Trace Id is missing

Ameaças cibernéticas miram cada vez mais os grandes palcos de eventos mundiais

Baixar
Compartilhar
Ilustração de um estádio de futebol com diversos ícones.

Cyber Signals Edição 5: Estado do jogo

Os atores de ameaças seguem para onde os alvos estão, aproveitando oportunidades para lançar ataques direcionados, em larga escala e oportunistas. Isso inclui eventos esportivos de grande visibilidade, especialmente em ambientes cada vez mais conectados, o que traz riscos cibernéticos para organizadores, instalações locais e participantes. O Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) constatou que os ataques cibernéticos contra organizações esportivas são cada vez mais frequentes. Cerca de 70% dos entrevistados relataram pelo menos um ataque por ano, um número significativamente maior do que a média das empresas no Reino Unido.

A pressão para garantir uma experiência tranquila e segura em um palco global eleva os riscos para os organizadores locais e suas instalações. Um único dispositivo mal configurado, uma senha exposta ou uma conexão de terceiros desconsiderada pode resultar em violação de dados ou invasão bem-sucedida.

A Microsoft prestou apoio em cibersegurança para as instalações de infraestrutura crítica durante a realização da Copa do Mundo FIFA pelo Estado do Catar em 2022TM. Nesta edição, compartilhamos aprendizados diretos sobre como os atores de ameaças avaliam e se infiltram nesses ambientes, abrangendo espaços de eventos, equipes e a infraestrutura crítica do evento.

Todos somos defensores da segurança cibernética.

A Microsoft realizou mais de 634,6 milhões de autenticações enquanto fornecia defesas de segurança cibernética para instalações e organizações do Catar entre 10 de novembro e 20 de dezembro de 2022.

Atores de ameaças oportunistas se aproveitam de ambientes com muitos alvos

As ameaças cibernéticas a eventos e locais esportivos são variadas e complexas. Elas exigem vigilância constante e colaboração entre todos os envolvidos para prevenir e mitigar qualquer agravamento. O mercado esportivo global, avaliado em mais de 600 bilhões de dólares, representa um alvo extremamente valioso. Equipes esportivas, liga principais, associações esportivas internacionais e locais de entretenimento abrigam um tesouro de informações valiosas que atraem criminosos cibernéticos.

Dados sobre desempenho atlético, vantagens competitivas e informações pessoais são alvos atrativos e lucrativos. Infelizmente, essas informações podem estar vulneráveis em grande escala devido à quantidade de dispositivos conectados e redes interligadas nesses ambientes. Essa vulnerabilidade geralmente se estende a vários proprietários, incluindo equipes, patrocinadores corporativos, autoridades municipais e contratados terceirizados. Treinadores, atletas e fãs também estão expostos ao risco de perda de dados e extorsão.

Além disso, os locais de eventos e arenas contêm inúmeras vulnerabilidades conhecidas e desconhecidas que permitem que ameaças atinjam serviços críticos de negócios, como dispositivos de pontos de venda, infraestruturas de TI e dispositivos dos visitantes. Cada evento esportivo de grande visibilidade tem um perfil de risco cibernético único, variando de acordo com fatores como localização, participantes, tamanho e composição.

Durante a Copa do Mundo no Catar, concentramos nossos esforços realizando uma busca proativa por ameaças, avaliando o risco por meio serviço gerenciado Especialistas do Defender para Busca, que faz buscas proativas por ameaças em pontos de extremidade, sistemas de email, identidades digitais e aplicativos na nuvem. Consideramos fatores como a motivação dos atores de ameaças, desenvolvimento de perfis e estratégia de resposta. Também consideramos a inteligência contra ameaças global sobre atores de ameaças com motivações geopolíticas e criminosos cibernéticos.

Entre as principais preocupações estavam o risco de interrupções cibernéticas nos serviços do evento ou nas instalações locais. Interrupções como ataques de ransomware e tentativas de roubo de dados poderiam afetar negativamente a experiência do evento e as operações do dia a dia.

Cronologia de incidentes reportados publicamente entre 2018-2023

  • Em janeiro de 2023, a National Basketball Association (NBA) alertou os fãs sobre um vazamento de informações pessoais originado de um serviço terceirizado de boletins informativos.1
  • Em novembro de 2022, o Manchester United confirmou que o clube sofreu um ataque cibernético em seus sistemas.2
  • Em fevereiro de 2022, o San Francisco 49ers foi alvo de um importante ataque de ransomware no domingo do Super Bowl.3
  • Em abril de 2021, um grupo de ransomware alegou ter roubado 500 gigabytes de dados dos Rockets, incluindo contratos, acordos de confidencialidade e dados financeiros. Ferramentas de segurança internas impediram a instalação do ransomware, exceto em alguns sistemas.4
  • Em outubro de 2021, um homem de Minnesota foi acusado de invadir os sistemas de computadores da Major League Baseball e tentar extorquir a liga em US$ 150 mil.5
  • Em 2018, os Jogos Olímpicos de Inverno em Pyeongchang foram marcados por um alto volume de ataques. Hackers russos atacaram as redes dos Jogos Olímpicos antes mesmo da cerimônia de abertura.6

A equipe de caça a ameaças adotou uma filosofia de defesa em profundidade (defense-in-depth) para inspecionar e proteger dispositivos e redes dos clientes. Um outro foco foi o monitoramento do comportamento das identidades, logins e acessos a arquivos. A cobertura se estendeu por diversos setores, incluindo clientes na área de transportes, telecomunicações, saúde e outras funções essenciais.

No total, o número de entidades e sistemas monitorados 24 horas por dia, 7 dias por semana, com buscas por ameaças conduzidas por humanos e suporte de resposta, incluiu mais de 100.000 pontos de extremidade, 144.000 identidades, mais de 14,6 milhões de fluxos de email, mais de 634,6 milhões de autenticações e bilhões de conexões de rede.

Por exemplo, alguns estabelecimentos de saúde foram designados como unidades de atendimento de urgência para o evento, incluindo hospitais que forneciam suporte crítico e serviços de saúde para fãs e atletas. Por possuírem dados médicos, essas instalações eram alvos de alto valor para os criminosos cibernéticos. A atividade de busca por ameaças da Microsoft, realizada por máquinas e humanos, aproveitou a inteligência contra ameaças para verificar sinais, isolar ativos infectados e interromper ataques nessas redes. Com o uso da tecnologia de Segurança da Microsoft, a equipe detectou e isolou atividades pré-ransomware que visavam as redes de saúde. Foram registradas várias tentativas de acesso sem sucesso, e outras atividades foram bloqueadas.

A natureza urgente dos serviços de saúde exige que dispositivos e sistemas operem em máximo desempenho. Hospitais e estabelecimentos de saúde enfrentam o desafio de equilibrar a disponibilidade do serviço com a manutenção de uma postura íntegra de segurança cibernética. Um ataque bem-sucedido poderia, a curto prazo, paralisar os estabelecimentos médicos do ponto de vista de dados e TI, forçando os profissionais de saúde a recorrerem a caneta e papel para atualizar informações dos pacientes e comprometendo a capacidade de prestar cuidados médicos que salvam vidas em situações de emergência ou triagem em massa. A longo prazo, códigos maliciosos implantados para obter visibilidade na rede poderiam ser usados para um evento de ransomware mais abrangente, visando uma desestabilização ainda maior. Um cenário como esse poderia abrir caminho para o roubo de dados e extorsão.

Grandes eventos globais continuam sendo alvos atrativos para atores de ameaças, e há uma variedade de motivações por parte de nações que parecem dispostas a aceitar danos colaterais de ataques se isso beneficiar seus interesses geopolíticos mais amplos. Além disso, grupos de criminosos cibernéticos buscando explorar as vastas oportunidades financeiras presentes em ambientes de TI de esportes e eventos veem esses como alvos atraentes.

Recomendações

  • Reforce a equipe do centro de operações de segurança (SOC): Conte com um time extra monitorando o evento 24 horas por dia para detectar ameaças proativamente e enviar alertas. Isso ajuda a correlacionar mais dados de caça e identificar os primeiros sinais de uma invasão. Deve incluir ameaças além do ponto de extremidade, como comprometimento de identidade ou transição de dispositivo para a nuvem.
  • Faça uma avaliação de risco cibernético direcionada: Identifique ameaças em potencial específicas para o evento, local ou país/região onde ocorre o evento. Esta avaliação deve envolver fornecedores, profissionais de TI de equipes e locais, patrocinadores e os stakeholders principais do evento.
  • Adote o acesso privilegiado mínimo como uma prática recomendada: Conceda acesso a sistemas e serviços somente para quem realmente necessita e instrua a equipe sobre os níveis de acesso.

Amplas superfícies de ataque exigem planejamento e supervisão adicionais

Em eventos como a Copa do Mundo™, as Olimpíadas e competições esportivas em geral, riscos cibernéticos conhecidos se manifestam de formas únicas, muitas vezes menos evidentes do que em outros ambientes corporativos. Esses eventos podem ser organizados rapidamente, com novos parceiros e fornecedores adquirindo acesso a redes empresariais e compartilhadas por um tempo determinado. A natureza momentânea da conectividade em alguns eventos pode dificultar o desenvolvimento de visibilidade e controle sobre dispositivos e fluxos de dados. Isso também cria uma falsa sensação de segurança de que conexões "temporárias" são menos arriscadas.

Os sistemas de eventos podem incluir a presença online e nas redes sociais da equipe ou do local, plataformas de registro ou venda de ingressos, sistemas de cronometragem e pontuação, logística, gestão médica e acompanhamento de pacientes, monitoramento de incidentes, sistemas de notificação em massa e sinalização eletrônica.

Organizações esportivas, patrocinadores, organizadores e locais devem colaborar nesses sistemas e criar experiências para os fãs que sejam seguras no ciberespaço. Além disso, o grande número de participantes e funcionários que trazem consigo dados e informações por meio de seus dispositivos pessoais aumenta a superfície de ataque.

Quatro riscos cibernéticos para grandes eventos

  • Desative portas desnecessárias e faça varreduras de rede adequadas para detectar pontos de acesso sem fio clandestinos ou improvisados, atualize e instale patches de software e prefira aplicativos que incluam criptografia para todos os dados.
  • Encoraje os participantes a (1) protegerem seus aplicativos e dispositivos com as atualizações e patches mais recentes, (2) evitarem acessar informações sensíveis através de Wi-Fi público, (3) evitarem links, anexos e códigos QR de fontes não oficiais.
  • Certifique-se de que os dispositivos de ponto de venda (POS) estejam atualizados, com patches aplicados e conectados a uma rede separada. Os participantes também devem desconfiar de quiosques e caixas eletrônicos desconhecidos e limitar transações a áreas oficialmente aprovadas pela organização do evento
  • Crie segmentações de rede lógica para separar os sistemas de TI e OT e restringir o acesso cruzado a dispositivos e dados, a fim de mitigar as consequências de um ataque cibernético.

Fornecer as informações necessárias às equipes de segurança com antecedência, incluindo serviços críticos que devem se manter operacionais durante o evento, irá aprimorar os planos de resposta. Isso é essencial em ambientes de TI e TO que oferecem suporte a infraestrutura do local e para garantir a segurança física dos participantes. O ideal seria que as organizações e as equipes de segurança configurassem seus sistemas antes do evento, realizando testes, capturando uma imagem do sistema e dos dispositivos, e deixando-os prontos para serem rapidamente reinstalados pelas equipes de TI quando necessário. Esses esforços são eficazes para evitar que os adversários tirem proveito de redes ad hoc e mal configuradas, que são comuns em ambientes de grandes eventos esportivos, altamente visados e cheios de alvos.

Além disso, alguém responsável deve avaliar o risco à privacidade e verificar se as configurações geram novos riscos ou vulnerabilidades para as informações pessoais dos participantes ou dados confidenciais das equipes. Essa pessoa pode implementar práticas simples de inteligência cibernética para os fãs, orientando-os, por exemplo, a escanear apenas códigos QR com um logotipo oficial, a questionar solicitações de SMS ou mensagens de texto não solicitadas e a evitar o uso de Wi-Fi público gratuito.

Essas e outras políticas podem ajudar o público a compreender melhor os riscos cibernéticos em grandes eventos e a exposição ao roubo e coleta de dados. Conhecer práticas seguras pode ajudar fãs e participantes a evitarem que se tornem vítimas de ataques de engenharia social, que os criminosos cibernéticos podem realizar depois de obterem acesso a redes de locais e eventos comprometidos.

Além das recomendações a seguir, o National Center for Spectator Sports Safety and Security oferece estas considerações para dispositivos conectados e segurança integrada em grandes espaços de eventos.

Recomendações

  • Dê prioridade à implementação de um quadro de segurança abrangente e com várias camadas: Isso envolve a implantação de firewalls, sistemas de detecção e prevenção de invasões e protocolos robustos de criptografia para reforçar a rede contra acessos não autorizados e violações de dados.
  • Programas de conscientização e treinamento de usuários: Instrua funcionários e stakeholders sobre práticas recomendadas de segurança cibernética, como identificar emails de phishing, utilizar autenticação multifator ou proteção sem senha e evitar links ou downloads suspeitos.
  • Associe-se a empresas de cibersegurança de confiança: Monitore o tráfego de rede continuamente, detecte ameaças potenciais em tempo real e responda prontamente a incidentes de segurança. Execute auditorias de segurança regulares e avaliações de vulnerabilidade para identificar e corrigir eventuais falhas na infraestrutura de rede.

Obtenha mais insights sobre os desafios comuns de segurança com Justin Turner, gerente principal de grupo da Microsoft Security Research.

Os dados instantâneos refletem o número total de entidades e eventos monitorados 24 horas por dia, do dia 10 de novembro a 20 de dezembro de 2022. Isso engloba organizações diretamente envolvidas ou associadas à infraestrutura do torneio. A atividade inclui buscas proativas por ameaças, lideradas por humanos, visando identificar ameaças que estão surgindo e rastrear campanhas notáveis.

Insights principais:
 

45 organizações protegidas                                 100,000 pontos de extremidade protegidos

 

144,000 identidades protegidas                               14,6 milhões de fluxos de email

 

634,6 milhões de tentativas de autenticação                4,35 bilhões de conexões de rede

Metodologia: Na coleta de dados instantâneos, plataformas e serviços da Microsoft, como Microsoft Extended Detections and Response, Microsoft Defender, Especialistas do Defender para Busca e Azure Active Directory, forneceram dados anonimizados sobre atividades de ameaças, tais como contas de email maliciosas, emails de phishing e movimentações de invasores nas redes. Os insights adicionais vêm dos 65 trilhões de sinais de segurança diários captados pela Microsoft, abrangendo nuvem, pontos de extremidade, a borda inteligente e nossas Equipes de Respostas e Compromise Recovery Security Practice (CRSP). A arte da capa não representa um jogo de futebol real, torneio ou esporte individual. Todas as organizações esportivas mencionadas são marcas registradas de propriedade individual.

Artigos relacionados

Conselhos de especialista sobre os três desafios constantes em segurança cibernética

Justin Turner, gerente principal de grupo da Microsoft Security Research, compartilha sua visão sobre os três desafios constantes que ele observou ao longo de sua carreira em segurança cibernética: gerenciamento de configuração, aplicação de patches e visibilidade de dispositivos.
Saiba mais

Aumento de 61% nos ataques de phishing. Conheça sua superfície de ataque moderna

Para gerenciar uma superfície de ataque cada vez mais complexa, as organizações devem desenvolver uma postura de segurança abrangente. Com seis áreas principais de superfície de ataque, este relatório mostrará como a inteligência contra ameaças certa pode ajudar a criar uma vantagem para quem está defendendo seus ambientes.
Saiba mais

A convergência do TI e OT

O aumento da circulação de IoT está colocando a OT em risco, com diversas vulnerabilidades em potencial e exposição a atores de ameaças. Descubra como manter sua organização protegida.
Saiba mais

Siga a Segurança da Microsoft