Trace Id is missing

Cyberhot riktas i allt högre grad mot världens största evenemang

Ladda ned
Dela
En illustration av en fotbollsarena med många olika ikoner.

Cyber Signals, 5:e utgåvan: Lägesrapport

Hotaktörer följer målen och tar vara på alla möjligheter genom att inleda riktade eller utbredda, opportunistiska attacker. Detta gäller också för uppmärksammade idrottsevenemang, särskilt de i alltmer uppkopplade miljöer, vilket medför cyberrisker för arrangörer, regionala värdanläggningar och besökare. Enligt Storbritanniens National Cyber Security Centre (NCSC) har cyberattacker mot idrottsorganisationer blivit allt vanligare. 70 procent av de tillfrågade upplever minst en attack per år, en mycket högre andel än genomsnittet för alla företag i Storbritannien.

Förväntningar på att leverera en smidig och säker upplevelse på den globala arenan sätter mer på spel för lokala värdar och anläggningar. En enda felkonfigurerad enhet, ett komprometterat lösenord eller en förbisedd anslutning från tredje part kan leda till en dataläcka eller framgångsrikt intrång.

Microsoft levererade cybersäkerhetsstöd till kritiska infrastrukturanläggningar när Qatar var värd för FIFA World Cup 2022TM. I den här utgåvan får du förstahandsinformation om hur hotaktörer bedömer och infiltrerar miljöer som arenorna, teamen och den kritiska infrastrukturen kring själva evenemanget.

Vi är alla cybersäkerhetsförsvarare.

Microsoft utförde över 634,6 miljoner autentiseringar och tillhandahöll samtidigt cybersäkerhetsförsvar för de qatariska anläggningarna och organisationerna mellan 10 november och 20 december 2022.

Opportunistiska hotaktörer utnyttjar en miljö med många mål

Cybersäkerhetshot mot idrottsevenemang och arenor är mångfaldiga och komplexa. De kräver ständig vaksamhet och samarbete mellan intressenter för att förhindra och undvika upptrappning. Den globala sportmarknaden, som värderas till mer än 600 miljarder USD, är ett attraktivt mål. Idrottslag, stora ligor och internationella idrottsförbund och arenor har en guldgruva av information som cyberbrottslingarna vill åt.

Information om idrottsprestationer, konkurrensfördelar och personlig information är ett lukrativt mål. Tyvärr kan denna information vara sårbar i stor skala, på grund av antalet anslutna enheter och sammankopplade nätverk i dessa miljöer. Denna säkerhetsrisk involverar ofta flera ägare, som team, företagssponsorer, kommunala myndigheter och tredjepartsleverantörer. Tränare, idrottare och supportrar kan också vara sårbara för dataläckor och utpressning.

Dessutom har lokaler och arenor många kända och okända sårbarheter som möjliggör hot mot verksamhetskritiska tjänster som försäljningsställen, IT-infrastruktur och besöksenheter. Varje högprofilerat sportevenemang har sin egen cyberriskprofil, som varierar beroende på faktorer som plats, deltagare, storlek och sammansättning.

För att fokusera insatserna under Qatars värdskap för världsmästerskapet, genomförde vi en proaktiv hotjakt med riskbedömning med hjälp av Defender jaktexperter, en hanterad hotjakttjänst som proaktivt söker efter hot i slutpunkter, e-postsystem, digitala identiteter och molnappar. Bland faktorerna ingick i det här fallet till exempel hotaktörernas motivation, profilutveckling och en åtgärdsstrategi. Vi tog också i beaktande global hotinformation om geopolitiskt motiverade hotaktörer och cyberkriminella.

Risken för att evenemangsrelaterade tjänster eller lokala anläggningar skulle påverkas av cyberattacker var ett av de största orosmomenten. Störningar som utpressningstrojaner och försök att stjäla data kunde ha en negativ påverkan på evenemangsupplevelsen och rutinåtgärderna.

Tidslinje för offentligt rapporterade incidenter från 2018 till 2023

  • I januari 2023 varnar National Basketball Association fans för ett dataintrång som har läckt deras personliga uppgifter från en nyhetsbrevstjänst från tredje part.1
  • I november 2022 bekräftade Manchester United att klubben drabbats av en cyberattack på sina system.2
  • I februari 2022 utsattes San Francisco 49ers för en stor utpressningstrojanattack på Super Bowl Sunday.3
  • I april 2021 hävdar en utpressningstrojangrupp att de har stulit 500 gigabyte av Rockets data, däribland kontrakt, sekretessavtal och finansiella data. Interna säkerhetsverktyg förhindrade att utpressningstrojaner installerades förutom på ett fåtal system.4
  • I oktober 2021 åtalades en man från Minnesota för att ha hackat Major League Baseballs datorsystem och försökt pressa ligan på 150 000 USD.5
  • Vinter-OS 2018 i Pyeongchang utsattes för ett stort antal attacker. Ryska hackare utförde attacker mot olympiska nätverk före öppningsceremonin.6

Hotjaktteamet använde en djupgående försvarsmetod för att granska och skydda kundernas enheter och nätverk. Ett annat fokus var att övervaka beteendet hos identiteter, inloggningar och filåtkomst. Skyddet omfattade en mängd olika sektorer, bland annat kunder inom transport, telekommunikation, hälsovård och andra viktiga funktioner.

Det totala antalet enheter och system som övervakades dygnet runt med mänskligt driven hotjakt och åtgärdsstöd uppgick till mer än 100 000 slutpunkter, 144 000 identiteter, mer än 14,6 miljoner e-postflöden, över 634,6 miljoner autentiseringar och flera miljarder nätverksanslutningar.

Till exempel utsågs vissa vårdinrättningar som akutmottagningar för evenemanget, till exempel sjukhus som tillhandahöll avgörande stöd och vård för fans och spelare. Eftersom vårdinrättningar har medicinska uppgifter utgör de värdefulla mål. Microsofts maskin- och människodrivna hotjakt utnyttjade hotinformation för att söka igenom signaler, isolera infekterade tillgångar och avbryta attacker på dessa nätverk. Med hjälp av en kombination av Microsoft Security-teknik upptäckte teamet tidig aktivitet på utpressningstrojaner som hade sjukvårdsnätverket mål och kunde sätta dem i karantän. Flera misslyckade inloggningsförsök loggades och vidare aktivitet blockerades.

Vikten av hälso- och sjukvård innebär att enheter och system måste upprätthålla topprestanda hela tiden. Sjukhus och vårdinrättningar står inför den svåra uppgiften att säkerställa tillgången till sina tjänster samtidigt som de upprätthåller en felfri cybersäkerhet. På kort sikt skulle en framgångsrik attack ha förlamat vårdanläggningar ur ett data- och IT-perspektiv, vilket hade tvingat vårdpersonal att förlita sig på penna och papper för att uppdatera patientinformation och försvagat deras förmåga att ge livräddande medicinsk vård vid nödsituationer eller större händelser. På lång sikt skulle skadlig kod som planterats för att ge synlighet i ett helt nätverk kunna användas för en större attack med målet att orsaka ännu mer omfattande störningar. Ett sådant fall kunde ha öppnat dörren för datastöld och utpressning.

Stora globala händelser fortsätter att vara önskvärda mål för hotaktörer, och en mängd olika motiv driver nationalstater som verkar vara villiga att acceptera bieffekterna från attacker om bredare geopolitiska intressen står på spel. Dessutom kommer cyberkriminella grupper som vill utnyttja de enorma ekonomiska möjligheter som finns i sport- och arenarelaterade IT-miljöer att fortsätta att se dessa som värdefulla mål.

Rekommendationer

  • Förstärk SOC-teamet: Se till att ha fler personer som övervakar evenemanget dygnet runt för att proaktivt upptäcka hot och skicka varningar. Detta hjälper till att korrelera mer jaktdata och upptäcka tidiga tecken på intrång. Det bör omfatta hot utanför slutpunkterna, som identitetskompromettering eller övergången från enheter till molnet.
  • Genomför en fokuserad utvärdering av cyberriskerna: Identifiera potentiella hot som är specifika för evenemanget, platsen eller landet där evenemanget hålls. Denna bedömning bör omfatta leverantörer, IT-experter för team och arenor, sponsorer och viktiga evenemangsintressenter.
  • Överväg minst privilegierad åtkomst som bästa metod: Ge åtkomst till system och tjänster endast till dem som behöver det, och utbilda personalen om åtkomstlager.

Stora attackytor kräver ytterligare planering och tillsyn

Under evenemang som fotbolls-VM, OS och sportevenemang i allmänhet dyker kända cyberrisker upp på unika sätt, ofta mindre märkbart än i andra verksamhetsmiljöer. Dessa evenemang kan organiseras snabbt, och nya partners och leverantörer får tillgång till företagsnätverk och delade nätverk under en begränsad tid. Den tillfälliga karaktären hos anslutningarna i vissa av dessa evenemang gör det svårt att utveckla synlighet och kontroll över enheter och dataflöde. ”Tillfälliga” anslutningar kan också tyckas vara av lägre risk och ge en falsk känsla av säkerhet.

Evenemangssystemen kan omfatta teamets eller arenans närvaro på webben och sociala medier, registrerings- eller biljettplattformar, system för speltid och poängsättning, logistik, medicinsk administration och patientövervakning, incidentspårning, system för massutskick av meddelanden och digital skyltning.

Idrottsorganisationer, sponsorer, värdar och arenor måste samarbeta kring dessa system och utveckla cybersmarta supporterupplevelser. Dessutom ökar den enorma mängden besökare och personal som tar med sig data och information via sina egna enheter attackytan.

Fyra cyberrisker för stora evenemang

  • Inaktivera alla onödiga portar och se till att nätverket genomsöks noggrant efter obehöriga uppdateringar eller ad hoc-uppdateringar av trådlösa åtkomstpunkter, korrigera programvara och välj program med ett lager av kryptering för alla data.
  • Uppmuntra besökare att (1) skydda sina appar och enheter med de senaste uppdateringarna och korrigeringarna, (2) undvika att komma åt känslig information via offentligt Wi-Fi och (3) undvika länkar, bilagor och QR-koder från inofficiella källor.
  • Se till att POS-enheter har de senaste korrigeringarna, är uppdaterade och anslutna till ett separat nätverk. Dessutom bör besökare akta sig för okända kiosker och uttagsautomater och begränsa transaktioner till områden som är officiellt godkända av evenemangsvärden
  • Utveckla logisk nätverkssegmentering för att separera IT- och OT-system, och begränsa korsåtkomst till enheter och data för att minska konsekvenserna av en cyberattack.

När säkerhetsteam får den information de behöver i förväg, till exempel viktiga tjänster som måste fortsätta fungera under en incident, kan åtgärdsplanerna utvecklas bättre. Detta är väsentligt i IT- och OT-miljöer som stöder lokalinfrastruktur och för att upprätthålla deltagarnas fysiska säkerhet. Under idealiska förhållanden skulle organisationer och säkerhetsteam kunna konfigurera sina system före evenemanget för att slutföra testning, ta ögonblicksbilder av systemet och enheterna och göra dem lätt tillgängliga för IT-team för att snabbt kunna omdistribuera vid behov. Dessa åtgärder räcker långt för att förhindra angripare från att utnyttja dåligt konfigurerade ad hoc-nätverk i de eftertraktade och lukrativa miljöerna för stora sportevenemang.

Dessutom bör någon bedöma integritetsrisker och om vissa konfigurationer innebär nya risker eller sårbarheter för deltagarnas personliga information eller teamdata. Den här personen kan implementera enkla cybersmarta metoder för fans, som att råda dem att endast skanna QR-koder med officiella logotyper, vara kritiska mot meddelanden eller SMS som de inte har registrerat sig för och undvika att använda gratis offentligt Wi-Fi.

Dessa policyer och andra kan hjälpa allmänheten att bättre förstå cyberrisken vid stora evenemang och deras exponering för datainsamling och stöld. Kunskap om säkra metoder kan skydda supportrar och besökare från att falla offer för sociala manipuleringsattacker som cyberbrottslingar kan utföra efter att ha fått tillgång till komprometterade nätverk för arenor och evenemang.

Utöver rekommendationerna nedan erbjuder National Center for Spectator Sports Safety and Security dessa överväganden för anslutna enheter och integrerad säkerhet för stora arenor.

Rekommendationer

  • Prioritera implementeringen av ett omfattande säkerhetsramverk med flera lager: Detta omfattar distribuering av brandväggar, intrångsidentifiering och skyddssystem samt starka krypteringsprotokoll för att stärka nätverket mot obehörig åtkomst och dataläckor.
  • Användarmedvetenhet och utbildningsprogram: Utbilda medarbetare och intressenter om bästa metoder för cybersäkerhet, som att känna igen nätfiske i e-post, använda multifaktorautentisering eller lösenordsfritt skydd och undvika misstänkta länkar eller nedladdningar.
  • Samarbeta med betrodda cybersäkerhetsföretag: Övervaka kontinuerligt nätverkstrafik, upptäck potentiella hot i realtid och reagera snabbt på eventuella säkerhetsincidenter. Genomför regelbundna säkerhetsgranskningar och utvärderingar av säkerhetsrisker för att identifiera och åtgärda eventuella svagheter i nätverksinfrastrukturen.

Få en inblick i vanliga säkerhetsutmaningar från Principal Group Manager Justin Turner, Microsoft Security Research.

Ögonblicksbildsdata representerar det totala antalet enheter och evenemang som övervakades dygnet runt mellan 10 november och 20 december 2022. Detta omfattar organisationer som antingen är direkt involverade i eller associerade med turneringsinfrastrukturen. Aktiviteten omfattar proaktiv hotjakt som drivs av människor för att identifiera nya hot och spåra anmärkningsvärda kampanjer.

Viktiga resultat:
 

45 organisationer skyddades                                 100 000 slutpunkter skyddades

 

144 000 identiteter skyddades                               14,6 miljoner e-postflöden

 

634,6 miljoner autentiseringsförsök                4,35 miljarder nätverksanslutningar

Metodik: För ögonblicksbildsdata tillhandahöll Microsofts plattformar och tjänster, bland annat Microsofts utökade identifiering och svar, Microsoft Defender, Defender jaktexperter och Azure Active Directory, anonymiserade data om hotaktivitet, till exempel skadliga e-postkonton, nätfiske i e-post och angripares rörelser inom nätverk. Ytterligare insikter kommer från de 65 biljoner säkerhetssignaler som tas emot i hela Microsoft varje dag, bland annat från molnet, slutpunkter, den intelligenta nätverksgränsen och våra Security Recovery Practice- och Detection and Response-team. Omslagsbilden visar inte en riktig fotbollsmatch, turnering eller individuell sport. Alla sportorganisationer som nämnts är individuellt ägda varumärken.

Relaterade artiklar

Expertråd om cybersäkerhetens tre mest ihållande utmaningar

Principal Group Manager Justin Turner, Microsoft Security Research, beskriver de tre bestående utmaningar han har sett under sin cybersäkerhetskarriär: konfigurationshantering, korrigering och enhetssynlighet.
Mer information

61 % ökning av nätfiskeattacker. Lär känna din moderna attackyta

Organisationer måste utveckla en heltäckande säkerhetsstatus om de ska kunna hantera en alltmer komplex attackyta. Den här rapporten innehåller sex viktiga attackytor så att du kan se hur rätt hotinformation kan ge försvararna en fördel.
Mer information

IT- och OT-konvergens

Den ökande mängden IoT i omlopp medför ökad risk för driftteknik med en rad potentiella sårbarheter och exponering för hotaktörer. Ta reda på hur du skyddar din organisation.
Mer information

Följ Microsoft Security