych przez cyberprzestępców.

Informacje o wynikach sportowców, przewadze konkurencyjnej i dane osobowe stanowią lukratywny cel. Niestety, te informacje mogą być podatne na zagrożenia na dużą skalę ze względu na liczbę połączonych urządzeń i połączonych ze sobą wzajemnie sieci w takich środowiskach. Ta podatność na zagrożenia często obejmuje wielu właścicieli, w tym drużyny, firmy sponsorujące, władze miejskie oraz podwykonawców z innych firm. Trenerzy, sportowcy i kibice także mogą być narażeni na utratę danych i wymuszenia.

Ponadto obiekty i stadiony mają wiele znanych i nieznanych luk w zabezpieczeniach, przez które zagrożenia są kierowane na krytyczne usługi biznesowe, takie jak urządzenia w punkcie sprzedaży, infrastruktury informatyczne i urządzenia gości. Nie ma dwóch pierwszoligowych wydarzeń sportowych o takim samym profilu ryzyka cybernetycznego, który jest zmienny w zależności od czynników, takich jak lokalizacja, uczestnicy, rozmiar i skład.

Aby skupić nasze wysiłki, gdy Katar był gospodarzem World Cup, przeprowadzaliśmy proaktywne wykrywanie zagrożeń w celu oceny ryzyka przy użyciu Zaawansowanego Wyszukiwania Zagrożeń w Usłudze Defender — zarządzanej usługi wykrywania zagrożeń, która proaktywnie wyszukuje zagrożenia w punktach końcowych, systemach poczty e-mail, tożsamościach cyfrowych i aplikacjach w chmurze. W tym przypadku czynniki obejmowały motywację źródła zagrożeń, opracowywanie profilu oraz strategię reagowania. Uwzględnialiśmy także globalną analizę zagrożeń w zakresie zmotywowanych geopolitycznie źródeł zagrożeń i cyberprzestępców.

Główne obawy obejmowały ryzyko cybernetycznego zakłócenia działania usług związanych z wydarzeniem lub obiektów lokalnych. Zakłócenia, takie jak ataki oprogramowania wymuszającego okup oraz próby kradzieży danych, mogłyby negatywnie wpłynąć na środowisko wydarzenia i rutynowe działania.

Oś czasu publicznie zgłaszanych incydentów w latach 2018–2023

  • W styczniu 2023 r. organizacja National Basketball Association ostrzegła kibiców o naruszeniu zabezpieczeń danych, w wyniku którego ich dane osobowe wyciekły z usługi rozsyłania biuletynu przez inną firmę.1
  • W listopadzie 2022 r. klub Manchester United potwierdził, że był celem cyberataku na jego systemy.2
  • W lutym 2022 r. drużyna San Francisco 49ers padła ofiarą poważnego ataku przy użyciu oprogramowania wymuszającego okup podczas wydarzenia Super Bowl Sunday.3
  • W kwietniu 2021 r. grupa używająca oprogramowania wymuszającego okup stwierdziła, że wykradła 500 GB danych drużyny Rockets obejmujących kontrakty, umowy o nieujawnianiu informacji i dane finansowe. Wewnętrzne narzędzia zabezpieczeń zapobiegły zainstalowaniu oprogramowania wymuszającego okup z wyjątkiem kilku systemów.4
  • W październiku 2021 r. mężczyzna ze stanu Minnesota został oskarżony o zahakowanie systemów komputerowych Major League Baseball i próbę wymuszenia od ligi kwoty w wysokości 150 000 USD.5
  • W roku 2018 podczas Olimpiady Zimowej w Pyeongchang zaobserwowano wysoki poziom ataków. Rosyjscy hakerzy przeprowadzili ataki na sieci Olimpiady przed ceremonią otwarcia.6

Zespół wykrywający zagrożenia działał zgodnie z filozofią ochrony wielopoziomowej polegającą na badaniu i chronieniu sieci i urządzeń klienta. Kolejnym ważnym aspektem było monitorowanie zachowania tożsamości, logowań i dostępów do plików. Pokrycie obejmowało różne sektory, w tym klientów zajmujących się transportem, telekomunikacją, ochroną zdrowia i innymi podstawowymi funkcjami.

Łączna liczba jednostek i systemów monitorowanych całodobowo z obsługiwanymi przez człowieka wykrywaniem zagrożeń i pomocą techniczną w zakresie reagowania obejmowała ponad 100 000 punktów końcowych, 144 000 tożsamości, przeszło 14,6 miliona przepływów poczty e-mail, ponad 634,6 miliona uwierzytelnień i miliardy połączeń sieciowych.

Na przykład część obiektów ochrony zdrowia została na potrzeby wydarzenia wyznaczona na zakłady opieki w nagłych przypadkach — obejmowało to szpitale świadczące pomoc krytyczną i usługi medyczne dla kibiców i sportowców. Obiekty ochrony zdrowia posiadały dane medyczne, więc były celami o wysokiej wartości. W działaniach wykrywania zagrożeń firmy Microsoft obsługiwanych przez człowieka i maszyny wykorzystywano analizę zagrożeń do skanowania sygnałów, izolowania zainfekowanych zasobów i udaremniania ataków na te sieci. Dzięki połączeniu technologii rozwiązań zabezpieczających firmy Microsoft zespół wykrył i przeniósł do kwarantanny działanie poprzedzające atak z użyciem oprogramowania wymuszającego okup, którego celem była sieć ochrony zdrowia. Zarejestrowano wiele nieudanych prób zalogowania i zablokowano dalszą aktywność.

Pilny charakter usług opieki zdrowotnej wymaga utrzymywania najwyższego poziomu wydajności zarówno urządzeń, jak i systemów. Szpitale i obiekty ochrony zdrowia stoją przed trudnym zadaniem, jakim jest równoważenie dostępności usług przy jednoczesnym utrzymaniu cyberbezpieczeństwa w dobrej kondycji. Pomyślny atak w perspektywie krótkoterminowej mógłby unieruchomić obiekty medyczne z perspektywy danych do infrastruktury IT, skazując dostawców usług medycznych na pióro i papier podczas aktualizowania danych pacjenta, oraz osłabiając ich zdolność do świadczenia usług medycznych ratujących życie w razie nagłego wypadku lub konieczności oceny stanu zdrowia poszkodowanych na masową skalę. Długoterminowo złośliwy kod osadzony w celu zapewniania wglądu w sieć mógłby zostać wykorzystany w ataku z użyciem oprogramowania wymuszającego okup na szerszą skalę ukierunkowanym na zakłócanie dalszych działań. Taka sytuacja mogłaby otworzyć drzwi do kradzieży danych i wymuszeń.

Duże globalne wydarzenia nadal są atrakcyjnymi celami dla źródeł zagrożeń, dlatego istnieją  różnorodne motywacje państw narodowych, które prawdopodobnie chętnie poniosą straty uboczne w wyniku ataków, jeśli tylko przyczynią się one do realizacji szerszych interesów geopolitycznych. Ponadto grupy cyberprzestępcze chcą wykorzystać ogromne możliwości finansowe dostępne w środowiskach IT związanych ze sportem i danym obiektem, zatem nadal będą je postrzegać jako doskonałe cele.

Rekomendacje

  • Wzmocnij zespół SOC: Spraw, aby dodatkowa para oczu na okrągło monitorowała wydarzenie, aby proaktywnie wykrywać zagrożenia i wysyłać powiadomienia. Ułatwi to korelowanie większej ilości danych dotyczących wyszukiwania zagrożeń i odkrywanie wczesnych oznak włamania. Powinno to obejmować zagrożenia poza punktem końcowym, takie jak naruszenie bezpieczeństwa tożsamości lub dokumentu bazowego między urządzeniem a chmurą.
  • Przeprowadź skoncentrowaną ocenę ryzyka cybernetycznego: Zidentyfikuj potencjalne zagrożenia specyficzne dla wydarzenia, obiektu lub państwa, w którym odbywa się wydarzenie. Ta ocena powinna obejmować dostawców, zespół i profesjonalistów IT danego obiektu, sponsorów i najważniejszych uczestników wydarzenia.
  • Rozważ dostęp z najniższym poziomem uprawnień jako najlepsze rozwiązanie: Udziel dostępu do systemów i usług tylko tym osobom, które go potrzebują, i przeprowadź dla pracowników szkolenia wyjaśniające kwestie warstw dostępu.

Rozległe obszary podatne na ataki wymagają dodatkowego planowania i nadzorowania

W przypadku wydarzeń, takich jak World Cup™, Olimpiada i wszelkie imprezy sportowe, znane zagrożenia cybernetyczne wyłaniają się w unikatowe sposoby, często mniej zauważalnie niż w innych środowiskach korporacyjnych. Te wydarzenia mogą pojawić się szybko, gdy nowi partnerzy i dostawcy uzyskują dostęp do przedsiębiorstwa i sieci udostępnionych na określony czas. Sporadyczny charakter łączności w przypadku niektórych wydarzeń może utrudnić zapewnienie widoczności urządzeń i przepływów danych oraz kontroli nad nimi. Sprzyja to także fałszywemu poczuciu bezpieczeństwa, że „tymczasowe” połączenia są obarczone niższym ryzykiem.

Systemy wydarzenia mogą obejmować obecność drużyny lub obiektu w sieci Web i w mediach społecznościowych, platformy do rejestrowania lub sprzedaży biletów, systemy mierzenia czasu gry i punktacji, logistykę, zarządzanie usługami medycznymi i śledzenie pacjentów, śledzenie incydentów, systemy masowego powiadamiania i elektroniczne podpisy.

Organizacje sportowe, sponsorzy, gospodarze i obiekty muszą współpracować nad tymi systemami i opracowywać cyberinteligentne środowiska dla kibiców. Ponadto ogromny wzrost liczby uczestników i pracowników, którzy wnoszą ze sobą dane i informacje poprzez własne urządzenia, zwiększa obszar podatny na ataki.

Cztery zagrożenia cybernetyczne dla dużego wydarzenia

  • Wyłącz wszelkie zbędne porty i zapewnij odpowiednie skanowanie sieci, aby mieć najnowsze informacje o nieuczciwych lub skonfigurowanych ad hoc punktach dostępu bezprzewodowego, stosuj poprawki do oprogramowania i wybieraj aplikacje z warstwą szyfrowania dla wszystkich danych.
  • Zachęć uczestników do (1) zabezpieczenia swoich aplikacji i urządzeń przez zastosowanie najnowszych aktualizacji i poprawek, (2) unikania uzyskiwania dostępu do informacji poufnych przez publiczne sieci Wi-Fi, (3) unikania linków, załączników i kodów QR z nieoficjalnych źródeł.
  • Upewnij się, że urządzenia POS mają zainstalowane poprawki, są aktualne i połączone z odrębną siecią. Uczestnicy powinni także wystrzegać się nieznanych kiosków i bankomatów oraz ograniczyć transakcje do obszarów oficjalnie zatwierdzonych przez gospodarza wydarzenia
  • Opracuj segmentacje sieci logicznej, aby utworzyć rozdziały między systemami IT i OT oraz ograniczyć dostęp miedzy nimi do urządzeń i danych w celu łagodzenia konsekwencji cyberataku.

Zapewnianie z góry zespołom ds. zabezpieczeń informacji, których potrzebują — obejmujących usługi krytyczne, które muszą być stale aktywne podczas wydarzenia — pozwoli opracować lepsze plany reagowania. Jest to kluczowe w środowiskach IT i OT, które obsługują infrastrukturę obiektu, oraz do utrzymania fizycznego bezpieczeństwa uczestników. Najlepiej, gdyby organizacje i zespoły ds. zabezpieczeń mogły skonfigurować swoje systemy przed wydarzeniem, aby ukończyć testowanie, utworzyć migawkę systemu i urządzeń oraz udostępnić je gotowe zespołom IT do natychmiastowego ponownego wdrożenia w razie potrzeby. Te wysiłki mogą znacząco odstraszyć przeciwników od wykorzystywania nieodpowiednio skonfigurowanych sieci ad hoc w wysoce pożądanych, obfitujących w cele środowiskach dużych wydarzeń sportowych.

Ponadto ktoś w pomieszczeniu powinien uwzględnić zagrożenie dla prywatności oraz to, czy konfiguracje stwarzają nowe zagrożenia lub luki w zabezpieczeniach dla danych osobowych uczestników lub zastrzeżonych danych drużyn. Ta osoba może wdrożyć proste praktyki cyberinteligencji dla kibiców, na przykład prosząc ich o skanowanie tylko kodów QR z oficjalnym logo, krytyczne podchodzenie do wiadomości SMS lub tekstowych nakłaniających do działania, które nie zostały przez nich zasubskrybowane, oraz o unikanie korzystania z bezpłatnej publicznej sieci Wi-Fi.

Te i inne zasady mogą ułatwić publiczności lepsze zrozumienie cyberzagrożeń, zwłaszcza na dużych wydarzeniach, oraz narażenie na gromadzenie i kradzież danych. Znajomość bezpiecznych praktyk może ułatwić kibicom i uczestnikom uniknięcie stania się ofiarami ataków z użyciem inżynierii społecznej, które cyberprzestęcy mogą przeprowadzać po zdobyciu przyczółku przez wykorzystanie luk w sieciach obiektu i wydarzenia.

Poza poniższymi rekomendacjami organizacja National Center for Spectator Sports Safety and Security udostępnia te rozważania dotyczące połączonych urządzeń i zintegrowanych zabezpieczeń dla dużych obiektów.

Rekomendacje

  • Nadaj priorytet wdrożeniu zaawansowanej i wielowarstwowej struktury zabezpieczeń: Obejmuje to wdrażanie zapór, systemów wykrywania włamania i zapobiegania mu oraz silne protokoły szyfrowania w celu wzmocnienia zabezpieczeń sieci przed nieautoryzowanym dostępem i naruszeniami danych.
  • Świadomość użytkownika i programy szkoleniowe: Edukuj pracowników i uczestników w zakresie najlepszych rozwiązań dotyczących cyberbezpieczeństwa, takich jak rozpoznawanie wiadomości e-mail służących do wyłudzania informacji, używanie uwierzytelniania wieloskładnikowego lub ochrona haseł oraz unikanie podejrzanych linków lub plików do pobrania.
  • Nawiąż partnerstwo z renomowanymi firmami z branży cyberbezpieczeństwa: Stale monitoruj ruch sieciowy, wykrywaj potencjalne zagrożenia w czasie rzeczywistym i sprawnie reaguj na wszelkie zdarzenia zagrażające bezpieczeństwu. Przeprowadzaj regularne inspekcje zabezpieczeń i oceny luk w zabezpieczeniach, aby zidentyfikować wszelkie słabe punkty w infrastrukturze sieci i wzmocnić je.

Uzyskaj więcej wniosków na temat typowych wyzwań związanych z zabezpieczeniami od głównego kierownika grupy, Justina Turnera, z działu badań rozwiązań zabezpieczających firmy Microsoft.

Dane migawki odzwierciedlają łączną liczbę jednostek i zdarzeń monitorowanych całodobowo między 10 listopada a 20 grudnia 2022 r. Obejmuje to organizacje bezpośrednio zajmujące się infrastrukturą turnieju lub z nią stowarzyszone. Aktywność obejmuje kierowane przez człowieka, proaktywne wyszukiwanie zagrożeń w celu zidentyfikowania pojawiających się zagrożeń i śledzenie zauważalnych kampanii.

Kluczowe wnioski:
 

45 chronionych organizacji                                 100 000 chronionych punków końcowych

 

144 000 chronionych tożsamości                               14,6 milionów przepływów wiadomości e-mail

 

634,6 miliona prób uwierzytelniania                4,35 miliarda połączeń z siecią

Metodologia: Na potrzeby danych migawki platformy i usługi firmy Microsoft, w tym rozszerzone możliwości wykrywania zagrożeń i reagowania na nie firmy Microsoft, Microsoft Defender, Zaawansowane Wyszukiwanie Zagrożeń w Usłudze Defender oraz Azure Active Directory, dostarczyły zanonimizowanych danych dotyczących aktywności zagrożeń, takich jak złośliwe konta e-mail, wiadomości e-mail służące do wyłudzania informacji oraz poruszanie się atakującego w sieciach. Dodatkowe wnioski wyciągnięto z 65 biliardów codziennych sygnałów dotyczących zabezpieczeń zebranych w całej firmie Microsoft, obejmujących chmurę, punkty końcowe, inteligentne urządzenia brzegowe, a także nasze Zespoły Ekspertów ds. Naruszeń Bezpieczeństwa oraz Wykrywania Zagrożeń i Reagowania Na Nie. Grafika na okładce nie przedstawia faktycznej gry w piłkę nożną, turnieju ani konkretnej dyscypliny sportowej. Wszystkie organizacje, do których się odwoływano, to znaki towarowe należące do indywidualnych właścicieli.

Powiązane artykuły

Porada eksperta dotycząca trzech najbardziej trwałych wyzwań w zakresie cyberbezpieczeństwa

Główny kierownik grupy, Justin Turner, z działu badań rozwiązań zabezpieczających firmy Microsoft, opisuje trzy długotrwałe wyzwania, które obserwował w swojej karierze związanej z cyberbezpieczeństwem: zarządzanie konfiguracją, wprowadzanie poprawek i widoczność urządzenia.
Dowiedz się więcej

61% wzrost ataków mających na celu wyłudzenie informacji. Poznaj współczesny obszar podatny na ataki

Aby zarządzać coraz bardziej złożonym obszarem podatnym na ataki, organizacje muszą opracować kompleksowy stan zabezpieczeń. W tym raporcie opartym na sześciu kluczowych obszarach podatnych na ataki przedstawiono, jak odpowiednia analiza zagrożeń może pomóc przechylić szalę zwycięstwa na stronę obrońców.
Dowiedz się więcej

Konwergencja IT i OT

Rosnący udział technologii IoT w obiegu zagraża technologii operacyjnej poprzez szereg potencjalnych luk w zabezpieczeniach i narażenie na źródła zagrożeń. Dowiedz się, jak chronić swoją organizację.
Dowiedz się więcej

Obserwuj rozwiązania zabezpieczające firmy Microsoft