Trace Id is missing

Le minacce informatiche colpiscono sempre di più l'organizzazione degli eventi più grandi del mondo

Scarica
Condividi
Un'illustrazione di uno stadio di football con tante icone diverse.

Problema 5 Cyber Signals: situazione attuale

Gli attori di minacce seguono i target, sfruttando ogni occasione per lanciare attacchi opportunistici mirati o diffusi. Questa tattica colpisce anche gli eventi sportivi di alto profilo, specialmente quelli in ambienti sempre più connessi, introducendo rischi informatici per organizzatori, strutture ospiti regionali e partecipanti. Lo United Kingdom’s National Cyber Security Centre (NCSC, Centro nazionale per la sicurezza informatica del Regno Unito) ha rilevato che gli attacchi informatici contro le organizzazioni sportive sono sempre più comuni; il 70% degli intervistati ha dichiarato di aver subito almeno un attacco all'anno, una percentuale notevolmente più elevata rispetto alla media delle imprese nel Regno Unito.

La pressione di offrire un'esperienza sicura e senza problemi sulla scena mondiale introduce nuovi rischi per impianti e ospiti locali. Un singolo dispositivo non configurato correttamente, una password esposta o una connessione di terze parti trascurata possono causare una violazione dei dati o un'intrusione.

Microsoft ha fornito supporto per la cybersecurity alle infrastrutture critiche durante la Coppa del Mondo FIFA in Qatar nel 2022TM. In questa edizione offriamo nozioni di prima mano su come gli attori di minacce valutano e si infiltrano in questi ambienti attraverso sedi, team e infrastrutture critiche che ruotano intorno a un evento.

Siamo tutti difensori della cybersecurity.

Microsoft ha effettuato più di  634,6 milioni di autenticazioni fornendo le difese necessarie a garantire la cybersecurity per gli impianti e le organizzazioni del Qatar tra il 10 novembre e il 20 dicembre 2022.

Gli attori di minacce opportunistici sfruttano gli ambienti con un numero elevato di target

Le minacce alla cybersecurity che prendono di mira impianti ed eventi sportivi sono diverse e complesse. Richiedono vigilanza costante e collaborazione tra gli stakeholder per prevenire e ridurre l'escalation. Con il mercato sportivo globale con un valore superiore ai 600 miliardi di dollari, il target è decisamente ampio. Squadre, leghe principali e associazioni sportive globali, oltre a luoghi di divertimento ospitano una miriade di informazioni preziose cui ambiscono i criminali informatici.

I dati sulle prestazioni atletiche, i vantaggi competitivi e le informazioni personali rappresentano un target redditizio. Sfortunatamente, queste informazioni possono essere vulnerabili su vasta scala, a causa del numero di dispositivi e reti interconnesse in questi ambienti. Spesso questa vulnerabilità riguarda più proprietari, tra cui squadre, sponsor aziendali, autorità locali e terzisti. Anche gli allenatori, gli atleti e i tifosi possono essere vulnerabili alla perdita dei dati e all'estorsione.

Inoltre, gli impianti e le arene contengono molte vulnerabilità note e sconosciute che consentono alle minacce di colpire servizi commerciali critici, come i terminali POS, le infrastrutture IT e i dispositivi dei visitatori. Ogni evento sportivo di alto profilo ha il proprio profilo di rischio informatico specifico, che varia a seconda di fattori quali il luogo, i partecipanti, le dimensioni e la composizione.

Per concentrare i nostri sforzi durante la Coppa del mondo in Qatar, abbiamo condotto una rilevazione proattiva delle minacce che ci ha consentito di valutare i rischi tramite Defender Experts for Hunting, un apposito servizio gestito che cerca in modo proattivo le minacce nei vari endpoint, sistemi di posta elettronica, identità digitali e applicazioni cloud. In questo caso, i fattori includevano la motivazione degli attori di minacce, lo sviluppo del profilo e una strategia di risposta. Abbiamo considerato anche l'intelligence sulle minacce su scala globale per criminali informatici e attori di minacce motivati dal punto di vista geopolitico.

Le principali preoccupazioni includevano il rischio di attacchi informatici che potessero compromettere i servizi dell'evento o le strutture locali. Interruzioni dovute, ad esempio, ad attacchi ransomware e furto di dati possono avere un impatto negativo sulle operazioni di routine e sullo svolgimento dell'evento.

Elenco di incidenti resi pubblici tra il 2018 e il 2023

  • A gennaio del 2023, la National Basketball Association avverte i tifosi di una violazione dei dati attraverso la quale sono state rubate le loro informazioni personali da un servizio di newsletter di terze parti.1
  • A novembre del 2022, il Manchester United ha confermato che il club era stato vittima di un cyberattacco.2
  • A febbraio del 2022, i San Francisco 49ers sono stati colpiti da un grande attacco ransomware la domenica del Super Bowl Sunday.3
  • Ad aprile del 2021, un gruppo di ransomware dichiara di avere rubato 500 gigabyte di dati dei Rockets, compresi contratti, accordi di riservatezza e dati finanziari. Gli strumenti di sicurezza interni hanno fatto in modo che il ransomware si installasse solo su qualche sistema.4
  • A ottobre del 2021, un uomo del Minnesota è stato accusato della violazione dei sistemi informatici della Major League Baseball e del tentativo di estorcere alla lega 150.000 dollari.5
  • Le olimpiadi invernali del 2018 a Pyeongchang hanno riscontrato un numero elevato di attacchi. Gli hacker russi hanno attaccato le reti dell'organizzazione delle olimpiadi prima della cerimonia di apertura.6

Il team di rilevazione delle minacce ha adottato una strategia di difesa in profondità ("defense-in-depth") per esaminare e proteggere le reti e i dispositivi dei clienti. Un altro aspetto importante riguardava il monitoraggio del comportamento delle identità, dei login e dell'accesso ai file. Erano coinvolti tantissimi settori diversi, tra cui i clienti impegnati nei trasporti, nelle telecomunicazioni, nell'assistenza sanitaria e altre funzioni fondamentali.

Complessivamente, il numero totale di entità e sistemi monitorati 24 ore su 24, 7 giorni su 7, con un supporto gestito da persone per la rilevazione delle minacce e la relativa risposta ha interessato più di 100.000 endpoint, 144.000 identità, 14,6 milioni di flussi di e-mail plus, più di 634,6 milioni di autenticazioni e miliardi di connessioni di rete.

Ad esempio, alcune strutture sanitarie erano state progettate come unità di primo soccorso per l'evento, con ospedali che fornivano supporto e servizi sanitari per tifosi e giocatori. Le strutture sanitarie possiedono dati medici, quindi sono dei target di alto valore. L'attività di rilevazione delle minacce gestita da persone e automatizzata di Microsoft ha sfruttato l'intelligence sulle minacce per analizzare i segnali, isolare le risorse infettate e bloccare gli attacchi su queste reti. Con una combinazione di tecnologie Microsoft Security, il team ha rilevato e messo in quarantena l'attività pre-ransomware contro la rete di assistenza sanitaria. Sono stati registrati molti tentativi di accesso non riusciti e sono state bloccate altre attività.

La natura urgente dei servizi sanitari richiede che i dispositivi e i sistemi mantengano un livello ottimale di prestazioni. Ospedali e strutture sanitarie hanno un compito impegnativo: bilanciare la disponibilità dei servizi e garantire l'integrità a livello di cybersecurity. Un attacco riuscito, nel breve termine, potrebbe avere immobilizzato le strutture sanitarie dal punto di vista dell'IT, costringendo gli operatori sanitari a tornare alla carta e penna per aggiornare i dati dei pazienti e indebolendo la loro capacità di fornire cure salvavita in una situazione di emergenza o triage di massa. Nel lungo termine, il codice dannoso infiltrato per fornire visibilità in una rete potrebbe essere stato sfruttato per un evento di ransomware più ampio puntando a un'interruzione più estesa. Un caso di questo tipo potrebbe avere aperto le porte al furto di dati e all'estorsione.

Mentre grandi eventi globali continuano a essere dei target attraenti per gli attori di minacce, esiste  una serie di motivazioni degli stati-nazione che sembrano disposti ad assorbire i danni collaterali degli attacchi in presenza di interessi geopolitici più ampi. Inoltre, i gruppi di criminali informatici che cercano di sfruttare le vaste opportunità finanziarie degli ambienti IT correlati a eventi e impianti sportivi continueranno a considerarli target allettanti.

Consigli

  • Ampliare il team SOC: avere a disposizione più occhi che monitorano l'evento 24 ore su 24 per rilevare in modo proattivo le minacce e inviare notifiche aiuta a correlare più dati di rilevazione e a individuare i primi segni di intrusione. Ciò dovrebbe includere minacce oltre gli endpoint, come la compromissione delle identità o gli attacchi pivot dal dispositivo al cloud.
  • Condurre una valutazione dei rischi informatici mirata: ciò significa identificare le potenziali minacce specifiche dell'evento, della sede o della nazione che ospita l'evento. Questa valutazione dovrebbe includere fornitori, professionisti IT di squadre e sedi, sponsor e stakeholder principali dell'evento.
  • Considerare l'accesso con privilegi minimi una procedura consigliata: è consigliabile concedere l'accesso ai sistemi e ai servizi solo a chi ne ha bisogno e addestrare il personale a comprendere i livelli di accesso.

Superfici di attacco ampie richiedono pianificazione e supervisione aggiuntive

In contesti come World Cup™, olimpiadi ed eventi sportivi in generale, i rischi informatici noti si manifestano in modi unici, spesso meno percettibilmente rispetto ad altri ambienti aziendali. Questi eventi possono svolgersi rapidamente, con nuovi partner e fornitori che ottengono l'accesso alle reti aziendali e condivise per un periodo di tempo specifico. La natura temporanea della connettività con alcuni eventi può rendere difficile la visibilità e il controllo di dispositivi e flussi di dati. Inoltre, promuove un falso senso di sicurezza sul fatto che le connessioni "temporanee" siano meno rischiose.

I sistemi degli eventi possono includere la presenza della squadra o della sede sui social media e sul web, le piattaforme di registrazione o vendita dei biglietti, i sistemi di cronometraggio e punteggio delle partite, la logistica, la gestione sanitaria e il monitoraggio dei pazienti, il monitoraggio degli incidenti, i sistemi di notifica di massa e la segnaletica elettronica.

Le organizzazioni sportive, gli sponsor, gli organizzatori e le strutture devono collaborare su questi sistemi e sviluppare esperienze cyberintelligenti per i tifosi. Inoltre, il grande numero di partecipanti e membri del personale che dispongono di dati e informazioni nei propri dispositivi aumenta la superficie di attacco.

Quattro rischi informatici per un grande evento

  • Disabilitare qualsiasi porta non necessaria e garantire un'appropriata analisi della rete per individuare l'aggiornamento di punti di accesso wireless ad hoc o attività fraudolente, aggiornare il software e optare per applicazioni con un livello di crittografia per tutti i dati.
  • Incoraggiare i partecipanti a (1) proteggere le app e i dispositivi con gli aggiornamenti e le patch più recenti, (2) evitare di accedere a informazioni sensibili da Wi-Fi pubblici, (3) evitare collegamenti, allegati e codici a matrice di origini non ufficiali.
  • Garantire che i dispositivi POS siano sempre aggiornati e connessi a una rete separata. Inoltre, i partecipanti devono fare attenzione a sportelli e ATM sconosciuti e limitare le transazioni alle aree ufficialmente riconosciute dall'organizzatore dell'evento.
  • Sviluppare segmentazioni della rete logica per creare divisioni tra sistemi IT e OT e limitare l'accesso incrociato a dispositivi e dati per attenuare le conseguenze di un cyberattacco.

Fornire ai team addetti alla sicurezza le informazioni di cui hanno bisogno in anticipo (compresi i servizi critici che devono rimanere operativi durante l'evento) contribuirà a definire piani di risposta basati sulle informazioni. Questo è fondamentale negli ambienti IT e OT che supportano l'infrastruttura della sede, oltre a garantire la sicurezza fisica dei partecipanti. Idealmente, le organizzazioni e i team della sicurezza possono configurare i propri sistemi prima dell'evento per completare i test, acquisire un'istantanea del sistema e dei dispositivi e renderli prontamente disponibili per i team IT affinché possano ridistribuirli rapidamente se necessario. Questi sforzi sono di grande aiuto per dissuadere gli avversari dall'utilizzo di reti ad hoc mal configurate negli ambienti molto allettanti che offrono numerosi target di grandi eventi sportivi.

Inoltre, qualcuno dovrebbe considerare i rischi per la privacy e valutare se le configurazioni aggiungono nuovi rischi o vulnerabilità per la informazioni personali dei partecipanti o i dati di proprietà delle squadre. Questa persona può implementare pratiche cyberintelligenti semplici per i tifosi invitandoli, ad esempio, a scansionare solo codici a matrice con un logo ufficiale, a essere critici nei confronti di SMS o offerte tramite SMS per i quali non si sono registrati e a evitare di usare Wi-Fi pubblici gratuiti.

Questi e altri criteri possono aiutare il pubblico a comprendere meglio i rischi informatici in occasione di grandi eventi, soprattutto, e la loro esposizione al furto e alla raccolta di dati. Conoscere pratiche sicure può aiutare tifosi e partecipanti a non diventare vittime di attacchi di ingegneria sociale, che i criminali informatici possono sfruttare dopo aver trovato un punto di appoggio nella struttura e nelle reti dell'evento colpite.

Oltre ai consigli riportati di seguito, il National Center for Spectator Sports Safety and Security offre queste considerazioni per i dispositivi connessi e la sicurezza integrata di grandi strutture.

Consigli

  • Dare priorità all'implementazione di un framework della sicurezza completo e a più livelli: ciò include la distribuzione di firewall, sistemi di prevenzione e rilevamento di intrusioni e protocolli di crittografia efficaci per rafforzare la rete contro accessi non autorizzati e violazioni dei dati.
  • Consapevolezza e programmi di formazione degli utenti: istruire i dipendenti e gli stakeholder in merito alle procedure consigliate di cybersecurity, come riconoscere le email di phishing, usare l'autenticazione a più fattori o la protezione senza password ed evitare download o collegamenti sospetti.
  • Collaborare con società di cybersecurity affidabili: monitorare continuamente il traffico di rete, rilevare potenziali minacce in tempo reale e rispondere rapidamente a qualsiasi incidente di sicurezza. Condurre regolarmente controlli di sicurezza e valutazioni della vulnerabilità per identificare e gestire eventuali punti deboli all'interno dell'infrastruttura di rete.

Sono disponibili maggiori informazioni sui problemi di sicurezza comuni nel profilo dell'esperto Justin Turner, Principal Group Manager, Microsoft Security Research.

I dati dell'istantanea rappresentano il numero totale di entità ed eventi monitorati 24 ore su 24, 7 giorni su 7, tra il 10 novembre e il 20 dicembre 2022. Sono incluse le organizzazioni direttamente coinvolte, o affiliate, nell'infrastruttura del torneo. L'attività include il rilevamento proattivo delle minacce gestito da persone per individuare le minacce emergenti e tenere traccia di campagne importanti.

Informazioni principali:
 

45 organizzazioni protette                                 100.000 endpoint protetti

 

144.000 identità protette                               14,6 milioni di flussi di e-mail

 

634,6 milioni di tentativi di autenticazione                4,35 miliardi di connessioni di rete

Metodologia: Per i dati dell'istantanea, le piattaforme e i servizi Microsoft, tra cui Microsoft Extended Detection and Response (XDR, funzionalità di rilevamento e reazione estese), Microsoft Defender, Defender Experts for Hunting e Azure Active Directory, hanno fornito dati anonimizzati sull'attività delle minacce, come account e-mail dannosi, e-mail di phishing e il movimento degli utenti malintenzionati nelle reti. Ulteriori informazioni derivano dai 65 trilioni di segnali di sicurezza quotidiani ottenuti tramite Microsoft, tra cui il cloud, gli endpoint, la rete perimetrale intelligente e i nostri team addetti alle pratiche di recupero in caso di violazioni della sicurezza e addetti al rilevamento e alla risposta alle minacce. La copertina non rappresenta una partita di calcio, un torneo o uno sport individuale reale. Tutte le organizzazioni sportive indicate sono marchi registrati individuali.

Articoli correlati

Consigli dell'esperto sulle tre sfide più costanti nell'ambito della cybersecurity

Justin Turner, Principal Group Manager presso Microsoft Security Research, descrive le tre sfide che ha sempre dovuto affrontare nel corso della sua carriera nella cybersecurity: gestione della configurazione, applicazione di patch e visibilità dei dispositivi.
Scopri di più

Aumento del 61% degli attacchi di phishing: cose da sapere sulla superficie di attacco

Per gestire una superficie di attacco sempre più complessa, le organizzazioni devono sviluppare un approccio alla sicurezza completo. Con sei aree principali della superficie di attacco, questo report mostra come la giusta intelligence sulle minacce può giocare a favore dei difensori.
Scopri di più

La convergenza di IT e OT

La crescente circolazione dell'IoT sta mettendo a rischio l'OT, con una serie di potenziali vulnerabilità e l'esposizione agli attori di minacce. Scopri come garantire la protezione della tua organizzazione.
Scopri di più

Segui Microsoft Security