Trace Id is missing
Prejsť na hlavný obsah
Security Insider

Kybernetické hrozby sa čoraz častejšie zameriavajú na najväčšie svetové podujatia

Stiahnuť
Zdieľať
Obrázok futbalového štadióna s množstvom rôznych ikon.

Cyber Signals, vydanie 5: Aktuálny stav

Aktéri hrozieb idú tam, kde sú ciele, a využívajú príležitosti na cielené alebo rozsiahle oportunistické útoky. Týka sa to aj významných športových podujatí, najmä tých, ktoré sa konajú v čoraz prepojenejšom prostredí, čo prináša kybernetické riziko pre organizátorov, regionálne hostiteľské zariadenia aj účastníkov. Britské Národné centrum pre kybernetickú bezpečnosť (NCSC) zistilo, že kybernetické útoky na športové organizácie sú čoraz častejšie, pričom 70 % opýtaných zažilo aspoň jeden útok ročne, čo je výrazne viac, ako je priemer všetkých firiem v Spojenom kráľovstve.

Tlak na zabezpečenie hladkého a bezpečného zážitku na svetovej scéne predstavuje pre miestnych hostiteľov a zariadenia nové výzvy. Jediné nesprávne nakonfigurované zariadenie, odhalené heslo alebo prehliadnuté pripojenie tretej strany môže viesť k narušeniu údajov alebo úspešnému prieniku.

Spoločnosť Microsoft poskytla podporu v oblasti kybernetickej bezpečnosti pre zariadenia kritickej infraštruktúry počas usporiadania majstrovstiev sveta vo futbale v Katare v roku 2022TM. V tomto vydaní ponúkame poznatky z prvej ruky o tom, ako aktéri hrozieb vyhodnocujú tieto prostredia a infiltrujú sa do nich na miestach konania, v tímoch a kritickej infraštruktúre okolo samotného podujatia.

Všetci sme ochrancovia kybernetickej bezpečnosti.

Spoločnosť Microsoft vykonala v období od 10. novembra do 20. decembra 2022 viac ako  634,6 milióna  overení pri poskytovaní ochrany kybernetickej bezpečnosti pre zariadenia a organizácie v Katare.

Oportunistickí aktéri hrozieb využívajú prostredie bohaté na ciele

Hrozby kybernetickej bezpečnosti pre športové podujatia a športoviská sú rôznorodé a komplexné. Vyžadujú si neustálu ostražitosť a spoluprácu medzi zainteresovanými stranami s cieľom predchádzať eskalácii a zmierňovať ju. Vzhľadom na to, že celosvetový trh so športom má hodnotu viac ako 600 miliárd USD, je tento cieľ bohatý. Športové tímy, významné ligové a celosvetové športové asociácie a miesta zábavy sú zásobárňou cenných informácií, ktoré sú pre kybernetických zločincov žiaduce.

Informácie o športovom výkone, konkurenčnej výhode a osobné údaje sú lukratívnym cieľom. Tieto informácie, žiaľ, môžu byť zraniteľné vo veľkom meradle vzhľadom na počet pripojených zariadení a prepojených sietí v týchto prostrediach. Táto zraniteľnosť sa často týka viacerých vlastníkov vrátane tímov, veľkých sponzorov, mestských orgánov a externých dodávateľov. Tréneri, športovci a fanúšikovia môžu byť tiež zraniteľní voči strate údajov a vydieraniu.

Okrem toho sa na miestach konania podujatí a v arénach nachádza mnoho známych aj neznámych zraniteľností, ktoré umožňujú hrozbám zaútočiť na kritické komerčné služby, ako sú zariadenia na predajných miestach, IT infraštruktúra a zariadenia návštevníkov. Žiadne dve významné športové podujatia nemajú rovnaký profil kybernetického rizika, ktorý sa líši v závislosti od faktorov, ako sú miesto, účastníci, veľkosť a zloženie.

S cieľom sústrediť naše úsilie počas organizovania majstrovstiev sveta vo futbale v Katare sme vykonali proaktívne vyhľadávanie hrozieb, prostredníctvom ktorého sme posúdili riziko, a to pomocou služby Defender Experti na vyhľadávanie hrozieb, spravovanej služby vyhľadávania hrozieb, ktorá proaktívne vyhľadáva hrozby v koncových bodoch, e-mailových systémoch, digitálnych identitách a cloudových aplikáciách. V tomto prípade faktory zahŕňali motiváciu aktéra hrozby, vývoj profilu a stratégiu reakcie. Zohľadnili sme aj globálnu analýzu hrozieb geopoliticky motivovaných aktéroch hrozieb a kybernetických zločincoch.

Medzi hlavné obavy patrilo riziko kybernetického narušenia služieb podujatí alebo miestnych zariadení. Narušenia, ako sú útoky ransomvéru a snahy o krádež údajov, by mohli negatívne ovplyvniť zážitok z podujatia a bežnú prevádzku.

Časová os verejne nahlásených incidentov v rokoch 2018 – 2023

  • Január 2023 – Národná basketbalová asociácia varovala fanúšikov pred únikom údajov, pri ktorom došlo k úniku ich osobných údajov z informačnej služby tretej strany.1
  • V novembri 2022 klub Manchester United potvrdil, že zažil kybernetický útok na svoje systémy.2
  • Február 2022 – Klub San Francisco 49ers bol v nedeľu počas Super Bowlu zasiahnutý veľkým útokom ransomvéru.3
  • Apríl 2021 – Ransomvérová skupina tvrdila, že ukradla 500 gigabajtov údajov klubu Rockets vrátane zmlúv, dohôd o mlčanlivosti a finančných údajov. Interné bezpečnostné nástroje zabránili inštalácii ransomvéru s výnimkou niekoľkých systémov.4
  • Október 2021 – Muž z Minnesoty bol obvinený z hacknutia počítačových systémov bejzbalovej Major League a pokusu vydierať o ligu o 150 000 USD.5
  • 2018 – Zimné olympijské hry v Pjongčangu zaznamenali vysokú úroveň útokov. Ruskí hackeri vykonali útoky na olympijské siete ešte pred otváracím ceremoniálom.6

Tím vyhľadávania hrozieb pracoval na základe filozofie hĺbkovej obrany s cieľom kontrolovať a chrániť zariadenia a siete zákazníkov. Ďalším zameraním bolo monitorovanie správania identít, prihlásení a prístupu k súborom. Pokrytie sa týkalo rôznych odvetví vrátane zákazníkov pôsobiacich v oblasti dopravy, telekomunikácií, zdravotníctva a ďalších dôležitých funkcií.

Celkový počet nepretržite monitorovaných subjektov a systémov s podporou vyhľadávania hrozieb a reakcie na hrozby pod vedením ľudí zahŕňal viac ako 100 000 koncových bodov, 144 000 identít, viac ako 14,6 milióna e-mailových tokov, viac ako 634,6 milióna overení a miliardy sieťových pripojení.

Napríklad niektoré zdravotnícke zariadenia boli pre toto podujatie určené ako jednotky urgentnej starostlivosti vrátane nemocníc poskytujúcich kritickú podporu a zdravotné služby pre fanúšikov a hráčov. Keďže zdravotnícke zariadenia vlastnia zdravotné údaje, boli veľmi cenným cieľom. Aktivita spoločnosti Microsoft zameraná na vyhľadávanie hrozieb pomocou strojov a ľudí využívala analýzu hrozieb na skenovanie signálov, izoláciu infikovaných prostriedkov a narušenie útokov na tieto siete. Pomocou kombinácie technológie Microsoft Security tím zistil a umiestnil do karantény aktivitu predchádzajúcu útoku ransomvérom zacielenú na zdravotnícku sieť. Zaznamenali sa viaceré neúspešné pokusy o prihlásenie a ďalšia aktivita bola zablokovaná.

Naliehavá povaha zdravotníckych služieb si vyžaduje, aby si zariadenia a systémy udržiavali špičkovú úroveň výkonu. Nemocnice a zdravotnícke zariadenia majú náročnú úlohu vyvážiť dostupnosť služieb a zároveň si udržať zdravú kybernetickú bezpečnosť. Úspešný útok by z krátkodobého hľadiska mohol odstaviť zdravotnícke zariadenia z hľadiska prenosu údajov do informačných technológií, takže poskytovatelia zdravotnej starostlivosti by boli pri aktualizácii údajov o pacientoch odkázaní na pero a papier a oslabila by sa ich schopnosť poskytovať život zachraňujúcu zdravotnú starostlivosť v núdzových situáciách alebo v prípade hromadného triedenia. Z dlhodobého hľadiska by mohol byť škodlivý kód podstrčený na zabezpečenie prehľadu o sieti využitý na širšiu udalosť ransomvéru zameranú na ďalšie narušenie. Takýto prípad by mohol otvoriť dvere krádeži údajov a vydieraniu.

Keďže veľké globálne podujatia sú pre aktérov hrozieb naďalej žiadaným cieľom, existujú rôzne motivácie národných štátov, ktoré sú zrejme ochotné absorbovať vedľajšie škody spôsobené útokmi, ak to podporuje širšie geopolitické záujmy. Okrem toho kyberzločinecké skupiny, ktoré chcú využiť obrovské finančné príležitosti, ktoré existujú v IT prostrediach súvisiacich so športom a športoviskami, ich budú naďalej považovať za žiadané ciele.

Odporúčania

  • Posilnite tím SOC: Majte ďalšie oči, ktoré nepretržite monitorujú udalosť, aby proaktívne odhaľovali hrozby a posielali oznámenia. To pomáha korelovať viac údajov z vyhľadávania a odhaliť skoré príznaky narušenia. Malo by to zahŕňať aj hrozby nad rámec koncového bodu, ako je kompromitácia identity alebo prechod zo zariadenia do cloudu.
  • Vykonajte cielené hodnotenie kybernetických rizík: Identifikujte potenciálne hrozby špecifické pre podujatie, miesto konania alebo krajinu, kde sa podujatie koná. Toto hodnotenie by malo zahŕňať dodávateľov, IT odborníkov tímu a miesta konania, sponzorov a kľúčové zainteresované strany podujatia.
  • Považujte prístup s najmenšími oprávneniami za osvedčený postup: Udeľte prístup k systémom a službám len tým, ktorí ho potrebujú, a zaškoľte zamestnancov, aby rozumeli vrstvám prístupu.

Veľké množstvo možných miest útokov si vyžaduje dodatočné plánovanie a dohľad

Pri podujatiach, ako sú majstrovstvá sveta vo futbale, olympijské hry a športové podujatia vo všeobecnosti, sa známe kybernetické riziká prejavujú jedinečným spôsobom a často menej nápadne ako v iných prostrediach veľkých podnikov. Tieto udalosti sa môžu rýchlo spojiť, pričom noví partneri a dodávatelia získajú prístup k podnikovým a zdieľaným sieťam na určitý čas. Dočasná povaha pripojenia pri niektorých udalostiach môže sťažiť vytvorenie prehľadu a kontroly nad zariadeniami a tokmi údajov. Podporuje tiež falošný pocit bezpečia, že „dočasné“ pripojenia sú menej rizikové.

Systémy podujatí môžu zahŕňať prezentáciu tímu alebo miesta konania podujatia na webe a sociálnych sieťach, platformy registrácie alebo predaja vstupeniek, systémy na meranie času hry a skóre, logistiku, zdravotnícky manažment a sledovanie pacientov, sledovanie incidentov, systémy hromadného oznamovania a elektronické značenie.

Športové organizácie, sponzori, hostitelia a miesta konania musia na týchto systémoch spolupracovať a vyvíjať kyberneticky inteligentné zážitky pre fanúšikov. Okrem toho platí, že obrovské množstvo účastníkov a zamestnancov, ktorí si so sebou prinášajú údaje a informácie vo vlastných zariadeniach, zvyšuje priestor na útoky.

Štyri kybernetické riziká pre veľké podujatie

  • Zakážte všetky nepotrebné porty a zabezpečte riadne skenovanie siete, či sa v nej nenachádzajú nečestné alebo ad hoc bezdrôtové prístupové body. Aktualizujte a opravujte softvér a vyberte si aplikácie s vrstvou šifrovania všetkých údajov.
  • Vyzvite účastníkov, aby (1) zabezpečili svoje aplikácie a zariadenia najnovšími aktualizáciami a opravami, (2) vyhýbali sa prístupu k citlivým informáciám z verejných sietí Wi-Fi, (3) vyhýbali sa odkazom, prílohám a QR kódom z neoficiálnych zdrojov.
  • Uistite sa, že zariadenia POS majú nainštalované opravy, sú aktualizované a pripojené k samostatnej sieti. Účastníci by si tiež mali dávať pozor na neznáme kiosky a bankomaty a obmedziť transakcie na miesta oficiálne schválené hostiteľom podujatia.
  • Vypracujte logické segmentácie siete s cieľom vytvoriť oddelenia medzi IT a OT systémami a obmedziť vzájomný prístup k zariadeniam a údajom, aby sa zmiernili následky kybernetického útoku.

Poskytnutie potrebných informácií bezpečnostným tímom vopred – vrátane kritických služieb, ktoré musia zostať funkčné počas udalosti – umožní lepšie vypracovať plány reakcie. To je nevyhnutné v prostrediach IT a OT, ktoré podporujú infraštruktúru miesta konania, a na zachovanie fyzickej bezpečnosti účastníkov. V ideálnom prípade by organizácie a bezpečnostné tímy mohli pred udalosťou nakonfigurovať svoje systémy na vykonanie testovania, vytvoriť snímky systému a zariadení a v prípade potreby ich ľahko sprístupniť tímom IT na rýchle opätovné nasadenie. Toto úsilie do značnej miery odrádza protivníkov od zneužívania zle nakonfigurovaných ad hoc sietí vo veľmi žiaducom prostredí veľkých športových podujatí, ktoré je bohaté na ciele.

Okrem toho by mal niektorý člen tímu zvážiť riziko ochrany súkromia a to, či konfigurácie pridávajú nové riziká alebo zraniteľnosti pre osobné údaje účastníkov alebo vlastné údaje tímov. Táto osoba môže zaviesť jednoduché kyberneticky inteligentné postupy pre fanúšikov, napríklad usmerniť ich, aby skenovali len QR kódy s oficiálnym logom, aby boli kritický voči výzvam cez SMS alebo textové správy, na ktoré sa neprihlásili, a aby nepoužívali bezplatné verejné Wi-Fi.

Tieto a ďalšie zásady môžu verejnosti pomôcť lepšie pochopiť kybernetické riziko najmä pri veľkých podujatiach a ich vystavenie zberu a krádeži údajov. Znalosť bezpečných postupov môže fanúšikom a účastníkom pomôcť vyhnúť sa tomu, aby sa stali obeťami útokov sociálnym inžinierstvom, ktoré môžu kybernetickí zločinci uskutočniť po tom, ako sa dostanú do zneužitých sietí športových stánkov a podujatí.

Okrem nižšie uvedených odporúčaní ponúka Národné centrum pre bezpečnosť a ochranu divákov športových podujatí  tieto úvahy  o pripojených zariadeniach a integrovanej bezpečnosti pre veľké športové stánky.

Odporúčania

  • Uprednostnite zavedenie komplexného a viacúrovňového bezpečnostného rámca: Patrí sem nasadenie brán firewall, systémov na detekciu a prevenciu narušenia a silných šifrovacích protokolov na posilnenie siete proti neoprávnenému prístupu a narušeniu údajov.
  • Programy informovanosti a vzdelávania používateľov: Vzdelávajte zamestnancov a zainteresované strany o osvedčených postupoch v oblasti kybernetickej bezpečnosti, ako sú napríklad rozpoznávanie podvodných e-mailov, používanie viacfaktorového overovania alebo ochrany bez hesla a vyhýbanie sa podozrivým prepojeniam alebo stiahnutým súborom.
  • Spolupracujte s renomovanými firmami v oblasti kybernetickej bezpečnosti: Nepretržite monitorujte sieťovú prevádzku, zisťujte potenciálne hrozby v reálnom čase a rýchlo reagujte na prípadné bezpečnostné incidenty. Vykonávajte pravidelné bezpečnostné audity a hodnotenia zraniteľnosti s cieľom identifikovať a odstrániť akékoľvek nedostatky v rámci sieťovej infraštruktúry.

Získajte podrobnejšie informácie o bežných výzvach v oblasti zabezpečenia od hlavného manažéra skupiny Justina Turnera, Microsoft Security Research.

Snímkové údaje predstavujú celkový počet monitorovaných subjektov a udalostí v období od 10. novembra do 20. decembra 2022. Patria sem organizácie priamo zapojené do infraštruktúry turnajov alebo s ňou spojené. Aktivity zahŕňajú proaktívne vyhľadávanie hrozieb pod vedením ľudí s cieľom identifikovať nové hrozby a sledovať významné kampane.

Kľúčové postrehy:
 

45 chránených organizácií                                 100 000 chránených koncových bodov

 

144 000 chránených identít                               14,6 miliónov e-mailov

 

634,6 miliónov pokusov o overenie                4,35 miliardy sieťových pripojení

Metodika: Pokiaľ ide o snímkové údaje, platformy a služby spoločnosti Microsoft vrátane Microsoft Extended Detections and Response, Microsoft Defender, Defender Experti na vyhľadávanie hrozieb a Azure Active Directory poskytli anonymizované údaje o aktivitách hrozieb, ako sú škodlivé e-mailové kontá, phishingové e-maily a pohyb útočníkov v sieťach. Ďalšie poznatky pochádzajú zo 65 biliónov denných bezpečnostných signálov získaných v rámci spoločnosti Microsoft vrátane cloudu, koncových bodov, inteligentnej hrany a našich tímov pre zotavenie po ohrození zabezpečenia a pre detekciu a reakciu. Obálka nezobrazuje skutočný futbalový zápas, turnaj alebo individuálny šport. Všetky uvedené športové organizácie sú individuálne vlastnené ochranné známky.

Súvisiace články

Rady odborníkov o troch najčastejších výzvach v oblasti kybernetickej bezpečnosti

Justin Turner, hlavný manažér skupiny, Microsoft Security Research, opisuje tri pretrvávajúce výzvy, s ktorými sa stretol počas svojej kariéry v oblasti kybernetickej bezpečnosti: správa konfigurácie, inštalácia opráv a viditeľnosť zariadení.
Ďalšie informácie

61 % nárast phishingových útokov. Spoznajte moderné možné miesta útokov

Organizácie musia vyvinúť komplexnú úroveň zabezpečenia, ak chcú spravovať čoraz zložitejšie možné miesta útokov. V tejto správe uvidíte na šiestich kľúčových oblastiach možných miest útokov, ako môže správna analýza hrozieb pomôcť nakloniť misky váh na stranu obrancov.
Ďalšie informácie

Zbližovanie IT a OT

Čím ďalej tým viac sa rozširujúci internet vecí ohrozuje prevádzkové technológie (OT), vytvára veľké množstvo potenciálne zraniteľných miest a vystavuje ich hrozbám zo strany aktérov. Zistite, ako udržiavať svoju organizáciu chránenú.
Ďalšie informácie

Sledujte Microsoft