Trace Id is missing
דלג לתוכן הראשי
Insider בנושא אבטחה

איומי סייבר מציבים יותר ויותר את במות האירועים הגדולים בעולם כמטרה

הורד
שתף
הדגמה של אצטדיון כדורגל עם הרבה סמלים שונים.

סוגיית Cyber Signals 5: מדינת המשחק

גורמי איום הולכים למקומות שבהם נמצאים המטרות, מפיקים תועלת מהזדמנויות לפתוח במתקפות אופורטוניסטיות ממוקדות או נרחבות. תכונה זו מתרחבת לאירועי ספורט בעלי חשיפה גבוהה, במיוחד אלו שנמצאים בסביבות יותר ויותר מתחברות, וכך המארגנים, מתקני אירוח אזוריים ומשתתפים נחשפים לסכנת סייבר. מרכז אבטחת הסייבר הלאומי של בריטניה (NCSC) גילה שמתקפות סייבר נגד ארגוני ספורט הולכים ונהיים יותר נפוצים, כאשר 70 אחוז מאלה שנסקרו נתקלו במתקפה אחת לפחות בשנה, מתון גבוה משמעותית מהממוצע ברחבי עסקים בבריטניה.

הלחץ לספק חוויה חלקה ובטוחה על במת העולם, פוגש סיכונים חדשים למארחים ומתקנים מקומיים. מכשיר אחד שתצורתו נקבעה בצורה שגויה, סיסמה אחת שנחשפה או חיבור צד שלישי שזה להתעלמות, יכולים להוביל לדליפת נתונים או לפלישה מוצלחת.

Microsoft סיפקה תמיכת אבטחת סייבר למתקני תשתית קריטיים במהלך התקופה שבה מדינת קטר אירחה את גביע העולם של FIFA - ‏FIFA World Cup in 2022TM. במהדורה זו אנו מציעים חומרי למידה ממקור ראשון לגבי האופן שבו גורמי איום מעריכים את הסביבות האלה ופולשים אליהן באולמות שונים, קבוצות ותשתיות קריטיות שונות סביב האירוע עצמו.

כולנו מגיני אבטחת סייבר.

Microsoft ביצעה מעל 634.6 מיליון אימותים בזמן שהיא סיפקה הגנות אבטחת סייבר למתקנים וארגוני בקטר בין ה- 10 בנובמבר ל- 20 בדצמבר 2022.

גורמי איום אופורטוניסטים מנצלים סביבה עשירה במטרות

איומי אבטחת סייבר לאירוע ואולמות ספורט הם מגוונים ומורכבים. הם דורשים דריכות תמידית ושיתוף פעולה בין בעלי עניין כדי למנוע ולצמצם הסלמה. מאחר ששוויו של שוק הספורט הגלובלי מוערך ביותר מ- 600 מיליארד USD, המטרה עשירה. קבוצות ספורט, ליגה לאומית ואיגודי ספורט גלובליים, ואולמות בידור משכנים אוצר של מידע בעל ערך שפושעי סייבר חושקים בו.

מידע לגבי ביצועים אתלטיים, יתרון תחרותי ומידע אישי הם יעד רווחי. למרבה הצער, מידע זה עלול להיות פגיע בקנה מידה, עקב מספר המכשירים המחוברים והרשתות המקושרות בסביבות אלה. לעתים קרובות פגיעות זו כוללת בעלים רבים, כולל קבוצות, נותני חסות ארגוניים, רדויות עירוניות וקבלני צד שלישי. מאמנים, ספורטאים ואוהדים יכולים גם הם להיות פגיעים לאובדן נתונים ולסחיטה.

יתר על כן, אולמות וזירות מכילות פגיעויות רבות, ידועות ולא ידועות, שמאפשרות לאיומים להציב שירותים עסקיים קריטיים כיעד, כגון שירותי נקודות מכירה, תשתיות IT ומכשירי אורחים. אין שני אירועי ספורט בחשיפה גבוהה שיש להם את אותו פרופיל סיכוני סייבר, אשר משתנים בהתאם למשתנים כמו מיקום, משתתפים, גודל והרכב.

כדי למקד את המאמצים שלנו באירוח גביע העולם של קטר, ביצענו ציד איומים יזום שבאמצעותו אנו מעריכים את הסיכון באמצעות מומחי Defender לציד, שירות ציד איומים מנוהל שמחפש באופן יזום אחר איומים ברחבי נקודות קצה, מערכות דואר אלקטרוני, זהויות דיגיטליות ויישומי ענן. במקרה זה, המשתנים כוללים מוטיבציה של גורם איום, התפתחות פרופיל ואסטרטגיית תגובה. אנו שקלנו גם בינת איומים גלובלית לגבי גורמי איומים ופושעי סייבר בעלי מוטיבציה גאופוליטית.

החששות בראש סדר העדיפויות כוללים את הסיכון של שיבוש סייבר בשירותי אירוע או מתקנים מקומיים. שיבושים כמו מתקפות תוכנת כופר ומאמצים לגנוב נתונים, יכולים להשפיע באופן שלילי על חוויית האירוע ופעולות שגרתיות.

ציר זמן של תקריות דיווח ציבוריות בין השנים 2018-2023

  • בינואר 2023, איגוד הכדורסל הלאומי הזהיר את האוהדים לגבי דליפת נתונים שהדליפה את המידע האישי שלהם משירות ניוזלטר של צד שלישי.1
  • בנובמבר 2022 קבוצת Manchester United אישרה שהמועדון נתקל במתקפת סייבר על המערכות שלו.2
  • בפברואר 2022, קבוצת San Francisco 49ers נפגעה על-ידי מתקפת תוכנת כופר גדולה ב- Super Bowl Sunday‏.3
  • באפריל 2021, קבוצת תוכנת כופר טענה שהיא גנבה 500 ג’יגה-בתים מנתוני ה- Rockets, כולל חוזים, הסכמים סודיים ונתונים פיננסים. כלי אבטחה פנימיים מונעים התקנה של תוכנת כופר למעט כמה מערכות.4
  • באוקטובר 2021, אדם ממינסוטה הורשע על שפרץ למערכות מחשב של ליגת הבייסבול הלאומית וניסה לסחוט מהליגה USD$150,000.‏5
  • אולימפיאדת החורף של 2018 שהתקיימה בפיונגצ'אנג, ראתה רמה גבוהה של מתקפות. האקרים רוסים ביצעו מתקפות ברשתות האולימפיאדה לפני טקס הפתיחה.6

צוות ציד האיומים פעל תחת פילוסופיית הגנה לעומק כדי לבחון מכשירי ורשתות לקוחות ולהגן עליהם. מיקוד נוסף היה ניטור אופן הפעולה של זהויות, פעולות כניסה וגישה לקבצים. הכיסוי כלל מוון של מגזרים, כולל לקוחות שמעורבים בשינוע, טלקומוניקציה, שירותי בריאות ותפקודים חיוניים אחרים.

באופן כללי, המספר הכולל של ישויות ומערכות ניטרו ציד איומים בהובלה אנושית במשך 24/7 ותמיכת תגובה כללה מעל 100,000 נקודות קצה, 144,000 זהויות, מעל 14.6 מיליון זרימות דואר אלקטרוני מכל 634.6 מיליון אימונים ומיליארדי חיבורי רשתות.

כדוגמה, חלק ממתקני שירותי הבריאות יועדו ליחידות רפואה דחופה עבור האירוע, כולל בתי חולים שמספקים תמיכה קריטית ושירותי בריאות לאוהדים ולשחקנים. מאחר שמתקני שירותי בריאות מחזיק בבעלות על נתונים רפואיים, הם היוו יעדים בעלי ערך גבוה. פעילות לציד איומים של Microsoft שמופעלת על-ידי מכונה ובני אדם, ניצלה בינת איומים כדי לסרוק אותות, לבודד נכסים מושפעים ולשבש מתקפות ברשתות אלה. הודות לשילוב של טכנולוגיית האבטחה של Microsoft, הצוות זיהה והכניס להסגר פעילות טרום כופר שהיעד שלה היה רשת שירותי בריאות. מספר רב של ניסיונות כניסה לא מוצלחים התחברו, ופעילות נוספת נחסמה.

האופי הדחוף של שירותי הבריאות דורש שמכשירים ומערכות ישמרו על רמת שיא של ביצועים. לבתי חולים ומתקני שירותי בריאות יש משימה מאתגרת באיזון זמינות השירות תוך שמירה על מצב כולל תקין של אבטחת סייבר. מתקפה מוצלחת, בתקופה הקרובה, יכולה לשתף מתקני רפואה מנקודת מבט של נתונים ו- IT, מה שיותיר ספקי רפואה נתונים לחסדי עט ונייר בעת עדכון נתוני מטופל ויחליש את היכולת שלהם לבצע פעולות רפואיות מצילות חיים במקרה חירום או במצב שדורש מיון ראשוני של המונים. ניתן היה לנצל קוד זדוני ארוך טווח שנשתל כדי לספק נראות ברחבי רשת, לאירוע תוכנת כופר רחב יותר שכוונתו להמשיך ולשבש. מקרה מסוג זה יכול היה לפתוח את הדלת לגניבת נתונים ולסחיטה.

אירועים גלובליים גדולים ממשיכים להיות יעדים נחשקים של גורמי איומים, ישנו  מגוון של גורמי מוטיבציהממדינות לאום שנראה שמוכנות לספוג את הנזק המשני ממתקפה אם היא תומכת באינטרסים גאופוליטיים רחבים יותר. יתר על כן, קבוצות פושעי סייבר שמחפשות לנצל את ההזדמנויות הפיננסיות הנרחבות שקיימות בספורט ובסביבות IT שקשורות למקום האירוע, ימשיכו לראות אותם כיעדים נחשקים.

המלצות

  • הגדלת צוות ה- SOC: הוספת עוד עיניים שמנטרות את האירוע סביב השעון כדי לזהות ולשלוח התראות באופן יזום. פעולה זו עוזרת לתאם יותר נתוני ציד ולגלות סימנים מוקדמים של פלישה. היא אמורה לכלול איומים מעבר לנקודת קצה, כגון חשיפה לסכנה של זהות או מכשיר לציר ענן.
  • ביצוע הערכת סיכוני סייבר ממוקדת: זיהוי איומים פוטנציאליים ספציפיים לאירוע, למקום או למדינה שבהם האירוע מתקיים. הערכה זו צריכה לכלול ספקים, קבוצות ומומחי IT של המקום, נותני חסות ובעלי עניין חשובים באירוע.
  • הבאה בחשבון של שיטת עבודה מומלצת לגישה עם הרשאות מינימליות: הענקת גישה למערכות ושירותים רק למי שצריך אותה, ותרגול צוות להבנת שכבות הגישה.

שטח מתקפה נרחב דורש תכנון ופיקוח נוספים

באירועים כמו משחקי ה- ™World Cup, אולימפיאדה ואירועי ספורט באופן כללי, סיכוני סייבר ידועים עולים על פני השטח בדרך ייחודים, לעתים קרובות בצורה פחות מוחשית מסביבות ארגוניות אחרות. אירועים אלה יכולים להיווצר במהירות, עם שותפים חדשים וספקים שדורשים גישה לרשתות ארגוניות ומשותפות לפרק זמן ספציפי. האופי הבולט של קישוריות עם כמה אירועי יכולים להקשות על פיתוח ניראות ובקרה על מכשירים וזרימות נתונים. הוא גם מאמץ תחושה כוזבת של אבטחה לפיה הסיכון של קישורים ”זמניים” נמוך יותר.

מערכות אירוע יכולות לכלול את אתר האינטרנט של הקבוצה או המקום ונוכחות במדיה החברתית, פלטפורמות רישום או מכירת כרטיסים, מערכות תזמון משחק וניקוד, לוגיסטיקה, ניהול רפואי ומעקב אחר מטופלים, מעקב אחר תקריות, מערכות התראה המונית ושילוט אלקטרוני.

מארגנים, נותנים חסות, מארחים ואולמות ספורט חייבים לשתף פעולה במערכות אלה ולפתח חוויות סייבר חכמות לאוהדים. יתר על כן, הנפח הגדל של משתתפים וצוות שמביאים איתם נתונים ומידע באמצעות המכשירים שלהם, מגדיל את שטח התקיפה.

ארבעה סיכוני סייבר לאירועים גדולים

  • השבתת יציאות לא נחוצות כלשהן והקפדה על סריקת רשת הולמת עבור עדכון נקודות גישה אלחוטיות מושחתות או אד הוק, תיקון תוכנה ובחירת אפליקציות בעלות שכבה של הצפנה לכל הנתונים.
  • עודד משתתפים (1) לאבטח את האפליקציות והמכשירים שלהם עם העדכונים והתיקונים העדכניים ביותר, (2) להימנע מגישה למידע רגיש מרשת Wi-Fi ציבורית, (3) להימנע מקישורים, קבצים מצורפים וקודי QR ממקורות בלתי רשמיים.
  • הקפידו שמכשירי POS יהיו מתוקנים, עדכניים ומחוברים לרשת נפרדת. בנוסף, משתתפים צריכים להיזהר מפני קיוסקים וכספומטים לא מוכרים ולהגביל את העסקאות לתחומים שנתמכים באופן רשמי על-ידי מארח האירוע
  • פתח חלוקה הגיונית למקטעים של רשת כדי ליצור הפרדה בין מערכות IT ו- OT ולהגביל גישה צולבת למכשירים ונתונים כדי לצמצם את ההשלכות של מתקפת סייבר.

אספקת המידע שנחוץ לצוותי אבטחה מראש—כולל שירותים קריטיים שחייבים להישאר ניתנים לתפעול במהלך האירוע—יספקו מידע לתוכניות התגובה בצורה טובה יותר. פעולה זו חיונית לסביבות IT ו- OT שתומכות בתשתית האולם, ולשמירה על בטיחות פיזית של המשתתפים. באופן אידאלי, ארגונים וצוותי אבטחה יכולים לקבוע את התצורה של המערכות שלהם לפני האירוע כדי להשלים בדיקה, לצלם תמונת דוח של המערכת והמכשירים ולהפוך אותם לזמינים ומוכנים לפריסה מהירה של צוותי IT בעת הצורך. מאמצים אלה מועילים בהרתעת האויבים מפני ניצול של רשתות אד הוק שתצורתן נקבעה ברשלנות בתוך סביבות עשירות ביעדים, נחשקות במיוחד או אירועי ספורט גדולים.

בנוסף, מישהו בחדר צריך להביא בחשבון סיכון פרטיות ואם תצורות מוסיפות סיכונים חדשים או פגיעויות חדשות עבור המידע האישי של משתתפים או נתונים קניינים של הקבוצות. אדם זה יכול להטמיע שיטות עבודה חכמות פשוטות של סייבר עבור אוהדים, שמכווינות אותם, לדגומה, לסריקה רק של קודי QR שכוללים סמל רשמי, לתת תשומת לב מיוחדת להודעות SMS או טקסט משדלות שהם לא נרשמו לקבלה שלהן, ולהימנע משימוש ברשת Wi-Fi ציבורית חינמית.

פריטי מדיניות אלה ואחרים יכולים לעזור לציבור להבין טוב יתר את סכנת הסייבר באירועים גדולים, במיוחד את החשיפה שלהם לקצירה או גנבה של נתונים. הכרת שיטות עבודה בטוחות יכולות לעזור לאוהדים ולמשתתפים מתחמקים להפוך לקרבנות של מתקפות הנדסה חברתית, אשר פושעי סייבר יכולים לקבל עליהם שכר לאחר השגת שליטה על מקום ורשתות אירוע מנוצלים.

בנוסף להמלצות להלן, המרכז הלאומי לבטיחות ואבטחת צופי ספורט מציע את שיקולים אלה למכשירים מחוברים ולאבטחה משולבת עבור אולמות גדולים.

המלצות

  • תעדף את ההטמעה של מסגרת אבטחה מקיפה ורב-שכבתית: הדבר כולל פריסת חומות אש, זיהוי פלישה ומערכות מניעה, ופרוטוקולי הצפנה חזקים לביצור הרשת מפני גישה בלתי מורשית והפרות נתונים.
  • תוכניות למודעות והדרכת משתמשים: חנך עובדים ובעלי עניין לגבי שיטות עבודה מומלצות לאבטחת סייבר, כגון זיהוי הודעות דוא"ל לדיוג, שימוש באימות רב-גורמי או הגנת ללא סיסמה, והימנעות מקישורים חשודים או הורדות חשודות.
  • יצירת שותפות עם חברות אבטחת סייבר מכובדות: ניטור מתמשך של תעבורת רשת, זיהוי איומים פוטנציאליים בזמן אמת ותגובה מהירה לכל תקרית אבטחה. ביצוע ביקורות אבטחה קבועות והערכות פגיעויות כדי לזהות ולטפל בכל נקודת חולשה בתשתית הרשת.

קבל תובנות נוספות לגבי אתגרי אבטחה נפוצים ממנהל קבוצת ניהול ג’סטין טרנר, יחידת מחקר האבטחה של Microsoft.

נתוני תמונת דוח מייצגים את המספר הכולל של ישויות ואירועים שנוטרו 24/7 בין ה- 10 בנובמבר ל- 20 בדצמבר 2022. ישויות אלה כוללות ארגונים שקשורים ישירות לתשתית הטורניר או מקושרים אליה. הפעילות כוללת ציד איומים יזום בהובלה אנושי לזיהוי איומים עולים ומעקב אחר קמפיינים בולטים.

תובנות מרכזיות:
 

45 ארגונים מוגנים                                 100,000 נקודות קצה מוגנות

 

144,000 זהויות מוגנות                               14.6 מיליון זרימות דוא"ל

 

634.6 מיליון ניסיונות אימות                4.35 מיליארד חיבורי רשת

מתודולוגיה: לצורך קבלת נתוני תמונת דוח, פלטפורמות ושירותים של Microsoft, כולל זיהוי ותגובה מורחבים של Microsoft, ‏Microsoft Defender, מומחי Defender לציד ו- Azure Active Directory, סיפקו נתונים אנונימיים לגבי פעילות איומים, כגון חשבונות דוא״ל זדוניים, הודעות דוא"ל לדיוג ותנועת תוקף בתוך רשתות. תובנות נוספות מגיעות מ- 65 טריליון אותות אבטחה יומיים שהתקבלו מרחבי Microsoft, כולל הענן, נקודות קצה וקצה חכם, ומ- Compromise Security Recovery Practice וצוותי הזיהוי והתגובה שלנו. תמונת שער לא משרטטת משחק כדורגל, טורניר או ספורט יחידני בפועל. כל ארגוני הספורט שהובאו כהפניה הן סימנים מסחריים בבעלות פרטית.

מאמרים קשורים

עצת מומחה לגבי שלושת האתגרים העקביים ביותר של אבטחת סייבר

מנהל קבוצת ניהול, ג’סטין טרנר, יחידת מחקר האבטחה של Microsoft, מתאר את שלושת האתגרים התמידיים שהוא ראה לאורך הקריירה שלו באבטחת סייבר: ניהול תצורה, תיקון ונראות מכשיר.
מידע נוסף

עלייה של 61% במתקפות דיוג. הכר את שטח התקיפה המודרני שלך

כדי לנהל שטח תקיפה שהולך ונהייה מורכב יותר, ארגונים חייבים לפתח מצב אבטחה כולל מקיף. באמצעות שישה תחומים עיקריים של שטח תקיפה, דוח זה יראה לך כיצד בינת האיומים המתאימה יכולה לעזור להטות את המגרש לטובת קבוצת ההגנה.
מידע נוסף

ההתכנסות של IT ו- OT

המחזור הגדל של IoT מסכן את ה- OT, עם מערך של פגיעויות פוטנציאליות וחשיפה לגורמי איום. גלה כיצד לשמור על הארגון שלך מוגן.
למידע נוסף

עקוב אחר Microsoft