Trace Id is missing

Gyakori kiberfenyegetések kereszttüzében a világ legnagyobb sporteseményei

Letöltés
Megosztás
Futballstadion illusztrációja különféle ikonokkal.

Cyber Signals, 5. szám: A helyzet ismertetése

A fenyegető szereplők oda fókuszálják tevékenységüket, ahol a célpontok találhatók, és kihasználják a lehetőségeket célzott vagy széles körű, alkalmi támadások indítására. Ilyen események például a nagyszabású sportesemények is, különösen az egyre kiterjedtebb hálózatokon keresztül zajló események, ami a szervezők, a regionális fogadó létesítmények és a résztvevők számára egyaránt kiberbiztonsági kockázatot jelent. Az Egyesült Királyság Nemzeti Kiberbiztonsági Központja (NCSC) megállapította, hogy a sportszervezetek elleni kibertámadások egyre gyakoribbak: a megkérdezettek 70 százalékát évente legalább egy támadás éri, ami jelentősen meghaladja az Egyesült Királyságban működő cégeket érő támadások átlagos számát.

A helyi rendezők és létesítmények új kihívásokkal szembesülnek, ha nemzetközi szinten is zökkenőmentesen és biztonságosan kívánják az eseményeket lebonyolítani. Akár egyetlen rosszul beállított eszköz, kiszivárgott jelszó vagy benézett külső csatlakozás is vezethet adatszivárgáshoz vagy sikeres behatoláshoz.

A 2022-es katari FIFA-világbajnokság során a Microsoft kiberbiztonsági támogatást nyújtott a kritikus infrastrukturális létesítményeknek. Ebben a kiadványban első kézből származó tapasztalatokat nyújtunk arról, hogy a fenyegető szereplők miként mérik fel a környezetet, hogyan hatolnak be a helyszínekre, a csapatokba és az esemény körüli kritikus infrastruktúrába.

A kiberbiztonság védelme közös feladatunk.

Mialatt 2022. november 10. és december 20. között kiberbiztonsági védelmet nyújtott katari létesítmények és szervezetek számára, a Microsoft több mint  634,6 millió  hitelesítést hajtott végre.

Az alkalmi fenyegetők kihasználják a célpontokban gazdag környezetet

A sporteseményeket és -helyszíneket érintő kiberbiztonsági fenyegetések sokfélék és összetettek. Az eszkaláció elkerülése és csökkentése érdekében folyamatos odafigyelésre és az érintett felek közötti együttműködésre van szükség. A  600 milliárd USD-t meghaladó értékű globális sportpiac célokban gazdag területnek számít. Az értékes adatok és információk tekintetében a sportcsapatok, a vezető ligák és a nemzetközi sportegyesületek, valamint a szabadidős létesítmények szinte kiapadhatatlan forrást jelentenek a kiberbűnözőknek.

A sportteljesítményre, a versenyelőnyre vonatkozó információk és a személyes adatok jövedelmező célpontnak tekinthetők. Sajnos a csatlakoztatott eszközök és az összekapcsolt hálózatok nagy száma miatt az ilyen környezetekben az információk és adatok igencsak sebezhetők lehetnek. A sebezhetőség gyakran több tulajdonost is érint, ideértve a csapatokat, vállalati szponzorokat, önkormányzatokat és harmadik fél vállalkozókat is. Az edzők, sportolók és szurkolók egyaránt ki vannak téve az adatvesztés és a zsarolás veszélyének.

Tovább súlyosbítja a helyzetet, hogy a rendezvényhelyszínek és sportcsarnokok sok ismert és ismeretlen sebezhetőséget rejtenek, így az elkövetők kritikus üzleti szolgáltatásokat, például az értékesítési pontok eszközeit, az IT-infrastruktúrákat és a látogatók eszközeit célozhatják meg. Nincs két jelentős sportesemény, amelynek kibertámadási kockázati profilja azonos lenne; ez a profil ugyanis különböző tényezőktől függ, mint például a helyszín, a résztvevők, a méret és az esemény jellege.

A katari labdarúgó-világbajnokság idején erőfeszítéseinket az összpontosítás érdekében proaktív veszélyforrás-keresés segítette, amely során a kockázatokat a  Defender Hibakeresés-szakértők, egy menedzselt veszélyforrás-kereső szolgáltatás segítségével értékeltük. Ez a szolgáltatás proaktívan keresi a fenyegetéseket a végpontokon, az e-mail rendszereken, a digitális identitásokban és a felhőalkalmazásokban. Esetünkben a vizsgált tényezők közé tartozott a fenyegető szereplő motivációja, a profil kialakítása és a válaszstratégia. Tekintetbe vettük a geopolitikai indíttatású fenyegető szereplőkre és kiberbűnözőkre vonatkozó globális fenyegetettségi információkat is.

A leginkább azonban természetesen az események kiszolgálását és a helyi létesítmények működését érintő kibertámadások okozta kockázatokat vizsgáltuk. A zsarolóvírusos támadások és az adatlopási kísérletek negatív hatással lehetnek a rendezvény lefolyására és a mindennapi működésre.

A nyilvánosságra hozott incidensek 2018–2023 között

  • 2023 januárjában a Nemzeti Kosárlabda Szövetség figyelmeztette a szurkolókat, hogy egy harmadik fél hírlevél-szolgáltatásán keresztül személyes adataik illetéktelen kezekbe kerültek.1
  • 2022 novemberében a Manchester United megerősítette, hogy a klub rendszereit kibertámadás érte.2
  • 2022 februárjában a San Francisco 49ers csapatát a Super Bowl vasárnapján nagyszabású zsarolóvírus-támadás érte.3
  • 2021 áprilisában egy zsarolóprogramokat használó csoport azt állította, hogy 500 gigabájtnyi adatot lopott el a Rockets csapattól, többek között szerződéseket, titoktartási megállapodásokat és pénzügyi adatokat is. A belső biztonsági eszközök néhány rendszer kivételével megakadályozták a zsarolóprogramok telepítését.4
  • 2021 októberében egy minnesotai férfit azzal vádoltak, hogy feltörte a Major League Baseball számítógépes rendszerét, és 150 000 USD-t akart kizsarolni a ligától.5
  • 2018-ban a phjongcshangi téli olimpia alatt jelentős számú támadást regisztráltak. A megnyitó ünnepség előtt orosz hackerek támadásokat intéztek az olimpiai hálózatok ellen.6

A veszélyforrás-keresést végző csapat a rétegelt védelem módszere alapján vizsgálta és védte az ügyfelek eszközeit és hálózatait. A másik fókusz az identitások, bejelentkezések és a fájlhozzáférések viselkedésének megfigyelése volt. A vizsgálat sok ágazatra kiterjedt, ideértve a szállítást, a távközlést, az egészségügyet és más, alapvető szolgáltatásokat igénylő ügyfeleket is.

Az emberek által felügyelt veszélyforrás-keresés és válaszadás segítségével folyamatosan figyelt entitások és rendszerek száma több mint 100 000 végpontot, 144 000 azonosítót, 14,6 milliónál is nagyobb e-mail forgalmat, több mint 634,6 millió hitelesítést és több milliárd hálózati kapcsolatot foglalt magában.

Az esemény idejére néhány egészségügyi intézményt sürgősségi ellátó egységként jelöltek ki, beleértve a szurkolók és a játékosok számára kritikus támogatást és egészségügyi szolgáltatásokat nyújtó kórházakat is. Mivel az egészségügyi létesítmények egészségügyi adatokat kezelnek, értelemszerű, hogy kiemelt célpontoknak számítanak. Az ilyen helyeken a Microsoft gépi és emberi erőforrásokat is bevonva végzett veszélyforrás-keresési tevékenysége a fenyegetésekkel kapcsolatos adatok elemzésére, a fertőzött eszközök azonosítására és a támadások megszakítására összpontosított. A Microsoft Biztonság technológia összetevőivel a csapat észlelte és elszigetelte az egészségügyi hálózatot célzó zsarolóvírusos támadásokat. Több sikertelen bejelentkezési kísérletet is naplóztak, és további tevékenységeket blokkoltak.

Az egészségügyi szolgáltatások sürgős jellege miatt elengedhetetlen, hogy az eszközök és rendszerek a legmagasabb teljesítményt nyújtsák. A kórházaknak és egészségügyi intézményeknek jelentős kihívást jelent a szolgáltatások folyamatos biztosítása, mert ezt az ép kiberbiztonsági környezet fenntartása mellett kell szavatolniuk. Egy sikeres támadás rövid távon kritikus veszélyhelyzetet teremthet az egészségügyi létesítmények számára, például az adatok elérhetetlenségét okozva, ami azt eredményezheti, hogy vissza kell állniuk a hagyományos, papíralapú rendszerekhez, ami sürgősségi helyzetekben vagy tömeges triázshelyzetekben csökkentheti az életmentő orvosi ellátás hatékonyságát. Hosszú távon a hálózaton belüli láthatóságot biztosító rosszindulatú kód lehetőséget teremthetett volna egy szélesebb körű zsarolóvírusos támadásra, ami további zavarokat okozhatott volna. Ezek az események sajnos minden akadályt felszámoltak volna az adatlopás és a zsarolás előtt.

Mivel a nagy globális események továbbra is vonzó célpontok a fenyegető szereplők számára, az egyes országokat  különböző motivációk is ösztökélhetik arra, hogy elfogadják a támadások velejáróit, feltéve, hogy mindez szélesebb körű geopolitikai érdekeket szolgál. A kiberbűnözői csoportok továbbra is kihasználhatják a sportesemények és rendezvényhelyszínek informatikai környezete nyújtotta jelentős pénzügyi lehetőségeket, így ezeket továbbra is kívánatos célpontoknak tekintik.

Javaslatok

  • SOC-csapat bővítése: Érdemes egy külön megfigyelőt alkalmazni, aki állandóan figyeli az eseményt, éjjel-nappal, hogy proaktívan érzékelje a fenyegetéseket, és szükség esetén értesítéseket küldjön. Ez elősegíti a keresés során feltárt adatok összehangolását és a behatolás korai jeleinek felfedezését. A megfigyelést fontos kiterjeszteni a végponton túli fenyegetésekre is, mint amilyen például a személyazonosság-lopás, vagy az eszközről felhőbe történő átmenet.
  • Fókuszált kiberbiztonsági kockázatértékelés elkészítése: Az eseményre és a helyszínre jellemző potenciális veszélyek azonosítása. Az értékelésnek ki kell terjednie a szállítókra, a csapat és a helyszín informatikai szakembereire, a szponzorokra és a rendezvény legfontosabb érintettjeire is.
  • Szűk körű hozzáférés biztosítása: Csak azoknak adjon hozzáférést a rendszerekhez és szolgáltatásokhoz, akiknek szükségük van rá, és képezze ki a személyzetet a hozzáférési rétegek vonatkozásában.

A nagy méretű támadási felületekhez alapos tervezés és odafigyelés szükséges

A világbajnoksághoz, az olimpiához és a sporteseményekhez hasonló nagyszabású események során az ismert kiberkockázatok egyedi módon kerülnek felszínre, gyakran kevésbé észrevehetően, mint például vállalati környezetekben. Az ilyen eseményeket a gyors lefolyás jellemzi, az új partnerek és szállítók meghatározott időre hozzáférést szerezhetnek a vállalati és közös hálózatokhoz. Az, hogy egyes események kifejezetten rövid ideig aktívak csak, megnehezítheti a láthatóság kiépítését, ahogyan az eszközök és az adatáramlás feletti felügyelet kialakítását is. Sajnos sokan gondolják, hogy az „ideiglenesen” létrehozott hálózatok és kapcsolatok kisebb kockázatot jelentenek.

A rendezvényhez kapcsolódó rendszerek közé tartozhat a csapat vagy a helyszín online jelenléte, a közösségi médiás platformok, a regisztrációs vagy jegyértékesítési rendszerek, az időmérő és pontozórendszerek, a logisztika, az egészségügyi menedzsment és betegkövetés, az események monitorozása, a tömeges értesítési rendszerek és az elektronikus jelzések.

A sportszervezeteknek, a szponzoroknak, a házigazdáknak és a helyszínek képviselőinek szorosan együtt kell működniük, és olyan kiberbiztonsági megoldásokat kell kidolgozniuk, amelyek szavatolják, hogy a szurkolók biztonságos környezetben élvezhessék az eseményt, és maradandó élményekkel gazdagodva térhessenek haza. Tovább bonyolítja a dolgot a résztvevők és a személyzet nagy száma, akik saját eszközeiket használják az adatok és információk hozzáféréséhez, ezzel jelentősen növelve a potenciális támadási felületet.

A nagyszabású eseményekre leselkedő négy kiberbiztonsági kockázat

  • Zárja le az összes felesleges portot, és rendszeresen ellenőrizze a hálózatot a hamis vagy hirtelen felbukkanó vezeték nélküli hozzáférési pontok tekintetében. Rendszeresen frissítse és tartsa karban a szoftvereket, és válasszon olyan alkalmazásokat, amelyek minden adatra teljes körű titkosítást biztosítanak.
  • Kérje meg a résztvevőket, hogy (1) gondoskodjanak arról, hogy alkalmazásaik és eszközeik mindig napra készek legyenek, (2) kerüljék a bizalmas információk nyilvános Wi-Fi-hálózatokon keresztüli megosztását, (3) kerüljék a nem hivatalos forrásokból származó hivatkozásokat, mellékleteket és QR-kódokat.
  • A POS-eszközökön legyenek meg a szükséges javítások, legyenek naprakészek, és csatlakozzanak külön hálózathoz. A résztvevőknek kerülniük kell az ismeretlen kioszkokat és ATM-eket, és a tranzakciókat a rendezvény házigazdája által hivatalosan jóváhagyott helyekre kell korlátozniuk
  • Az IT- és OT-rendszerek szegmentálásával, valamint az eszközök és adatok közötti kereszt-hozzáférés korlátozásával logikai hálózati szegmenseket kell létrehozni a kibertámadások következményeinek enyhítése érdekében.

A hatékony reagálás egyik záloga, hogy a biztonságért felelős személyeket előre tájékoztatni kell, és azok sem maradhatnak ki, ahol a szolgáltatásoknak az esemény alatt működőképesnek kell maradniuk. Ez elengedhetetlen a helyszíni infrastruktúrát támogató IT- és OT-környezetekben, ahogyan a résztvevők fizikai biztonságának megőrzése érdekében is fontos. Egy ideális világban a szervezetek és a biztonságért felelős személyek lehetőséget kapnak arra, hogy az esemény előtt konfigurálják rendszereiket a tesztelés befejezése céljából, pillanatképeket készítsenek a rendszerről és az eszközökről, majd ezeket az adatokat szükség esetén könnyen hozzáférhetővé tegyék az informatikus kollégák számára az újratelepítéshez. Ezek az intézkedések jelentősen hozzájárulnak ahhoz, hogy a nagyszabású sportesemények rendkívül kívánatos és célpontokban gazdag környezetében a támadók ne tudják kihasználni a rosszul konfigurált ad hoc hálózatok előnyeit.

Emellett fontos, hogy valaki figyelemmel kísérje az adatvédelmi kockázatokat, és felmérje, hogy az új konfigurációk esetleg új veszélyeket vagy sebezhetőségeket jelentenek-e a résztvevők személyes vagy a csapatok adatai tekintetében. Ez a szakember egyszerű kiberbiztonsági gyakorlatokat alkalmazhat a szurkolók vonatkozásában, például arra ösztönözve őket, hogy csak a hivatalos logóval ellátott QR-kódokat olvassák be, körültekintéssel kezeljék az olyan SMS-eket vagy szöveges megkereséseket, amelyekre nem iratkoztak fel, és kerüljék az ingyenes nyilvános Wi-Fi használatát.

Ezek az irányelvek és más hasonló lépések segíthetnek az érintetteknek jobban megérteni a nagyobb rendezvényeken felmerülő kiberbiztonsági kockázatokat, és felkészülten kezelni az adatgyűjtés és -lopás kockázatát. A biztonságos gyakorlatok ismerete segíthet a rajongóknak és a résztvevőknek elkerülni, hogy a kiberbűnözők áldozatává váljanak, akik pszichológiai manipulációs támadásokat indíthatnak, miután kihasználták a rendezvényhelyszínek és a hálózatok sebezhetőségeit.

Ezen ajánlásokon kívül a National Center for Spectator Sports Safety and Security  további megfontolásokat  is javasol az online eszközökkel és a nagy rendezvényhelyszínek integrált biztonságával kapcsolatban.

Javaslatok

  • Átfogó és többszintű biztonsági keretrendszer végrehajtásának előtérbe helyezése: Ilyen lehet például a tűzfalak telepítése, a behatolásérzékelő és -megelőző rendszerek aktiválása, valamint az erős titkosítási protokollok alkalmazása, hogy hatékonyan védekezzenek az illetéktelen hozzáférés és az adatok megsértése ellen.
  • Felhasználói tudatosság és képzési programok: Dolgozók és érintett felek oktatása a legjobb kiberbiztonsági gyakorlatok vonatkozásában, beleértve az adathalász e-mailek felismerését, a többfaktoros hitelesítést, a jelszó nélküli védelmet, valamint a gyanús linkek és letöltések elkerülését.
  • Partnerség kialakítása ismert kiberbiztonsági cégekkel: Kísérje folyamatosan figyelemmel a hálózati forgalmat, valós időben észlelje a potenciális fenyegetéseket, és reagáljon gyorsan a biztonsági incidensekre. Végezzen rendszeres biztonsági ellenőrzéseket és sebezhetőségi értékeléseket a hálózati infrastruktúrán belüli gyenge pontok azonosítása és kezelése érdekében.

Ha többet szeretne megtudni a kiberbiztonsággal kapcsolatos gyakori kihívásokról, olvassa el Justin Turnernek, a Microsoft Security Research vezető csoportvezetőjének írását.

A pillanatfelvétel-adatok a 2022. november 10. és december 20. között huszonnégy héten keresztül megfigyelt szervezetek és események teljes számát jelentik. A számba beletartoznak a versenyinfrastruktúrában közvetlenül részt vevő vagy ahhoz kapcsolódó szervezetek is. A tevékenység magában foglalja az emberek által végzett proaktív veszélyforrás-keresést az újonnan megjelenő fenyegetések azonosítására, valamint a jelentősebb kampányok nyomon követését.

Főbb megállapítások:
 

45 megvédett szervezet                                 100 000 megvédett végpont

 

144 000 megvédett személyazonosság                               14,6 milliós e-mail-forgalom

 

634,6 millió hitelesítési kísérlet                4,35 milliárd hálózati csatlakozás

Módszertan: A Microsoft platformjai és szolgáltatásai, így a Microsoft Extended Detections and Response, a Microsoft Defender, a Defender Hibakeresés-szakértők és az Azure Active Directory anonimizált adatokat szolgáltattak a fenyegető tevékenységekről, mint például a rosszindulatú e-mail-fiókok, az adathalász e-mailek és a támadók hálózaton belüli mozgása. További háttér-információt biztosít még a napi 65 trillió biztonsági jelzés, amelyet a Microsoft egész területén, többek között a felhőben, a végpontokon, az intelligens peremhálózaton, valamint a Compromise Security Recovery Practice és a Detection and Response Teams által gyűjtött adatokból nyerünk. A borítókép nem tényleges futballmérkőzést, rangadót vagy egyéni sportágat ábrázol. A hivatkozott sportszervezetek egyedi tulajdonú védjegyek.

Kapcsolódó cikkek

Szakértői tanácsok a kiberbiztonság három legtartósabb kihívásával kapcsolatban

Justin Turner, a Microsoft Security Research vezető csoportvezetője ismerteti a kiberbiztonsági karrierje során tapasztalt három, állandóan jelen lévő kihívást: a konfigurációkezelést, a javítást és az eszközök láthatóságát.
További információ

61%-kal több adathalász-támadás. Ismerje meg a modern támadási felületet

Az egyre összetettebb támadási felületek kezeléséhez a cégeknek átfogó biztonsági intézkedéseket kell kidolgozniuk. Ez a jelentés hat kulcsfontosságú támadási felületen ismerteti, hogy a megfelelő intelligens veszélyforrás-felderítés hogyan segíthet a védekezőknek előnyt szerezni.
További információ

Az IT és az OT konvergenciája

Az eszközök internetes hálózatának (IoT) egyre nagyobb elterjedése kockázatnak teszi ki az operatív technológiát (OT), és számos potenciális sebezhetőséget és kitettséget jelent a fenyegető szereplőkkel szemben. Tudja meg, hogyan lehet megvédeni a szervezetet.
További információ

A Microsoft követése