Trace Id is missing
Преминаване към основното съдържание
Участник в Insider за защита

Киберзаплахите все по-често са насочени към най-големите световни сцени за събития

Изтегляне
Споделяне
Илюстрация на футболен стадион с множество различни икони.

Cyber Signals Издание 5: Състояние на играта

Участниците в заплахите отиват там, където са целите, като се възползват от възможностите за провеждане на целенасочени или широко разпространени, опортюнистични атаки. Това се отнася и за спортните събития с висок рейтинг, особено за тези, които се провеждат във все по-свързана среда, което води до киберрискове за организаторите, регионалните съоръжения-домакини и участниците. Националният център за киберсигурност на Обединеното кралство (NCSC) установи, че кибератаките срещу спортни организации са все по-често срещани, като 70 % от анкетираните са преживели поне една атака годишно, което е значително повече от средното за предприятията в Обединеното кралство.

Натискът да се осигури безпроблемно и безопасно изживяване на световната сцена внася нови залози за местните домакини и съоръжения. Едно-единствено неправилно конфигурирано устройство, разкрита парола или пренебрегната връзка с трета страна могат да доведат до нарушаване на сигурността на данните или до успешна интрузия.

Microsoft предостави подкрепа за киберсигурността на обекти от критичната инфраструктура по време на домакинството на държавата Катар на Световната купа по футбол през 2022TM. В това издание ви предлагаме информация от първа ръка за това как участниците в заплахите оценяват и проникват в тези среди на местата за провеждане, отборите и критичната инфраструктура около самото събитие.

Всички ние сме защитници на киберсигурността.

Между 10 ноември и 20 декември 2022 г. Microsoft извършва над 634,6 милиона удостоверявания, докато осигурява защита на киберсигурността за катарски обекти и организации.

Опортюнистични участници в заплахи се възползват от богата на цели среда

Заплахите за киберсигурността на спортните събития и обекти са разнообразни и сложни. Те изискват постоянна бдителност и сътрудничество между заинтересованите страни, за да се предотврати и смекчи ескалацията им. Тъй като световният спортен пазар се оценява на повече от 600 милиарда щатски долара, целта е богата. Спортните отбори, асоциациите от Висшата лига и световните спортни асоциации, както и местата за развлечение, съхраняват съкровищница от ценна информация, желана от киберпрестъпниците.

Информацията за спортните постижения, конкурентните предимства и личната информация е доходоносна цел. За съжаление тази информация може да бъде уязвима в мащаба си поради броя на свързаните устройства и взаимосвързаните мрежи в тези среди. Често тази уязвимост обхваща множество собственици, включително отбори, корпоративни спонсори, общински органи и изпълнители от трети страни. Треньорите, спортистите и феновете също могат да бъдат уязвими към загуба на данни и изнудване.

Освен това местата за провеждане на състезания и арените съдържат много известни и неизвестни уязвимости, които позволяват на заплахите да се насочат към критични бизнес услуги, като например устройства за продажба, ИТ инфраструктури и устройства за посетители. Няма две високопоставени спортни събития с еднакъв профил на киберриска, който варира в зависимост от фактори като местоположение, участници, размер и състав.

За да съсредоточим усилията си по време на домакинството на Световната купа в Катар, проведохме проактивен лов на заплахи, чрез който оценяваме риска с помощта на Експерти за проактивно търсене на Microsoft Defender, управлявана услуга за лов на заплахи, която проактивно търси заплахи в крайни точки, имейл системи, цифрови идентичности и облачни приложения. В този случай факторите включват мотивация на субекта на заплахата, разработване на профил и стратегия за отговор. Също така взехме предвид глобалната разузнавателна информация за заплахите, свързана с геополитически мотивирани участници в заплахи и киберпрестъпници.

Най-важните опасения включваха риска от кибернетично прекъсване на услугите, свързани със събития, или на местните съоръжения. Подобни нарушения като атаки с цел получаване на откуп и опити за кражба на данни биха могли да окажат отрицателно въздействие върху събитието и рутинните операции.

Хронология на публично докладваните инциденти за периода 2018-2023 г.

  • Януари 2023 г. Националната баскетболна асоциация предупреждава феновете за изтичане на данни, при което е изтекла лична информация от услуга за бюлетини на трета страна.1
  • Ноември 2022 г. Манчестър Юнайтед потвърди, че клубът е преживял кибератака срещу своите системи.2
  • Февруари 2022 г. Сан Франциско Фортинайнърс бяха засегнати от голяма атака с рансъмуер в неделята на Супербоул.3
  • Април 2021 г. група за откуп твърди, че е откраднала 500 гигабайта данни на "Рокетс", включително договори, споразумения за неразкриване на информация и финансови данни. Вътрешните инструменти за сигурност предотвратиха инсталирането на ransomware, с изключение на няколко системи.4
  • Октомври 2021 г. мъж от Минесота е обвинен, че е хакнал компютърните системи на Мейджър лийг бейзбол и се е опитал да изнуди лигата за 150 000 щатски долара.5
  • 2018 г. Зимните олимпийски игри в Пьонгчанг отбелязаха високо ниво на атаки. Руски хакери извършиха атаки срещу олимпийските мрежи преди церемонията по откриването.6

Екипът за търсене на заплахи работи по философията "защита в дълбочина", за да проверява и защитава клиентските устройства и мрежи. Друг фокус беше наблюдението на поведението на идентичностите, влизанията в системата и достъпа до файлове. Обхватът обхващаше различни сектори, включително клиенти, участващи в транспорта, телекомуникациите, Здраве­опазването и други важни функции.

Като цяло общият брой на наблюдаваните двадесет и четири устройства и системи с ръководена от хора поддръжка за проактивно търсене на заплахи и реагиране обхвана повече от 100 000 крайни точки, 144 000 идентичности, 14,6 милиона плюс имейл потоци, над 634,6 милиона удостоверявания и милиарди мрежови връзки.

Като пример могат да се посочат някои здравни заведения, които бяха определени като звена за спешна помощ за събитието, включително болници, предоставящи критична подкрепа и здравни услуги за феновете и играчите. Тъй като здравните заведения притежават медицински данни, те са били цели с висока стойност. Дейността на Microsoft за проактивно търсене на заплахи с помощта на машини и хора използваше разузнавателна информация за заплахи, за да сканира сигнали, да изолира заразени активи и да прекъсне атаките в тези мрежи. С помощта на комбинация от технологии на Microsoft Security екипът откри и постави под карантина активност, насочена към здравната мрежа преди трансъмуера. Бяха регистрирани множество неуспешни опити за влизане в системата и по-нататъшната дейност беше блокирана.

Спешният характер на здравните услуги изисква устройствата и системите да поддържат върхово ниво на производителност. Болниците и здравните заведения имат сложната задача да балансират наличността на услугите, като същевременно поддържат здравословна позиция на киберсигурност. Една успешна атака в краткосрочен план би могла да обездвижи медицинските заведения от гледна точка на данните и ИТ, оставяйки доставчиците на медицински услуги да се придържат към химикал и хартия при актуализиране на данните на пациентите и отслабвайки способността им да извършват животоспасяващи медицински грижи в спешни случаи или в ситуация на масово сортиране. В дългосрочен план злонамереният код, подхвърлен с цел осигуряване на видимост в мрежата, би могъл да бъде използван за по-широкообхватно събитие, свързано с изнудване, целящо по-нататъшни смущения. Подобен случай би могъл да отвори вратата за кражба на данни и изнудване.

Тъй като големите глобални събития продължават да бъдат желани цели за участниците в заплахите, съществуват  разнообразни мотивацииот страна на националните държави, които изглежда са готови да поемат съпътстващи щети от атаките, ако това подкрепя по-широки геополитически интереси. Освен това киберпрестъпните групи, които искат да се възползват от огромните финансови възможности, съществуващи в ИТ средите, свързани със спортни събития и места, ще продължат да ги разглеждат като желани цели.

Препоръки

  • Увеличаване на екипа на SOC: Разполагате с допълнителен набор от очи, които наблюдават събитието денонощно, за да откриват проактивно заплахи и да изпращат известия. Това помага да се съпоставят повече данни за проактивно търсене и да се открият ранни признаци на проникване. То трябва да включва заплахи извън крайната точка, като компрометиране на идентичността или завъртане на устройството в облака.
  • Проведете целенасочена оценка на киберриска: Идентифицирайте потенциалните заплахи, специфични за събитието, мястото на провеждане или държавата, в която се провежда събитието. Тази оценка трябва да включва доставчици, ИТ специалисти от екипа и мястото на провеждане, спонсори и ключови заинтересовани страни от събитието.
  • Преценете, че най-добрата практика е най-малко привилегированият достъп: Предоставяйте достъп до системи и услуги само на тези, които се нуждаят от него, и обучете персонала да разбира слоевете на достъп.

Обширните повърхности за атаки изискват допълнително планиране и надзор

При събития като World Cup™, Олимпийските игри и спортните събития като цяло, известните киберрискове изплуват по уникален начин, често по-незабележимо, отколкото в други корпоративни среди. Тези събития могат да се състоят бързо, като нови партньори и доставчици получават достъп до корпоративни и споделени мрежи за определен период от време. Изскачащият характер на свързаността при някои събития може да затрудни развитието на видимост и контрол на устройствата и потоците от данни. Той също така насърчава фалшивото чувство за сигурност, че "временните" връзки са с по-нисък риск.

Системите за провеждане на събития могат да включват присъствието на отбора или мястото на провеждане на събитието в интернет и социалните медии, платформите за регистрация или продажба на билети, системите за измерване на времето за игра и точкуване, логистиката, медицинското управление и проследяването на пациентите, проследяването на инциденти, системите за масово уведомяване и електронните табели.

Спортните организации, спонсорите, домакините и местата за провеждане на събитията трябва да си сътрудничат по отношение на тези системи и да разработят кибернетична интелигентна среда за феновете. Освен това огромният брой посетители и персонал, които носят със себе си данни и информация чрез собствените си устройства, увеличава повърхността на атаките.

Четири киберриска за големи събития

  • Деактивирайте всички ненужни портове и осигурете правилно сканиране на мрежата за нелоялни или ad hoc точки за безжичен достъп Актуализирайте, поправяйте софтуера и избирайте приложения с ниво на шифроване за всички данни.
  • Насърчавайте участниците да (1) подсигуряват приложенията и устройствата си с най-новите актуализации и пачове, (2) да избягват достъпа до чувствителна информация от обществени Wi-Fi мрежи, (3) да избягват връзки, прикачени файлове и QR кодове от неофициални източници.
  • Уверете се, че POS устройствата са коригирани, актуализирани и свързани към отделна мрежа. Освен това участниците трябва да се пазят от непознати павилиони и банкомати и да ограничат трансакциите до местата, официално одобрени от домакина на събитието
  • Разработване на логически мрежови сегменти, за да се създадат разделения между ИТ и ОТ системите и да се ограничи кръстосаният достъп до устройствата и данните, за да се намалят последиците от кибератака.

Предоставянето на необходимата информация на екипите по сигурността предварително - включително критичните услуги, които трябва да останат функциониращи по време на събитието - ще даде по-добра информация за плановете за реакция. Това е от съществено значение за ИТ и ОТ средите, които поддържат инфраструктурата на мястото на събитието, както и за поддържане на физическата безопасност на посетителите. В идеалния случай организациите и екипите по сигурността биха могли да конфигурират своите системи преди събитието, за да приключат тестването, да направят снимка на системата и устройствата и да ги предоставят на разположение на ИТ екипите за бързо пренасочване при необходимост. Тези усилия са от голямо значение за възпрепятстване на противниците да се възползват от лошо конфигурирани ad hoc мрежи в изключително желаната и богата на цели среда на големи спортни събития.

Освен това някой в залата трябва да обмисли риска за неприкосновеността на личния живот и дали конфигурациите добавят нови рискове или уязвимости за личната информация на посетителите или патентованите данни на отборите. Този човек може да приложи прости кибернетични практики за феновете, като ги насочи например да сканират само QR кодове с официално лого, да се отнасят критично към SMS или текстови покани, за които не са се абонирали, и да избягват използването на безплатен обществен Wi-Fi.

Тези и други правила могат да помогнат на обществеността да разбере по-добре киберриска при големите събития и по-специално излагането им на риск от събиране и кражба на данни. Познаването на безопасните практики може да помогне на феновете и посетителите да избегнат превръщането си в жертви на атаки със социален инженеринг, които киберпрестъпниците могат да извършат, след като се установят в експлоатирани мрежи на местата за провеждане на събития и прояви.

В допълнение към препоръките по-долу, Националният център за безопасност и сигурност на зрителските спортове предлага тези съображения за свързани устройства и интегрирана сигурност за големи обекти.

Препоръки

  • Приоритизиране на прилагането на цялостна и многопластова рамка за защита: Това включва внедряване на защитни стени, системи за откриване и предотвратяване на прониквания и силни протоколи за криптиране, за да се защити мрежата от неоторизиран достъп и пробиви в данните.
  • Програми за повишаване на осведомеността и обучение на потребителите: Обучавайте служителите и заинтересованите страни за най-добрите практики в областта на киберсигурността, като например разпознаване на фишинг имейли, използване на многофакторно удостоверяване или защита без парола и избягване на подозрителни връзки или изтегляния.
  • Партньорство с реномирани фирми за киберсигурност: Непрекъснато наблюдение на мрежовия трафик, засичане на потенциални заплахи в реално време и бърза реакция при инциденти със сигурността. Провеждайте редовни одити на сигурността и оценки на уязвимостта, за да идентифицирате и отстраните всички слабости в мрежовата инфраструктура.

Получете повече информация за често срещаните предизвикателства в областта на сигурността от главния мениджър на групата Джъстин Търнър, Microsoft Security Research.

Снимковите данни представляват общия брой субекти и събития, наблюдавани двадесет и четири пъти в периода от 10 ноември до 20 декември 2022 г. Това включва организации, които пряко участват в инфраструктурата на турнира или са свързани с нея. Дейността включва проактивно търсене на заплахи, ръководено от хора, за идентифициране на нововъзникващи заплахи и проследяване на забележителни кампании.

Ключови прозрения:
 

45 защитени организации                                 100 000 защитени участници

 

144 000 защитени самоличности                               14.6 милиони имейл потоци

 

634,6 милиони опити за удостоверяване                4,35 милиарда мрежови връзки

Методология: За данните от статични копия на данни, платформите и услугите на Microsoft, включително Microsoft Extended Detections and Response, Microsoft Defender, Експерти за проактивно търсене на Microsoft Defender и Azure Active Directory, предоставиха анонимни данни за активността на заплахите, като например злонамерени имейл акаунти, фишинг имейли и движение на нападателите в мрежите. Допълнителните прозрения са от 65 трилиона ежедневни сигнала за сигурност, получени в Microsoft, включително облака, крайните точки, интелигентната граница и нашите „Практика за възстановяване на защитата при компрометиране“ и „Екипи за откриване и реагиране“. На корицата не е изобразен действителен футболен мач, турнир или индивидуален спорт. Всички споменати спортни организации са индивидуално притежавани търговски марки.

Свързани статии

Експертни съвети за трите най-сериозни предизвикателства в областта на киберсигурността

Главният мениджър на групата Джъстин Търнър, Microsoft Security Research, описва трите постоянни предизвикателства, които е видял по време на кариерата си в областта на киберсигурността: управление на конфигурацията, поправки и видимост на устройствата.
Научете повече

61% увеличение на фишинг атаките. Опознайте съвременната си повърхност за атаки

За да се справят с все по-сложната повърхност на атака, организациите трябва да разработят цялостно положение на защитата. С шест ключови области на повърхността на атака този отчет ще ви покаже как правилното разузнаване за заплахи може да помогне за промяна на полето на игра в полза на защитниците.
Научете повече

Сближаването на ИТ и ОТ

Все по-широкото разпространение на интернет на нещата излага на риск технологиите за информационно осигуряване с редица потенциални уязвимости и излагане на заплахи. Разберете как да защитите организацията си.
Научете повече

Следвайте Microsoft