Trace Id is missing

Kibernetske grožnje vse pogosteje ciljajo na največje svetovne prireditvene odre

Prenos
Skupna raba
Slika nogometnega stadiona z veliko različnimi ikonami.

Cyber Signals – 5. izdaja: Stanje na igrišču

Grožnje so tam, kjer so tarče, in izkoriščajo priložnosti za izvajanje ciljnih ali obsežnih oportunističnih napadov. To velja tudi za odmevne športne dogodke, zlasti tiste v vse bolj povezanih okoljih, kar prinaša kibernetsko tveganje za organizatorje, regionalne gostiteljske objekte in obiskovalce. Britanski nacionalni center za kibernetsko varnost United Kingdom’s National Cyber Security Centre (NCSC) je ugotovil, da so kibernetski napadi na športne organizacije vse pogostejši. 70 odstotkov vprašanih je doživelo vsaj en napad na leto, kar je precej več od povprečja vseh podjetij v Združenem kraljestvu.

Pritisk za zagotavljanje nemotene in varne izkušnje na svetovnem prizorišču prinaša nove zahteve za lokalne gostitelje in objekte. Ena sama napačno konfigurirana naprava, izpostavljeno geslo ali spregledana povezava tretje osebe lahko privede do vdora v podatke ali uspešnega vdora.

Microsoft je med gostovanjem svetovnega prvenstva v nogometu FIFA World Cup in 2022TM v Katarju zagotovil podporo za kibernetsko varnost kritičnim infrastrukturnim objektom. V tej izdaji vam iz prve roke predstavljamo, kako akterji groženj ocenjujejo in vdirajo v ta okolja na prizoriščih, v ekipe in kritično infrastrukturo okoli samega dogodka.

Vsi smo branilci kibernetske varnosti.

Microsoft je med 10. novembrom in 20. decembrom 2022 opravil več kot  634,6 milijona preverjanj pristnosti  pri zagotavljanju kibernetske varnostne zaščite za katarske objekte in organizacije.

Oportunistični akterji groženj izkoriščajo okolje, polno ciljev napadov

Grožnje kibernetske varnosti za športne dogodke in prizorišča so raznolike in zapletene. Zahtevajo stalno budnost in sodelovanje med zainteresiranimi stranmi, da bi preprečili in ublažili eskalacijo. Svetovni športni trg je vreden več kot 600 milijard ameriških dolarjev, zato je cilj bogat. Športne ekipe, športne zveze prve lige in svetovne športne zveze ter zabaviščni objekti hranijo zakladnico dragocenih informacij, ki so zaželene za kibernetske kriminalce.

Informacije o športni uspešnosti, konkurenčni prednosti in osebni podatki so donosna tarča. Na žalost so lahko te informacije zaradi števila povezanih naprav in medsebojno povezanih omrežij v teh okoljih ranljive v velikem obsegu. Ta ranljivost pogosto zajema več lastnikov, vključno z ekipami, korporativnimi sponzorji, občinskimi organi in zunanjimi izvajalci. Tudi trenerji, športniki in navijači so lahko izpostavljeni izgubi podatkov in izsiljevanju.

Poleg tega imajo prizorišča in arene številne znane in neznane ranljivosti, ki grožnjam omogočajo napad na ključne poslovne storitve, kot so naprave na prodajnih mestih, infrastrukture IT in naprave za obiskovalce. Noben odmeven športni dogodek nima enakega profila kibernetskega tveganja. Ta se razlikuje glede na dejavnike, kot so lokacija, udeleženci, velikost in sestava.

Da bi usmerili svoja prizadevanja med gostovanjem svetovnega prvenstva v nogometu v Katarju, smo izvedli proaktivni lov na grožnje, s katerim smo ocenili tveganje z uporabo storitve Strokovnjaki za iskanje groženj Defender, ki proaktivno išče grožnje v končnih točkah, e-poštnih sistemih, digitalnih identitetah in aplikacijah v oblaku. V tem primeru so dejavniki vključevali motivacijo povzročitelja grožnje, razvoj profila in strategijo odziva. Upoštevali smo tudi globalne obveščevalne podatke o grožnjah o geopolitično motiviranih akterjih groženj in kibernetskih kriminalcih.

Med najpogostejšimi pomisleki je bilo tudi tveganje kibernetskih motenj pri storitvah, povezanih s prireditvami, ali lokalnih objektov. Motnje, kot so napadi z izsiljevalsko programsko opremo in poskusi kraje podatkov, lahko negativno vplivajo na doživljanje dogodkov in rutinsko delovanje.

Časovni razpored javno prijavljenih dogodkov v obdobju 2018–2023

  • Januar 2023 – Nacionalna košarkarska zveza (National Basketball Association) opozori navijače na kršitev varnosti podatkov, zaradi katere so njihovi osebni podatki pricurljali iz storitve pošiljanja novic tretje osebe.1
  • November 2022 Manchester United potrdil, da je klub doživel kibernetski napad na svoje sisteme.2
  • February 2022 – Ekipa San Francisco 49ers je v nedeljo, ko je potekal Super Bowl, doživela obsežen napad z izsiljevalsko programsko opremo.3
  • April 2021 – Skupina za izsiljevanje trdi, da je ukradla 500 gigabajtov podatkov družbe Rockets, vključno s pogodbami, sporazumi o nerazkritju in finančnimi podatki. Notranja varnostna orodja so razen v nekaj sistemih preprečila namestitev izsiljevalske programske opreme.4
  • October 2021 – Moški iz Minnesote je bil obtožen vdora v računalniške sisteme lige Major League Baseball in poskusa izsiljevanja 150.000 ameriških dolarjev.5
  • 2018 – Na zimskih olimpijskih igrah v Pyeongchangu je bilo veliko napadov. Ruski hekerji so pred otvoritveno slovesnostjo izvedli napade na olimpijska omrežja.6

Ekipa za iskanje groženj je delovala v skladu s filozofijo poglobljene obrambe, da bi pregledala in zaščitila naprave in omrežja strank. Drug poudarek je bil na spremljanju delovanja identitet, prijav in dostopa do datotek. Zajeti so bili različni sektorji, vključno s strankami, ki se ukvarjajo s prevozom, telekomunikacijami, zdravstvenim varstvom in drugimi bistvenimi funkcijami.

Skupno število subjektov in sistemov, ki so bili neprestano spremljani s podporo za lovljenje groženj in odzivanje pod vodstvom ljudi, je obsegalo več kot 100.000 končnih točk, 144.000 identitet, 14,6 milijona e-poštnih tokov, več kot 634,6 milijona preverjanj pristnosti in več milijard omrežnih povezav.

Nekatere zdravstvene ustanove so bile na primer za dogodek določene kot enote nujne oskrbe, vključno z bolnišnicami, ki so zagotavljale kritično podporo in zdravstvene storitve za navijače in igralce. Ker so bile zdravstvene ustanove lastnice medicinskih podatkov, so bile zelo dragocene tarče. Microsoftovo strojno in človeško podprto iskanje groženj je s pomočjo obveščevalnih podatkov o grožnjah preverjalo signale, izoliralo okužena sredstva in onemogočilo napade na ta omrežja. S kombinacijo tehnologije Microsoftove varnosti je ekipa odkrila in postavila v karanteno dejavnosti pred izsiljevalsko programsko opremo, ki je bila usmerjena na zdravstveno omrežje. Več neuspešnih poskusov prijave je bilo zabeleženih, nadaljnje dejavnosti pa so bile blokirane.

Zaradi nujnosti zdravstvenih storitev morajo naprave in sistemi ohranjati najvišjo raven zmogljivosti. Bolnišnice in zdravstvene ustanove imajo zahtevno nalogo uravnotežiti razpoložljivost storitev in hkrati ohranjati zdravo kibernetsko varnost. Uspešen napad bi lahko v bližnji prihodnosti onesposobil zdravstvene ustanove z vidika podatkov in informacijske tehnologije, tako da bi bili zdravstveni delavci pri posodabljanju podatkov o pacientih prepuščeni pisalu in papirju, kar bi oslabilo njihovo sposobnost izvajanja življenjsko pomembne zdravstvene oskrbe v nujnih primerih ali v primeru množičnega opredeljevanja prioritetnih primerov. Dolgoročno bi se lahko zlonamerna koda, ki je bila zasajena za zagotavljanje vidnosti v omrežju, uporabila za širši primer izsiljevanja s programsko opremo, katerega cilj bi bila nadaljnja motnja. Tak primer bi lahko odprl vrata kraji podatkov in izsiljevanju.

Ker so veliki svetovni dogodki še vedno zaželene tarče akterjev groženj, se pojavljajo  različni motivi nacionalnih držav, za katere se zdi, da so pripravljene prevzeti stransko škodo zaradi napadov, če to podpira širše geopolitične interese. Poleg tega bodo kibernetske kriminalne združbe, ki želijo izkoristiti velike finančne priložnosti, ki so na voljo v okoljih IT, povezanih s športnimi objekti in prizorišči, še naprej iskale zaželene tarče.

Priporočila

  • Povečajte ekipo SOC: Vključite dodaten par oči, ki dogodek spremljajo 24 ur na dan, proaktivno odkrivajo grožnje in pošiljajo obvestila. Na ta način boste povezali več podatkov o iskanju in odkriti zgodnje znake vdora. Vključevati mora tudi grožnje zunaj končne točke, kot sta ogrožanje identitete ali preusmeritev naprave v oblak.
  • Izvedite usmerjeno oceno kibernetskega tveganja: Opredelite morebitne grožnje, značilne za dogodek, prizorišče ali državo, kjer se dogodek odvija. Ta ocena mora vključevati prodajalce, strokovnjake IT ekipe in prizorišča, sponzorje in ključne zainteresirane strani dogodka.
  • Dostop z minimalnimi pravicami je najboljša praksa: Dostop do sistemov in storitev omogočite le tistim, ki ga potrebujejo, in usposobite osebje za razumevanje ravni dostopa.

Velike tarče napadov zahtevajo dodatno načrtovanje in nadzor.

Pri dogodkih, kot so World Cup™, olimpijske igre in športni dogodki na splošno, se znana kibernetska tveganja pojavljajo na edinstven način, pogosto manj opazno kot v drugih podjetniških okoljih. Ti dogodki se lahko zgodijo hitro, saj novi partnerji in prodajalci za določeno obdobje pridobijo dostop do podjetij in skupnih omrežij. Zaradi pojavne narave povezljivosti z nekaterimi dogodki je težko razviti preglednost in nadzor nad napravami in podatkovnimi tokovi. Spodbuja tudi lažen občutek varnosti, da so »začasne« povezave manj tvegane.

Sistemi za dogodke lahko vključujejo spletno prisotnost ekipe ali prizorišča in družbene medije, platforme za registracijo ali prodajo vstopnic, sisteme za merjenje časa igre in točkovanje, logistiko, zdravstveno upravljanje in sledenje pacientov, sledenje incidentom, sisteme za množično obveščanje in elektronske oznake.

Športne organizacije, sponzorji, gostitelji in prizorišča morajo sodelovati pri teh sistemih in razviti kibernetsko pametno izkušnjo navijanja. Poleg tega se zaradi velikega števila udeležencev in osebja, ki s seboj prinašajo podatke in informacije prek lastnih naprav, poveča tarča napadov.

Štiri kibernetska tveganja za velike dogodke

  • Onemogočite vsa nepotrebna vrata in poskrbite za ustrezno skeniranje omrežja za nepooblaščene ali priložnostne posodobitve brezžične dostopne točke, popravite programsko opremo in izberite aplikacije s stopnjo šifriranja za vse podatke.
  • Spodbujajte udeležence, da (1) zaščitijo svoje aplikacije in naprave z najnovejšimi posodobitvami in popravki, (2) se izogibajo dostopu do občutljivih informacij prek javnega omrežja Wi-Fi, (3) se izogibajo povezavam, prilogam in QR kodam iz neuradnih virov.
  • Poskrbite, da bodo naprave POS popravljene, posodobljene in povezane z ločenim omrežjem. Udeleženci naj bodo pozorni tudi na neznane kioske in bankomate ter omejijo transakcije na območja, ki jih je uradno potrdil gostitelj dogodka.
  • Razvijte logične segmentacije omrežja, da ustvarite ločnice med sistemi IT in OT ter omejite navzkrižni dostop do naprav in podatkov ter tako ublažite posledice kibernetskega napada.

Če varnostnim ekipam vnaprej zagotovite potrebne informacije – vključno s ključnimi storitvami, ki morajo med dogodkom ostati delujoče – boste bolje pripravili načrte odziva. To je bistvenega pomena v okoljih IT in OT, ki podpirajo infrastrukturo prizorišč, ter za ohranjanje fizične varnosti obiskovalcev. Najbolje bi bilo, če bi organizacije in varnostne ekipe pred dogodkom konfigurirale svoje sisteme za dokončanje testiranja, naredile posnetek sistema in naprav ter jih dale na voljo ekipam za IT, da bi jih lahko po potrebi hitro ponovno uporabile. Ta prizadevanja v veliki meri preprečujejo, da bi nasprotniki izkoristili slabo konfigurirana »ad hoc« omrežja v zelo zaželenih in ciljno bogatih okoljih velikih športnih dogodkov.

Poleg tega mora nekdo v sobi razmisliti o tveganju za zasebnost in o tem, ali konfiguracije dodajajo nova tveganja ali ranljivosti za osebne podatke udeležencev ali lastniške podatke ekip. Ta oseba lahko izvaja preproste kibernetsko pametne prakse za oboževalce, na primer tako, da jih usmerja, naj prebirajo samo kode QR z uradnim logotipom, naj bodo kritični do SMS-sporočil ali SMS-sporočil, na katera se niso naročili, in naj se izogibajo uporabi brezplačnega javnega omrežja Wi-Fi.

Ti in drugi pravilniki lahko javnosti pomagajo bolje razumeti kibernetsko tveganje na velikih dogodkih ter njihovo izpostavljenost zbiranju in kraji podatkov. S poznavanjem varnih praks se lahko navijači in udeleženci izognejo temu, da bi postali žrtve napadov socialnega inženiringa, ki jih lahko kibernetski kriminalci izvedejo, ko se uveljavijo v izkoriščenih omrežjih prizorišč in dogodkov.

Poleg spodnjih priporočil Nacionalni center za varnost in varovanje športov ponuja še  te varnostne pomisleke  za povezane naprave in integrirano varnost na velikih prizoriščih.

Priporočila

  • Prednostno izvajajte celovit in večplasten varnostni okvir: To vključuje namestitev požarnih zidov, sistemov za odkrivanje in preprečevanje vdorov ter močnih protokolov šifriranja za zaščito omrežja pred nepooblaščenim dostopom in vdori v podatke.
  • Programi ozaveščanja in usposabljanja uporabnikov: Seznanite zaposlene in druge osebe z najboljšimi praksami kibernetske varnosti, kot so prepoznavanje lažnih e-poštnih sporočil, uporaba večkratnega preverjanja pristnosti ali zaščite brez gesla ter izogibanje sumljivim povezavam ali prenosom.
  • Sodelujte s priznanimi podjetji za kibernetsko varnost: Neprestano spremljajte omrežni promet, odkrivajte morebitne grožnje v realnem času in se hitro odzovite na vse varnostne incidente. Izvajajte redne varnostne revizije in ocene ranljivosti, s katerimi boste zaznali in odpravili morebitne pomanjkljivosti v omrežni infrastrukturi.

Več informacij o pogostih varnostnih izzivih vam je posredoval glavni vodja skupine Justin Turner, Microsoft Security Research.

Podatki poročila predstavljajo skupno število subjektov in dogodkov, spremljanih med 10. novembrom in 20. decembrom 2022. Sem sodijo organizacije, ki so neposredno vključene v turnirsko infrastrukturo ali so z njo povezane. Dejavnosti vključujejo proaktivno iskanje groženj pod vodstvom ljudi za prepoznavanje novih groženj in sledenje pomembnim kampanjam.

Ključni vpogledi:
 

45 zaščitenih organizacij                                 100.000 zaščitenih končnih točk

 

144.000 zaščitenih identitet                               14,6 milijona e-poštnih tokov

 

634,6 milijona poskusov preverjanja pristnosti                 4,35 milijarde omrežnih povezav

Metodologija: Microsoftove platforme in storitve, vključno z Microsoft Extended Detections and Response, Microsoft Defender, Strokovnjaki za iskanje groženj Defender in Azure Active Directory, so za podatke poročila zagotovile anonimizirane podatke o dejavnostih groženj, kot so zlonamerni e-poštni računi, lažna e-poštna sporočila in gibanje napadalcev v omrežjih. Dodatni vpogledi izhajajo iz 65 bilijonov dnevnih varnostnih signalov, pridobljenih v Microsoftu, vključno z oblakom, končnimi točkami, inteligentnim robom ter našimi skupinami za odkrivanje in odzivanje. Na naslovnici ni upodobljena dejanska nogometna tekma, turnir ali posamezen šport. Vse navedene športne organizacije so blagovne znamke v individualni lasti.

Sorodni članki

Strokovni nasveti o treh najbolj perečih izzivih kibernetske varnosti

Glavni vodja skupine Justin Turner, Microsoft Security Research, opisuje tri trajne izzive, s katerimi se je srečal v svoji karieri na področju kibernetske varnosti: upravljanje konfiguracije, popravljanje in vidnost naprav.
Več informacij

61 % povečanje števila napadov z lažnim predstavljanjem. Spoznajte svojo tarčo napada

Organizacije morajo za obvladovanje vedno bolj zapletenega območja napadov razviti celovito varnostno držo. V tem poročilu je predstavljenih šest ključnih tarč napada in prikazano je, kako lahko z ustreznimi obveščevalnimi podatki o grožnjah spremenite pravila igre v korist branilcev.
Več informacij

Konvergenca IT in OT

Zaradi vse večjega kroženja interneta stvari je operativna tehnologija ogrožena, saj je izpostavljena številnim potencialnim ranljivostim in akterjem groženj. Ugotovite, kako lahko zaščitite svojo organizacijo.
Več informacij

Spremljajte Microsoft