Trace Id is missing

As ciberameaças visam cada vez mais os maiores palcos mundiais

Transferir
Partilhar
Uma ilustração de um estádio de futebol americano com muitos ícones diferentes.

Número 5 do Cyber Signals: Estado do jogo

Os atores de ameaças vão onde os alvos estão, tirando proveito de oportunidades para lançar ataques oportunistas visados ou gerais. Isto estende-se a eventos desportivos importantes, especialmente aqueles em ambientes cada vez mais ligados, o que introduz risco cibernético para organizadores, instalações acolhedoras regionais e participantes. O National Cyber Security Centre do Reino Unido (NCSC) descobriu que os ciberataques contra organizações desportivas são cada vez mais comuns, com 70% dos inquiridos a terem pelo menos um ataque por ano, significativamente mais do que a média de todas as empresas no Reino Unido.

A pressão para proporcionar uma experiência segura e sem dificuldades na cena mundial introduz novos riscos para organizadores e instalações locais. Um único dispositivo mal configurado, uma palavra-passe exposta ou uma ligação de terceiros ignorada podem levar a uma falha de segurança de dados ou a uma intrusão com êxito.

A Microsoft proporcionou suporte de cibersegurança a instalações de infraestrutura críticas durante a organização do Estado do Qatar do Mundial da FIFA em 2022TM. Nesta edição, oferecemos conhecimentos em primeira mão sobre como os atores de ameaças avaliam e se infiltram nestes ambientes como locais, equipas e infraestrutura crítica em torno do evento em si.

Somos todos defensores de cibersegurança.

A Microsoft realizou mais de 634.6 milhões de autenticações ao fornecer defesas de cibersegurança para instalações e organizações do Qatar entre 10 de novembro e 20 de dezembro de 2022.

Os atores de ameaças oportunistas exploram ambientes cheios de alvos

As ameaças de cibersegurança a eventos e locais desportivos são diversas e complexas. Requerem vigilância e colaboração constantes entre intervenientes para prevenir e mitigar um escalamento. Com o mercado desportivo global avaliado em mais de 600 mil milhões USD, o alvo é rico. Equipas desportivas, associações desportivas globais e de grandes ligar e locais de entretenimento detêm um tesouro de informações valiosas apetecíveis para cibercriminosos.

Informações sobre performance atlética, vantagem competitiva e informações pessoais são um alvo lucrativo. Infelizmente, estas informações podem ser vulneráveis em grande escala, devido ao número de dispositivos ligados e redes interconectadas nestes ambientes. Muitas vezes, esta vulnerabilidade abrange vários proprietários, incluindo equipas, patrocinadores, autoridades municipais e trabalhadores terceiros. Treinadores, atletas e adeptos também podem estar vulneráveis a perda de dados e extorsão.

Além disso, os locais e arenas contêm muitas vulnerabilidades conhecidas e desconhecidas que permitem que as ameaças visem serviços empresariais críticos, como dispositivos de pagamento, infraestruturas de TI e dispositivos de visitantes. Não há dois grandes eventos desportivos com o mesmo perfil de risco cibernético, que varia dependendo de fatores como a localização, os participantes, o tamanho e a composição.

Para concentramos os nossos esforços durante a organização do Qatar do Mundial, realizámos uma investigação de ameaças proativa, através da qual avaliámos o risco com Especialistas do Defender para Procura, um serviço de investigação de ameaças gerido que procura proativamente ameaças em pontos finais, sistemas de e-mail, identidades digitais e aplicações de cloud. Neste instância, os fatores incluíram a motivação do ator da ameaça, o desenvolvimento de perfil e uma estratégia de resposta. Também considerámos informações sobre ameaças globais sobre atores de ameaças e cibercriminosos com motivações geopolíticas.

As principais preocupações incluíram o risco de disrupção cibernética de serviços do evento ou de instalações locais. Disrupções como ataques de ransomware ou iniciativas para roubar dados podiam afetar negativamente a experiência do evento e as operações de rotina.

Linha cronológica de incidentes comunicados publicamente de 2018 a 2023

  • Em janeiro de 2023, a National Basketball Association avisa os adeptos sobre uma falha de segurança de dados que divulgou as suas informações pessoais de um serviço de newsletter de terceiros.1
  • Em novembro de 2022, o Manchester United confirmou que o clube teve um ciberataque nos seus sistemas.2
  • Em fevereiro de 2022, os San Francisco 49ers foram alvo de um grande ataque de ransomware no domingo do Super Bowl.3
  • Em abril de 2021, um grupo de ransomware afirmou ter roubado 500 gigabytes de dados dos Rockets, incluindo contratos, acordos de confidencialidade e dados financeiros. As ferramentas de segurança internas impediram o ransomware de ser instalado, exceto para alguns sistemas.4
  • Em outubro de 2021, um homem de Minnesota foi acusado de aceder ilegalmente aos sistemas da Major League Baseball e tentar extorquir 150 000 USD à liga.5
  • Em 2018, os Jogos Olímpicos de Inverno em Pyeongchang tiveram um grande nível de ataques. Hackers russos levaram a cabo ataques em redes olímpicas antes da cerimónia de abertura.6

A equipa de investigação de ameaças operou com uma filosofia de defesa aprofundada para inspecionar e proteger os dispositivos de clientes e as redes. Outro foco foi a monitorização do comportamento de identidades, inícios de sessão e acesso a ficheiros. A cobertura abrangeu uma variedade de sectores, incluindo clientes envolvidos em transportes, telecomunicações, cuidados de saúde e outras funções essenciais.

No geral, o número total de entidades e sistemas monitorizados sem interrupção com investigação de ameaças e suporte de resposta liderados por seres humanos incluiu mais de 100 000 pontos finais, 144 000 identidades, mais de 14.6 milhões de fluxos de e-mail, mais de 634.6 milhões de autenticações e milhares de milhões de ligações a redes.

Como exemplo, algumas instalações de cuidados de saúde foram designadas como unidades de cuidados urgentes para o evento, incluindo hospitais a oferecer suporte e serviços de cuidados de saúde críticos para adeptos e jogadores. Enquanto instalações de cuidados de saúde detentoras de dados médicos, eram alvos de valor elevado. A atividade de investigação de ameaças, humana e informática, da Microsoft, tirou partido de informações sobre ameaças para analisar sinais, isolar recursos afetados e desfazer ataques nestas redes. Com uma combinação de tecnologias do Microsoft Security, a equipa detetou e colocou em quarentena atividade de pré-ransomware a visar a rede de cuidados de saúde. Múltiplas tentativas de início de sessão sem êxito foram registadas, e atividade adicional foi bloqueada.

A natureza urgente dos serviços de cuidados de saúde requer que dispositivos e sistemas mantenham um nível máximo de desempenho. Os hospitais e as instalações de cuidados de saúde têm uma tarefa difícil de equilibrar a disponibilidade do serviço com a manutenção de uma boa postura de cibersegurança. Um ataque com êxito, no curto prazo, podia ter imobilizado as instalações médicas de uma perspetiva de dados e TI, o que deixaria os prestadores de cuidados de saúde limitados a papel e caneta ao atualizar dados de pacientes e debilitaria a capacidade dos mesmo de prestar cuidados médicos para salvar vidas numa emergência ou situação de triagem em massa. A longo prazo, código malicioso plantado para fornecer visibilidade numa rede podia ter sido aproveitado para um evento de ransomware mais amplo com o intuito de mais perturbações. Um caso desses podia ter aberto a porta para roubo de dados e extorsão.

Uma vez que grandes eventos globais continuam a ser alvos apetecíveis para atores de ameaças, há uma variedade de motivações de estados-nações que parecem estar dispostos a absorver danos colaterais de ataques se isso suportar os seus interesses geopolíticos mais amplos. Além disso, os grupos cibercriminosos que procuram tirar partido das grandes oportunidades financeiras existentes em ambientes desportivos ou de TI relacionada com locais, continuarão a ver estes como alvos apetecíveis.

Recomendações

  • Aumente a equipa de SOC: Tenha olhos adicionais a monitorizar o evento 24 horas por dia para detetar proativamente ameaças e enviar notificações. Isto ajuda a correlacionar mais dados de investigação e detetar sinais os primeiros sinais de uma intrusão. Deve incluir ameaças além do ponto final, como comprometimento de identidades ou passagem de dispositivos para a cloud.
  • Realize uma avaliação de risco cibernético focada: Identifique potenciais ameaças específicas do evento, local ou nação em que o evento ocorre. Esta avaliação deve incluir fornecedores, profissionais de equipas e de TI do local, patrocinadores e intervenientes do evento chave.
  • Considere o acesso com privilégios mínimos como melhor prática: Conceda acesso a sistemas e serviços apenas àqueles que precisam e treine o pessoal para compreender camadas de acesso.

Ataques de superfície vastas requerem planeamento e vigilância adicionais

Em eventos como o Mundial™, os Jogos Olímpicos e eventos desportivos em geral, os risco cibernéticos conhecidos são desvendados de formas únicas, muitas vezes de forma menos percetiva do que noutros ambientes empresariais. Estes eventos podem ser preparados rapidamente, com novos parceiros e fornecedores a obter acesso a redes empresariais e partilhadas para um período de tempo específico. A natureza de curto prazo da conectividade em alguns eventos pode tornar difícil desenvolver visibilidade e controlo de dispositivos e fluxos de dados. Também cria uma falsa sensação de segurança de que as ligações “temporárias” são de menor risco.

Os sistemas de eventos podem incluir a presença na Web e em redes sociais da equipa ou do local, plataformas de inscrição ou bilhética, sistemas de controlo do tempo e do resultado de jogos, logística, gestão médica e monitorização de pacientes, rastreio de incidentes, sistemas de notificações em massa e assinaturas eletrónicas.

As organizações desportivas, os patrocinadores, os anfitriões e os locais têm de colaborar nestes sistemas e desenvolver experiências de adeptos ciberinteligentes. Além disso, a enorme vaga de espetadores e pessoal que trazem dados e informação consigo através dos seus próprios dispositivos aumenta a superfície de ataque.

Quatro riscos cibernéticos para grandes eventos

  • Desative quaisquer portas desnecessárias e assegure uma análise de rede adequada para a atualização de pontos de acesso sem fios imprevista ou ad hoc, aplique patches a software e opte por aplicações com uma camada de encriptação para todos os dados.
  • Incentive os participantes a (1) proteger as suas aplicações e os seus dispositivos com as atualizações e os patches mais recentes, (2) evitar aceder a informações confidenciais na rede Wi-Fi pública, (3) evitar ligações, anexos e códigos QR de origens não oficiais.
  • Certifique-se de que os dispositivos de pagamento estão com patches aplicados, atualizados e ligados a uma rede separada. Além disso, os espectadores devem acautelar-se com quiosques e caixas multibanco desconhecidos e limitar as transações a áreas aprovadas oficialmente pelo anfitrião do evento
  • Desenvolva segmentações de redes lógicas para criar divisões entre sistemas de TI e TO (tecnologia operacional) e limitar o acesso cruzado a dispositivos e dados para mitigar as consequências de um ciberataque.

Proporcionar às equipas de segurança as informações de que precisam antecipadamente, incluindo serviços críticos que têm de permanecer disponíveis durante o evento, possibilitará planos de resposta melhor informados. Isto é essencial em ambientes de TI e TO que suportam a infraestrutura do local e para manter a segurança física dos espectadores. Idealmente, as organizações e equipas de segurança poderiam configurar os seus sistemas antes do evento para concluir testes, tirar um instantâneo do sistema e dos dispositivos e torná-los disponíveis prontamente para que as equipas de TI implementem de novo rapidamente quando necessário. Estas iniciativas fazem uma grande diferença para dissuadir os adversários de tirar partido de redes ad hoc mal configuradas nos ambientes altamente apetecíveis cheios de alvos dos eventos desportivos.

Além disso, alguém deve considerar o risco à privacidade e se as configurações adicionam novos riscos ou vulnerabilidades para as informações pessoais dos espectadores ou os dados proprietários das equipas. Esta pessoa pode implementar práticas ciberinteligentes simples para os adeptos, levando-os, por exemplo, a ler apenas códigos QR com um logótipo oficial, a serem críticos de solicitação por SMS não resultante de uma inscrição sua e evitar utilizar a rede Wi-Fi pública.

Estas políticas e outras podem ajudar o público a compreender melhor o risco cibernético em grandes eventos, especificamente, e a sua exposição a recolha e roubo de dados. Conhecer práticas seguras pode ajudar os adeptos e espectadores a evitar tornarem-se vítimas de ataques de engenharia social, que os cibercriminosos podem empreender após infiltrarem redes do evento ou do local exploradas.

Além das recomendações abaixo, o National Center for Spectator Sports Safety and Security oferece estas considerações para dispositivos ligados e segurança integrada para grandes locais.

Recomendações

  • Priorize a implementação de um quadro de políticas de segurança abrangente e de múltiplas camadas: Isto inclui a implementação de firewalls, sistemas de deteção e prevenção de intrusão e protocolos de encriptação fortes para fortificar a rede contra acesso não autorizado e falhas de segurança de dados.
  • Programas de consciencialização e formação de utilizadores: Eduque colaboradores e intervenientes sobre as melhores práticas de cibersegurança, como reconhecer e-mails de phishing, utilizar autenticação multifator ou proteção sem palavra-passe e evitar ligações ou transferências suspeitas.
  • Faça parceria com firmas de cibersegurança bem conceituadas: Monitorize continuamente o tráfego, detete potenciais ameaças em tempo real e responde rapidamente a quaisquer incidentes de segurança. Realize auditorias de segurança e avaliações de vulnerabilidades regulares para identificar e abordar quaisquer fraquezas na infraestrutura de rede.

Obtenha mais informações sobre desafios de segurança comuns com o Gestor de Grupo Principal Justin Turner, Pesquisa do Microsoft Security.

Os dados de instantâneo representam o número total de entidades e eventos monitorizados 24 horas por dia e 7 dias por semana entre 10 de novembro e 20 de dezembro de 2022. Isto inclui organizações envolvidas diretamente ou afiliadas com a infraestrutura do torneio. A atividade inclui investigações de ameaças proativas realizadas por seres humanos para identificar ameaças emergentes e monitorizar campanhas notáveis.

Principais Informações:
 

45 organizações protegidas                                 100 000 pontos finais protegidos

 

144 000 identidades protegidas                               14.6 milhões de fluxos de e-mail

 

634,6 milhões de tentativas de autenticação                4,35 mil milhões de ligações a redes

Metodologia: Para dados de instantâneo, as plataformas e serviços da Microsoft, incluindo Deteções e Resposta Alargadas da Microsoft, Microsoft Defender, Especialistas do Defender para Procura e Azure Active Directory, fornecem dados anonimizados sobre atividade de ameaças, como contas de e-mail maliciosas, e-mails de phishing e movimento de atacantes em redes. Informações adicionais são de 65 biliões de sinais de segurança diários obtidos em toda a Microsoft, incluindo a cloud, pontos finais, o edge inteligente e as nossas Equipas de Prática de Recuperação de Segurança de Comprometimento e de Deteção e Resposta. A ilustração da capa não retrata um verdadeiro jogo de futebol, torneio ou desporto individual. Todas as organizações desportivas referenciadas são marcas registadas com propriedades individuais.

Artigos relacionados

Conselhos de especialista sobre os três desafios mais persistentes da cibersegurança

O Gestor de Grupo Principal Justin Turner, Pesquisa do Microsoft Security, descreve os três desafios persistentes que viu durante a sua carreira em cibersegurança: gestão de configuração, aplicação de patches e visibilidade de dispositivos.
Saiba mais

Aumento de 61% em ataques de phishing. Conheça a sua superfície de ataque moderna

Para gerir uma superfície de ataque cada vez mais complexa, as organizações têm de desenvolver uma postura de segurança abrangente. Com seis áreas de superfície de ataque chave, este relatório mostra como as informações sobre ameaças certas podem ajudar a inclinar o campo a favor dos defensores.
Saiba mais

A convergência de TI e TO

A circulação crescente da IoT está a pôr a OT em risco, com uma matriz de potenciais vulnerabilidades e exposição a atores de ameaças. Descubra como manter a sua organização protegida.
Saber mais

Siga a Microsoft