Trace Id is missing

Amenințările cibernetice vizează tot mai mult cele mai mari scene de evenimente din lume

Descărcați
Distribuiți
O ilustrație cu un stadion de fotbal cu o mulțime de pictograme diferite.

Numărul 5 al revistei Semnale cibernetice: Starea de fapt

Actorii de amenințare acționează direct asupra țintelor, profitând de anumite ocazii pentru a lansa atacuri țintite sau atacuri oportuniste de amploare. Acest fenomen se extinde și asupra evenimentelor sportive de anvergură, în special asupra celor care se desfășoară în medii cu un grad de conectare din ce în ce mai ridicat, introducând riscuri cibernetice pentru organizatori, pentru gazdele regionale și pentru participanți. Centrul Național de Securitate Cibernetică din Regatul Unit (NCSC) a constatat că atacurile cibernetice împotriva organizațiilor sportive sunt din ce în ce mai frecvente, 70 % dintre cei intervievați suferind cel puțin un atac pe an, un procent mult mai mare decât media înregistrată în rândul firmelor din Regatul Unit.

Preocuparea de a oferi o experiență sigură și lipsită de probleme pe plan mondial generează noi provocări pentru gazdele și structurile locale. Un singur dispozitiv configurat greșit, o singură parolă expusă sau o conexiune cu o terță parte neglijată poate duce la o breșă în date sau la o intruziune reușită.

Microsoft a oferit sprijin în materie de securitate cibernetică pentru unitățile de infrastructură esențiale în timpul desfășurării în Qatar a Cupei Mondiale FIFA din 2022TM. În această ediție vom prezenta informații de primă mână privind modul în care actorii de amenințare evaluează și se infiltrează în aceste medii în locații, echipe și infrastructuri esențiale legate de evenimentul respectiv.

Cu toții suntem apărători ai securității cibernetice.

Microsoft a efectuat peste 634,6 milioane de autentificări în timp ce asigura apărarea securității cibernetice pentru structurile și organizațiile din Qatar între 10 noiembrie și 20 decembrie 2022.

Actorii de amenințare oportuniști exploatează un mediu cu numeroase ținte

Amenințările de securitate cibernetică la adresa evenimentelor sportive și a locațiilor sportive sunt diverse și complexe. Acestea necesită o vigilență constantă și o colaborare între părțile interesate pentru a preveni și atenua escaladarea. Având o piață sportivă mondială în valoare de peste 600 de miliarde USD, această țintă este bogată. Echipele sportive, ligile majore și asociațiile sportive mondiale, precum și sălile de spectacole adăpostesc o mulțime de informații valoroase care le pot fi utile infractorilor cibernetici.

Informațiile privind performanța sportivă, avantajul competitiv și datele personale reprezintă o țintă profitabilă. Din nefericire, aceste informații pot fi vulnerabile la scară largă, din cauza numărului de dispozitive conectate și a rețelelor interconectate din aceste medii. Adesea, această vulnerabilitate se referă la mai mulți proprietari, inclusiv echipe, sponsori corporativi, autorități municipale și contractori terți. De asemenea, antrenorii, sportivii și fanii pot fi vulnerabili la pierderea de date și la extorcare.

În plus, sălile și arenele conțin multe vulnerabilități cunoscute și necunoscute, care le permit amenințărilor să țintească serviciile de business esențiale, cum ar fi dispozitivele POS, infrastructurile IT și dispozitivele vizitatorilor. Evenimentele sportive de profil înalt nu au același potențial de risc cibernetic, deoarece acesta variază în funcție de mai mulți factori, cum ar fi locația, participanții, mărimea și componența.

Pentru a ne concentra eforturile în timpul găzduirii de către Qatar a Cupei Mondiale, am desfășurat o căutare proactivă de amenințări prin care am evaluat riscurile utilizând Experți Defender pentru căutare activă, un serviciu gestionat de căutare a amenințărilor care caută în mod proactiv amenințări în puncte finale, sisteme de e-mail, identități digitale și aplicații cloud. În acest caz, printre factori s-au numărat motivația actorilor de amenințare, dezvoltarea profilului și o strategie de răspuns. De asemenea, am luat în considerare informațiile privind amenințările globale referitoare la actorii și infractorii cibernetici motivați geopolitic.

Printre cele mai importante preocupări s-au numărat riscul de perturbare cibernetică a serviciilor pentru evenimente sau a structurilor locale. Perturbările, cum ar fi atacurile ransomware și tentativele de furt de date, ar putea avea un impact negativ asupra desfășurării evenimentului și a operațiunilor de rutină.

Cronologie a incidentelor raportate public în perioada 2018-2023

  • Ianuarie 2023, Asociația Națională de Baschet își avertizează fanii cu privire la o breșă în date care a dus la scurgerea datelor personale ale acestora dintr-un serviciu de buletin informativ al unei terțe părți.1
  • Noiembrie 2022, Manchester United a confirmat că clubul a suferit un atac cibernetic asupra sistemelor sale.2
  • Februarie 2022, echipa San Francisco 49ers a fost afectată de un atac ransomware de proporții cu ocazia Super Bowl Sunday.3
  • Aprilie 2021, o grupare ransomware susține că a furat 500 de gigabyți de date ale echipei Rockets, inclusiv contracte, acorduri de confidențialitate și date financiare. Instrumentele interne de securitate au împiedicat instalarea ransomware-ului, cu excepția câtorva sisteme.4
  • Octombrie 2021, un bărbat din Minnesota a fost acuzat că a spart sistemele informatice ale Major League Baseball și a încercat să extorcheze liga pentru 150.000 USD.5
  • 2018, Jocurile Olimpice de iarnă de la Pyeongchang au înregistrat un nivel ridicat de atacuri. Hackerii ruși au efectuat atacuri asupra rețelelor olimpice înainte de ceremonia de deschidere.6

Echipa de căutare activă a amenințărilor a funcționat în baza unei filosofii de apărare în profunzime pentru a inspecta și proteja dispozitivele și rețelele clienților. Un alt obiectiv a fost monitorizarea comportamentului identităților, a conectărilor și a accesului la fișiere. Aria de acoperire a cuprins o varietate de sectoare, inclusiv clienți implicați în transporturi, telecomunicații, asistență medicală și alte funcții esențiale.

Per ansamblu, totalitatea entităților și sistemelor monitorizate continuu, asistate de intervenția umană pentru căutarea activă și gestionarea amenințărilor, a cuprins peste 100.000 de puncte finale, 144.000 de identități, peste 14,6 milioane de fluxuri de e-mail, peste 634,6 milioane de autentificări și miliarde de conexiuni la rețea.

De exemplu, unele unități de asistență medicală au fost desemnate ca unități de urgență pentru acest eveniment, inclusiv spitale care au oferit asistență și servicii medicale vitale pentru fani și jucători. Fiind unități de asistență medicală care dețineau date medicale, acestea constituiau ținte de mare valoare. Activitatea Microsoft de căutare a amenințărilor, susținută atât de mașini cât și de oameni, a utilizat investigarea amenințărilor pentru a scana semnale, a izola activele infectate și a perturba atacurile asupra acestor rețele. Cu ajutorul unei combinații de tehnologii Microsoft Security, echipa a detectat și a pus în carantină activitatea pre-ransomware care viza rețeaua de asistență medicală. Au fost înregistrate mai multe încercări nereușite de autentificare, iar activitatea ulterioară a fost blocată.

Caracterul urgent al serviciilor de asistență medicală necesită ca dispozitivele și sistemele să mențină un nivel maxim de performanță. Spitalele și unitățile de asistență medicală au o sarcină dificilă, și anume de a echilibra disponibilitatea serviciilor, menținând în același timp o securitate cibernetică sănătoasă. Pe termen scurt, un atac reușit ar fi putut bloca unitățile medicale din punct de vedere informatic, făcându-i pe furnizorii de servicii medicale să se rezume la hârtie și pix pentru a actualiza datele pacienților și diminuându-le capacitatea de a acorda îngrijiri medicale vitale în situații de urgență sau de triaj în masă. Pe termen lung, un cod rău intenționat amplasat pentru a oferi vizibilitate în întreaga rețea ar fi putut fi utilizat pentru un eveniment ransomware mai amplu, cu scopul de a provoca perturbări suplimentare. Un astfel de caz ar fi putut constitui o portiță pentru furtul de date și extorcare.

Pe măsură ce marile evenimente globale continuă să fie ținte dezirabile pentru actorii de amenințare, există o varietate de motivații din partea statelor care par dispuse să absoarbă daunele colaterale ale atacurilor dacă acestea favorizează interese geopolitice extinse. În plus, grupările de infractori cibernetici care doresc să profite de oportunitățile financiare vaste din mediile IT asociate cu sălile de sport și de spectacole vor continua să le considere ținte dezirabile.

Recomandări

  • Consolidați echipa SOC: Asigurați-vă că aveți o echipă suplimentară care să monitorizeze evenimentul în permanență pentru a detecta proactiv amenințările și a trimite notificări. Acest lucru ajută la corelarea mai multor date de căutare activă și la descoperirea primelor semne de intruziune. Aceasta ar trebui să includă amenințări dincolo de punctele finale, cum ar fi compromiterea identității sau pivotarea de la dispozitiv la cloud.
  • Efectuați o evaluare focalizată a riscurilor cibernetice: Identificați amenințările potențiale specifice evenimentului, locației sau statului în care are loc evenimentul. Această evaluare ar trebui să includă furnizorii, profesioniștii IT ai echipei și ai locației, sponsorii și principalele părți interesate din cadrul evenimentului.
  • Considerați accesul cu privilegii minime ca fiind cea mai bună practică: Acordați accesul la sisteme și servicii numai celor care au nevoie de el și instruiți personalul pentru a înțelege nivelurile de acces.

Suprafețele de atac vaste necesită o planificare și supraveghere suplimentară

În cazul evenimentelor precum Cupa Mondială™, Jocurile Olimpice și al evenimentelor sportive în general, riscurile cibernetice cunoscute apar în moduri unice, adesea mai puțin perceptibile decât în alte medii de întreprindere. Aceste evenimente pot avea loc rapid, noii parteneri și furnizori obținând acces la rețelele întreprinderii și la rețelele comune pentru o anumită perioadă de timp. Caracterul contextual al conectivității la unele evenimente poate îngreuna dezvoltarea vizibilității și a controlului dispozitivelor și a fluxurilor de date. De asemenea, se creează un fals sentiment de siguranță, conform căruia conexiunile „temporare” prezintă un risc mai mic.

Sistemele dedicate evenimentelor pot include prezența pe web și pe rețelele de socializare a echipei sau a locației, platformele de înregistrare sau de emitere a biletelor, sistemele de cronometrare și de notare a meciurilor, logistica, managementul medical și urmărirea pacienților, urmărirea incidentelor, sistemele de notificare în masă și signajul electronic.

Organizațiile sportive, sponsorii, gazdele și locațiile trebuie să colaboreze cu aceste sisteme și să dezvolte experiențe cibernetice inteligente pentru fani. În plus, numărul mare de participanți și de angajați care aduc cu ei date și informații prin intermediul propriilor dispozitive crește suprafața de atac.

Patru riscuri cibernetice pentru evenimentele de amploare

  • Dezactivați toate porturile inutile și asigurați o scanare adecvată a rețelei pentru a detecta punctele de acces wireless frauduloase sau ad-hoc. Actualizați, aplicați patch-uri la software și optați pentru aplicații cu un strat de criptare pentru toate datele.
  • Încurajați participanții (1) să-și securizeze aplicațiile și dispozitivele cu cele mai recente actualizări și patch-uri, (2) să evite accesarea de informații confidențiale de pe rețele Wi-Fi publice, (3) să evite linkurile, atașamentele și codurile QR din surse neoficiale.
  • Asigurați-vă că dispozitivele POS sunt echipate cu patch-uri, actualizate și conectate la o rețea separată. De asemenea, participanții trebuie să fie precauți cu privire la chioșcurile și bancomatele necunoscute și să limiteze tranzacțiile la zonele aprobate oficial de gazda evenimentului
  • Elaborați segmentări logice ale rețelei pentru a crea diviziuni între sistemele IT și OT și limitați accesul între dispozitive și date pentru a atenua consecințele unui atac cibernetic.

Furnizându-le echipelor de securitate informațiile de care au nevoie în avans, inclusiv serviciile esențiale care trebuie să rămână funcționale în timpul evenimentului, le veți facilita elaborarea planurilor de răspuns. Acest lucru este esențial în mediile IT și OT care susțin infrastructura locației și pentru a menține siguranța fizică a participanților. În mod ideal, organizațiile și echipele de securitate ar putea să-și configureze sistemele înaintea evenimentului pentru a finaliza testarea, pentru a realiza un instantaneu al sistemului și al dispozitivelor și pentru a le pune la dispoziția echipelor IT pentru a le reimplementa rapid atunci când este necesar. Aceste eforturi contribuie în mare măsură la descurajarea adversarilor care doresc să profite de rețelele ad-hoc prost configurate în mediile de mare interes și cu numeroase ținte din cadrul evenimente sportive de amploare.

În plus, o persoană din sală ar trebui să ia în considerare riscul de confidențialitate și să analizeze dacă configurațiile adaugă noi riscuri sau vulnerabilități pentru datele personale ale participanților sau pentru datele proprietare ale echipelor. Această persoană poate implementa practici simple de inteligență cibernetică pentru fani, îndrumându-i, de exemplu, să scaneze numai codurile QR cu un logo oficial, să manifeste o atitudine critică față de SMS-urile sau solicitările prin mesaje text la care nu s-au înscris și să evite utilizarea Wi-Fi-ului public gratuit.

Toate aceste politici pot ajuta publicul să înțeleagă mai bine riscurile cibernetice la evenimentele de amploare, precum și expunerea acestora la colectarea și furtul de date. Cunoașterea practicilor sigure îi poate ajuta pe fani și pe participanți sa nu devină victimele unor atacuri de inginerie socială, pe care infractorii cibernetici le pot lansa după ce au reușit să se infiltreze în rețelele exploatate ale locațiilor și evenimentelor.

Pe lângă recomandările de mai jos, Centrul Național pentru Securitatea și Siguranța Spectatorilor la Evenimente Sportive oferă următoarele considerații privind dispozitivele conectate și securitatea integrată pentru locațiile mari.

Recomandări

  • Acordați o importanță prioritară punerii în aplicare a unui cadru de securitate cuprinzător, pe mai multe niveluri: Aceasta include implementarea de firewalluri, sisteme de detectare și prevenire a intruziunilor și protocoale puternice de criptare pentru a consolida rețeaua împotriva accesului neautorizat și a breșelor în date.
  • Programe de conștientizare și instruire a utilizatorilor: Educați angajații și părțile interesate cu privire la cele mai bune practici în materie de securitate cibernetică, cum ar fi recunoașterea e-mailurilor de phishing, utilizarea autentificării multifactor sau a protecției fără parolă și evitarea linkurilor sau descărcărilor suspecte.
  • Asociați-vă cu firme de securitate cibernetică de renume: Monitorizați în permanență traficul de rețea, detectați potențialele amenințări în timp real și răspundeți rapid la orice incident de securitate. Efectuați periodic audituri de securitate și evaluări ale vulnerabilităților pentru a identifica și remedia orice deficiențe din cadrul infrastructurii de rețea.

Obțineți mai multe detalii privind provocările frecvente în materie de securitate de la Justin Turner, manager Principal Group, Cercetare Microsoft Security.

Datele instantanee reprezintă numărul total de entități și evenimente monitorizate în permanență între 10 noiembrie și 20 decembrie 2022. Acestea includ organizații implicate direct sau afiliate la infrastructura turneului. Activitatea include căutări proactive de amenințări realizate de oameni pentru a identifica amenințările emergente și pentru a urmări campaniile majore.

Detalii cheie:
 

45 de organizații protejate                                 100.000 de puncte finale protejate

 

144.000 de identități protejate                               14,6 milioane de fluxuri de e-mail

 

634,6 de încercări de autentificare                4,35 miliarde de conexiuni la rețea

Metodologie: Pentru datele instantanee, platformele și serviciile Microsoft, inclusiv Detectare și răspuns extinse Microsoft, Microsoft Defender, Experți Defender pentru căutare activă și Azure Active Directory, au furnizat date anonimizate privind activitatea de amenințare, cum ar fi conturile de e-mail rău intenționate, e-mailurile de phishing și mișcările atacatorilor în rețele. Detaliile suplimentare provin din cele 65 de trilioane de semnale de securitate zilnice obținute în cadrul Microsoft, inclusiv din cloud, puncte finale, marginea inteligentă, precum și din practicile noastre de recuperare a securității în caz de compromitere și din echipele de detectare și intervenție. Coperta nu înfățișează un meci de fotbal real, un turneu sau un sport individual. Toate organizațiile sportive la care se face referire sunt mărci comerciale deținute individual.

Articole asociate

Sfaturile experților cu privire la cele mai persistente trei provocări din domeniul securității cibernetice

Managerul Principal Group, Justin Turner, Cercetarea Microsoft Security, descrie cele trei provocări constante pe care le-a întâlnit de-a lungul carierei sale în domeniul securității cibernetice: gestionarea configurației, corectarea și vizibilitatea dispozitivelor.
Aflați mai multe

O creștere de 61% a atacurilor de phishing. Cunoașteți-vă suprafața de atac modernă

Pentru a gestiona o suprafață de atac din ce în ce mai complexă, organizațiile trebuie să-și dezvolte o postură de securitate cuprinzătoare. Având în vedere șase suprafețe de atac esențiale, acest raport vă va arăta modul în care o investigare a amenințărilor adecvată poate contribui la echilibrarea situației în favoarea apărătorilor.
Aflați mai multe

Convergența dintre IT și OT

Circulația tot mai intensă a IoT pune în pericol sistemele OT, cu o serie de vulnerabilități potențiale și expunerea la actorii de amenințare. Aflați cum vă puteți proteja organizația.
Aflați mai multe

Urmăriți Microsoft Security