Trace Id is missing

Kybernetické hrozby se čím dál častěji zaměřují na největší světové události

Stáhnout
Sdílení
Obrázek fotbalového stadionu s různými ikonami.

5. číslo Cyber Signals: Čas vyrovnat skóre

Aktéři hrozeb se vyskytují tam, kde se vyskytují jejich cíle, a nevynechají příležitost zrealizovat cílené nebo široce zaměřené útoky. Ušetřeny nejsou ani prestižní sportovní události, zvláště pak ty, které se vyznačují propojeným prostředím, a kybernetické riziko hrozí organizátorům, místním pořadatelům i účastníkům. Národní centrum kybernetické bezpečnosti ve Spojeném království (NCSC) zjistilo, že kybernetické útoky zaměřené na sportovní organizace jsou stále častější a 70 % sledovaných organizací čelilo alespoň jednomu útoku za rok, což v porovnání s průměrným počtem útoků na jiné podniky ve Spojeném království představuje výrazně vyšší podíl.

Nároky na místní pořadatele a zařízení jsou o to vyšší, když celý svět očekává hladký a bezpečný průběh události. Ale stačí jedno špatně nakonfigurované zařízení, uniklé heslo nebo přehlédnuté konexe třetí strany a únik dat nebo úspěšné vniknutí může být na světě.

Microsoft poskytoval podporu kybernetické bezpečnosti pro kritické infrastruktury během mistrovství světa ve fotbale pořádaném v roce 2022TM v Kataru. V tomto čísle shrneme poznatky z první ruky o tom, jak aktéři hrozeb vyhodnocují a infiltrují různá prostředí spojená s událostí samotnou, od místa konání, přes jednotlivé týmy až po kritickou infrastrukturu.

Kybernetická bezpečnost je záležitost nás všech.

Od 10. listopadu do 20. prosince 2022 provedl Microsoft více než 634,6 milionů  ověření při zajišťování kybernetické bezpečnosti pro katarská zařízení a organizace.

Oportunističtí aktéři hrozeb zneužívají prostředí s velkým počtem cílů

Místa konání sportovních událostí a události samotné čelí rozmanitým a komplexním kybernetickým hrozbám. Neustálá ostražitost a spolupráce všech zúčastněných stran je nutností, aby se předešlo eskalaci a zmírnily se její dopady. S hodnotou přesahující 600 miliard dolarů není globální sportovní trh na cíle chudý. Sportovní týmy, vrcholové ligy, globální sportovní asociace a zábavní podniky představují téměř nekonečný zdroj cenných informací, které by kyberzločincům mohly přijít vhod.

Informace o sportovních výkonech, konkurenčních výhodách a osobních údajích jsou lukrativním cílem. Bohužel, tyto informace mohou být ve větším měřítku zranitelné, zvlášť pak s ohledem na vysoký počet propojených zařízení a sítí, které v podobných prostředích figurují. Ohrožení zabezpečení se často týká několika různých vlastníků dat, jako jsou jednotlivé týmy, firemní sponzoři, místní správa a externí dodavatelé. Proti potenciální ztrátě dat a následnému vydírání nejsou imunní ani trenéři, atleti a fanoušci.

Na místech konání a stadionech se navíc vyskytuje vysoké množství známých i neznámých ohrožení zabezpečení, díky kterým můžou útočníci zacílit na kritické firemní služby, jako jsou pokladních místa, IT infrastruktura a zařízení návštěvníků. Žádné dvě prestižní sportovní události nemají stejný profil kybernetického rizika. Ten závisí na různých faktorech, jako je místo konání či počet, typ a složení účastníků.

Abychom zefektivnili naše úsilí na katarském mistrovství světa ve fotbale, rozhodli jsme se proaktivně vyhledávat hrozby a na jejich základě hodnotit rizika pomocí služby Defender experti na proaktivní vyhledávání, která proaktivně vyhledává rizika napříč všemi koncovými body, poštovními systémy, digitálními identitami a cloudovými aplikacemi. V našem případě se do hodnocených faktorů zahrnuly motivace možného aktéra hrozby, sestavení profilu a strategie pro reakce. Zohlednili jsme i globální zpravodajské informace o geopoliticky motivovaných aktérech hrozeb a kyberzločincích.

Mezi hlavní obavy patřilo riziko kybernetického narušení služeb nebo místních zařízení. Jakékoli narušení, jako jsou útoky ransomwaru a pokusy o krádeže dat, by mohly negativně ovlivnit zážitek z celé události a s ní související běžný provoz.

Časová osa veřejně oznámených incidentů mezi roky 2018–2023

  • V lednu 2023 varovala Národní basketbalová asociace své fanoušky před únikem osobních údajů spojeným s externí newsletterovou službou.1
  • V listopadu 2022 představitelé Manchester United potvrdili, že se klubové systémy staly terčem kybernetických útoků.2
  • V únoru 2022 čelili San Francisco 49ers rozsáhlému ransomwarovému útoku přímo v den Super Bowlu.3
  • V dubnu 2021 ransomwarové uskupení oznámilo, že odcizilo 500 gigabajtů dat Houston Rockets, včetně smluv, dohod o mlčenlivosti a informací o financích. S výjimkou několika systémů zabránily instalaci ransomwaru interní nástroje zabezpečení.4
  • V říjnu 2021 byl muž z Minnesoty obviněn z prolomení počítačových systémů Nejvyšší baseballové ligy (MLB) a pokusu o vydírání, když po lize požadoval 150 000 dolarů.5
  • V roce 2018 čelily Zimní olympijské hry v Pchjongčchangu velkému přílivu útoků. Ruští hackeři zaútočili na sítě olympijských her před zahajovacím ceremoniálem.6

Tým na proaktivní vyhledávání hrozeb zaujal stanovisko hloubkové obrany a jal se prohlížet a chránit zákaznická zařízení i sítě. Dále se zaměřili na monitorování chování identit, přihlašování a přístupu k souborům. Pokrytí se týkalo různých sektorů, včetně zákazníků působících v dopravě, telekomunikacích, zdravotnictví a dalších zásadních funkcích.

Celkový počet subjektů a systémů, které byly nepřetržitě monitorovány pomocí lidmi řízeného proaktivního vyhledávání hrozeb a podpory reakce, se vyšplhal na více než 100 000 koncových bodů, 144 000 identit, přes 14,6 milionů e-mailových toků, 634,6 ověření a miliardy síťových připojení.

Jako příklad lze uvést vybraná zdravotnická zařízení, která byla během trvání události určená jako centra intenzivní péče, včetně několika nemocnic zaměřených na poskytování kritické podpory a zdravotnických služeb pro fanoušky i hráče. Vzhledem k tomu, že nakládají se zdravotnickou dokumentací, patří podobná zařízení k cenným cílům. Činnost lidmi i stroji řízeného proaktivního vyhledávání hrozeb od Microsoftu zahrnovala využití analýzy hrozeb k prohledávání signálů, izolování zavirovaných aktiv a přerušení útoků na související sítě. V kombinaci s technologiemi zabezpečení od Microsoftu se týmu podařilo rozpoznat a izolovat pre-ransomwarové aktivity zaměřené na síť zdravotnických služeb. Po zaznamenání množství neúspěšných pokusů o přihlášení byla zablokována jakákoli další aktivita.

Povaha zdravotnických služeb vyžaduje, aby se výkon všech zařízení a systémů udržoval na špičkové úrovni. Nemocnice a zdravotnická zařízení čelí nelehkému údělu, kdy musí zajistit dostupnost služeb a zároveň udržet svou kybernetickou bezpečnost v dobré kondici. Úspěšný útok by v blízké budoucnosti mohl paralyzovat zdravotnická zařízení od dat až po IT a odkázat poskytovatele zdravotnických služeb k tužce a papíru, když přijde na správu údajů o pacientech, a omezit jejich schopnost poskytovat život zachraňující péči v naléhavých situacích a při mimořádných událostech. Z dlouhodobého hlediska by mohl být škodlivý kód, jehož účelem je přehledně zmapovat celou síť, zneužitý v rozsáhlejším ransomwarovém útoku s cílem významněji narušit dostupnost služeb. Podobná situace by mohla vést ke krádeži dat a následnému vydírání.

Vzhledem k tomu, že významné globální události jsou pro aktéry hrozeb stále žádoucím cílem, existuje celá  plejáda motivačních faktorů národních států, které jsou dle všeho ochotny absorbovat vedlejší škody způsobené útoky, pokud to podpoří jejich širší geopolitické zájmy. A je jisté, že kyberzločinecké skupiny, které chtějí využít ohromných finančních příležitostí skrytých v IT prostředích sportovních událostí a stadionů, budou i nadále tato prostředí považovat za žádoucí cíle.

Doporučení

  • Rozšiřte týmy SOC: Přiberte další pár očí, který bude nepřetržitě monitorovat průběh události, proaktivně rozpoznávat hrozby a odesílat upozornění. To napomůže korelaci většího množství dat z proaktivního vyhledávání hrozeb a včasnému zachycení náznaků vniknutí. Měly by se zahrnout i hrozby mimo samotné koncové body, jako je kompromitace identity nebo přenesení zařízení na cloud.
  • Vyhodnoťte rizika týkající se kybernetické bezpečnosti: Identifikujte možné hrozby související s konkrétní událostí, stadionem nebo státem, kde se událost pořádá. Toto hodnocení by mělo zahrnovat prodejce, IT specialisty jednotlivých týmů i místa konání, sponzory a klíčové zúčastněné strany události.
  • Zvažte osvědčený postup přístupu s nejnižší možnou úrovní oprávnění: Přístup k systémům a službám udělte pouze těm, kteří to skutečně potřebují, a poskytněte zaměstnancům školení na jednotlivé úrovně přístupu.

Čím širší je potenciální oblast útoku, tím víc je potřeba plánovat a dohlížet

Při událostech, jako je mistrovství světa ve fotbale™, olympijské hry a sportovní události obecně, se známá kybernetická rizika projevují jedinečným způsobem, který je často méně nápadný než v jiných podnikových prostředích. Organizace podobných událostí často běží v rychlém tempu, což mimo jiné znamená, že noví partneři a dodavatelé potřebují na určitou dobu získat přístup do podnikových a sdílených sítí. Tato nahodilost připojení může u některých událostí zhoršit přehlednost a zkomplikovat kontrolu nad zařízeními a datovými toky. Také vytváří falešný pocit bezpečí, že „dočasné“ připojení představuje menší riziko.

Jednotlivé události můžou pracovat se systémy, jako jsou webové stránky týmu nebo místa konání, profily na sociálních sítích, platformy pro registraci nebo prodej vstupenek, systémy pro časomíru a bodování, zdravotnická logistika, správa a přehledy o pacientech, sledování incidentů, systémy hromadného oznamování a elektronické značení.

Sportovní organizace, sponzoři, pořadatelé a organizátoři musí na těchto systémech spolupracovat a vyvinout pro své fanoušky kyberneticky inteligentní prostředí. A aby toho nebylo málo, potenciální oblast útoku se ještě rozšiřuje spolu s přílivem účastníků a zaměstnanců, se kterými přichází další data a údaje na jejich soukromých zařízeních.

Čtyři hlavní kybernetická rizika velkých událostí

  • Zakažte všechny nepotřebné porty a zajistěte řádné skenování sítě pro vyhledávání nepovolených nebo improvizovaných aktualizací bezdrátových přístupových bodů, vydávejte opravy softwaru a volte takové aplikace, které všechna data šifrují.
  • Vyzvěte účastníky, aby (1) zabezpečili svoje aplikace a zařízení nejnovějšími aktualizacemi a opravami, (2) vyvarovali se přístupu k citlivým informacím z veřejných sítí Wi-Fi, (3) vyhýbali se odkazům, přílohám a kódům QR z neoficiálních zdrojů.
  • Zajistěte, aby pokladní zařízení měla potřebné opravy, aktualizace a byla připojená k samostatné síti. Účastníci by si také měli dávat pozor na neznámé kiosky a bankomaty a omezit transakce na místa oficiálně schválená pořadatelem události
  • Vytvořte logické segmentace sítě, které oddělí IT a OT systémy a omezí tak vzájemný přístup k zařízením a datům, abyste zmírnili případné následky kybernetického útoku.

Poskytnutí potřebných informací bezpečnostním týmům předem – včetně kritických služeb, které musí zůstat během události funkční – umožní lépe připravit plány reakce. To je důležité hlavně v prostředích IT a OT, které podporují infrastrukturu místa konání, a pro zachování fyzické bezpečnosti účastníků. V ideálním případě by organizace a bezpečnostní týmy měly své systémy nakonfigurovat ještě před událostí, aby mohly včas dokončit testování, pořídit snímky systému a zařízení a poskytnout je týmům IT, aby je mohly v případě potřeby rychle znovu nasadit. Tyto snahy můžou útočníky do značné míry odradit od pokusů o zneužití špatně nakonfigurovaných, improvizovaných sítí ve velmi žádaném prostředí velkých sportovních akcí se spoustou potenciálních cílů.

Kromě toho by se měl někdo zaměřit na rizika spojená s ohrožením soukromí a na to, zda konfigurace nepřináší nová rizika nebo ohrožení zabezpečení osobních údajů účastníků nebo vlastnických dat týmů. Tato osoba může zavést jednoduché, kyberneticky inteligentní postupy pro fanoušky a navést je, aby například skenovali pouze kódy QR s oficiálním logem události, kriticky přistupovali k SMS nebo textovým zprávám s žádostmi o něco, k čemu se nepřihlásili, a aby nepoužívali bezplatné veřejné Wi-Fi sítě.

Tyto a podobné zásady mohou veřejnosti pomoct lépe porozumět kybernetickému riziku na velkých akcích a možnému vystavení se riziku sběru a krádeže dat. Znalost bezpečných postupů může fanoušky a účastníky ochránit při pokusech o útoky z oblasti sociálního inženýrství, ke kterým se můžou kyberzločinci uchýlit poté, co získají oporu v podobě zneužitých sítí události a místa konání.

Kromě výše uvedených doporučení nabízí Národní centrum pro bezpečnost a zabezpečení diváckých sportů  přehled věcí, které mít na zřeteli v souvislosti s připojenými zařízeními a integrovaném zabezpečení na velkých stadionech.

Doporučení

  • Upřednostněte zavedení komplexního a vícevrstvého bezpečnostního rámce: To zahrnuje nasazení firewallů, systémů včasné detekce a prevence narušení a silných šifrovacích protokolů, které síť ochrání před neoprávněným přístupem a únikem dat.
  • Osvěta uživatelů a školicí programy: Vzdělávejte své zaměstnance a zúčastněné strany o osvědčených postupech v oblasti kybernetické bezpečnosti, jako je rozpoznávání phishingových e-mailů, používání vícefaktorového ověřování nebo bezheslové ochrany a vyhýbání se podezřelým odkazům nebo souborům ke stažení.
  • Spolupracujte s renomovanými firmami zaměřenými na kybernetickou bezpečnost: Průběžně monitorujte síťové přenosy, odhalujte potenciální hrozby v reálném čase a vmžiku reagujte na případné bezpečnostní incidenty. Pravidelně provádějte audity zabezpečení a hodnocení ohrožení zabezpečení, abyste mohli identifikovat a řešit případné nedostatky v síťové infrastruktuře.

Další informace o běžných problémech zabezpečení se můžete dozvědět od ustina Turnera, hlavního manažera skupiny Microsoft Security Research.

Snímky představují celkový počet subjektů a událostí monitorovaných v období od 10. listopadu do 20. prosince 2022. Patří sem organizace, které se přímo podílejí na infrastruktuře utkání nebo jsou s ní jakkoli spojeny. Činnosti zahrnují lidmi řízené proaktivní vyhledávání hrozeb s cílem identifikovat vznikající hrozby a sledovat významné kampaně.

Hlavní poznatky:
 

45 ochráněných organizací                                 100 000 ochráněných koncových bodů

 

144 000 ochráněných identit                               14,6 milionu poštovních toků

 

634,6 milionu pokusů o ověření                4,35 miliard síťových připojení

Metodologie: Pro účely dat ve snímcích poskytly platformy a služby Microsoftu, včetně rozšířené detekce a reakce od Microsoftu, Microsoft Defenderu, služby Defender experti na proaktivní vyhledávání a Azure Active Directory, anonymizovaná data o aktivitách hrozeb, jako jsou škodlivé e-mailové účty, phishingové e-maily a pohyb útočníků v sítích. Další poznatky pocházejí z 65 bilionů denních bezpečnostních signálů získaných napříč Microsoftem, včetně cloudu, koncových bodů, inteligentního hraničního zařízení a našeho týmu expertů pro řešení ohrožení zabezpečení a reagujících týmů. Úvodní obrázek nezobrazuje skutečný fotbalový zápas, turnaj nebo individuální sport. Všechny uvedené sportovní organizace představují individuálně vlastněné ochranné známky.

Související články

Rady odborníků k třem nejpalčivějším problémům kybernetické bezpečnosti

Justin Turner, hlavní manažer skupiny Microsoft Security Research, popisuje tři trvalé problémy, se kterými se během své kariéry v oblasti kybernetické bezpečnosti setkal: správa konfigurace, vydávání oprav a viditelnost zařízení.
Další informace

61% nárůst phishingových útoků. Seznamte se s moderními potenciálními oblastmi útoku

Aby stačily na čím dál komplikovanější potenciální oblast útoků, musí organizace zaujmout komplexní postoj k zabezpečení. Tato zpráva vám na šesti potenciálních oblastech útoku ukáže, jak může správná analýza hrozeb pomoct zvrátit situaci ve prospěch obránců.
Další informace

Konvergence IT a OT

Čím dál tím víc se rozšiřující IoT představuje riziko pro OT, a to řadou potenciálních ohrožení zabezpečení a vystavením se aktérům hrozeb. Podívejte se, jak můžete svoji organizaci chránit.
Další informace

Sledujte zabezpečení od Microsoftu