Trace Id is missing

Siber tehditler, dünyanın en büyük etkinlik sahnelerini giderek daha fazla hedef alıyor

İndir
Paylaş
Çok sayıda farklı simgenin bulunduğu bir futbol stadyumu illüstrasyonu.

Siber Sinyaller Sayı 5: Oyun durumu

Hedef neredeyse tehdit aktörleri de oradadır ve belirli bir hedefe ya da genele yönelik olması fark etmeksizin tüm saldırı fırsatlarını değerlendirirler. Bu durum, özellikle giderek daha bağlantılı hale gelen ortamlardaki yüksek profilli spor etkinliklerini de kapsamakta ve organizatörler, ev sahipliği yapan bölgesel tesisler ve katılımcılar için siber risk oluşturmaktadır. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), katılanların yüzde 70'inin yılda en az bir saldırıya maruz kaldığını gösteren anketle spor kuruluşlarına yönelik siber saldırıların giderek yaygınlaştığını tespit etti. Bu oran, Birleşik Krallık'taki işletmelerin ortalamasından önemli ölçüde daha yüksek.

Tüm dünyaya sorunsuz ve güvenli bir deneyim sunma baskısı, yerel ev sahipleri ve tesisler için yeni riskleri beraberinde getirmektedir. Tek bir yanlış yapılandırılmış cihaz, ifşa olmuş parola veya gözden kaçan üçüncü taraf bağlantısı, bir veri ihlaline veya başarılı bir izinsiz girişe yol açabilir.

Microsoft, Katar Devleti'nin ev sahipliği yaptığı 2022TM FIFA Dünya Kupası sırasında kritik altyapı tesislerine siber güvenlik desteği sağladı. Bu sayıda, tehdit aktörlerinin bu ortamları mekanlar, ekipler ve etkinlik çevresindeki kritik altyapılar genelinde nasıl değerlendirdiği ve bu ortamlara nasıl sızdığı hakkında ilk elden bilgiler sunuyoruz.

Hepimiz siber güvenlik savunucularıyız.

Microsoft, 10 Kasım - 20 Aralık 2022 tarihleri arasında Katar tesisleri ve kuruluşları için siber güvenlik savunması sağlarken 634,6 milyondan fazla kimlik doğrulaması gerçekleştirdi.

Fırsatçı tehdit aktörleri, hedef açısından zengin ortamlardan yararlanıyor

Spor etkinlikleri ve mekanlarına yönelik siber güvenlik tehditleri oldukça çeşitli ve karmaşıktır. Bu tehditlerin önlenmesi ve artma riskinin azaltılması için daima ihtiyatlı olmak ve paydaşlar arası işbirliği sağlamak gerekir. Küresel spor pazarının değeri 600 milyar ABD Dolarını aştığı için hedef oldukça büyük. Spor takımları, büyük ligler, global spor birlikleri ve eğlence mekanları, siber suçlular için oldukça cazip, değerli bir bilgi hazinesine sahiptir.

Atletik performans ve rekabet avantajı hakkındaki bilgiler ve kişisel veriler, oldukça kazançlı bir hedeftir. Ne yazık ki bu bilgiler, bu ortamlardaki bağlı cihaz ve birbirine bağlı ağların sayısı nedeniyle büyük ölçüde savunmasız olabilir. Genellikle bu güvenlik açığı; takımlar, kurumsal sponsorlar, belediye yetkilileri ve üçüncü taraf yükleniciler de dahil olmak üzere çok sayıda farklı zümreyi etkiler. Antrenörler, sporcular ve taraftarlar da veri kaybı ve şantaja karşı savunmasız olabilir.

Ayrıca mekanlar ve arenalarda da tehditlerin; satış noktası cihazları, BT altyapıları ve ziyaretçi cihazları gibi kritik iş hizmetlerini hedef almasına olanak tanıyan, bilinen ve bilinmeyen birçok güvenlik açığı bulunur. Konum, katılımcılar, büyüklük ve nitelik gibi faktörlere bağlı olarak değişen siber risk profili, her yüksek profilli spor etkinliğinde farklıdır.

Katar'ın Dünya Kupası'na ev sahipliği yaptığı dönemde çabalarımıza odaklanmak için uç noktalar, e-posta sistemleri, dijital kimlikler ve bulut uygulamaları genelinde, tehditleri proaktif olarak arayan, yönetilen bir tehdit avlama hizmeti olan Tehdit Avcılığı için Defender Uzmanları’nı kullanarak riskleri değerlendirdiğimiz, proaktif bir tehdit avcılığı gerçekleştirdik. Bu örnekte, faktörler arasında tehdit aktörünün motivasyonu, profil geliştirme ve müdahale stratejisi vardı. Ayrıca jeopolitik olarak motive olmuş tehdit aktörleri ve siber suçlular hakkındaki global tehdit analizlerini de değerlendirdik.

Akla gelen ilk endişeler arasında etkinlik hizmetlerinin veya yerel tesislerin siber olarak kesintiye uğraması riski vardı. Fidye yazılımı saldırıları ve veri çalma çabaları gibi aksaklıklar da etkinlik deneyimini ve rutin operasyonları olumsuz etkileyebilirdi.

2018-2023 yılları arasında kamuya bildirilen olayların zaman çizelgesi

  • Ocak 2023 Ulusal Basketbol Birliği, taraftarlarını, kişisel bilgilerinin üçüncü taraf bir haber bülteni hizmetinden sızdırıldığı bir veri ihlali konusunda uyarır.1
  • Kasım 2022 Manchester United, kulübün sistemlerine siber saldırı düzenlendiğini doğruladı.2
  • Şubat 2022 San Francisco 49ers, Super Bowl Pazar günü büyük bir fidye yazılımı saldırısına uğradı.3
  • Nisan 2021 bir fidye yazılım grubu; Rockets'ın sözleşmeler, gizlilik anlaşmaları ve finansal veriler de dahil olmak üzere 500 gigabaytlık verisini çaldığını iddia etti. İç güvenlik araçları, birkaç sistem dışında fidye yazılımlarının yüklenmesini engelledi.4
  • Ekim 2021'de Minnesota'lı bir adam, Ulusal Beyzbol Ligi’nin bilgisayar sistemlerini ele geçirmek ve ligden şantajla 150.000 USD almaya çalışmakla suçlandı.5
  • 2018 Pyeongchang'da düzenlenen Kış Olimpiyatları yüksek düzeyde saldırılara sahne oldu. Rus bilgisayar korsanları, açılış töreninden önce Olimpiyat ağlarına saldırılar düzenledi.6

Tehdit avlama ekibi, müşteri cihazlarını ve ağlarını incelemek ve korumak için derinlemesine savunma felsefesi ile çalıştı. Bir başka odak noktası da kimlik, oturum açma işlemleri ve dosya erişimi davranışlarını izlemekti. Yapılan çalışmalar; ulaşım, telekomünikasyon, sağlık hizmetleri ve diğer temel işlevlerde yer alan müşteriler de dahil olmak üzere çeşitli sektörleri kapsıyordu.

İnsan liderliğindeki tehdit avcılığı ve yanıt desteği ile yedi gün yirmi dört saat izlenen varlık ve sistemlere toplamda 100.000'den fazla uç nokta, 144.000 kimlik, 14,6 milyondan fazla e-posta akışı, 634,6 milyondan fazla kimlik doğrulaması ve milyarlarca ağ bağlantısı dahildi.

Örnek olarak, taraftarlar ve oyuncular için kritik destek ve sağlık hizmetleri sunan hastaneler de dahil olmak üzere bazı sağlık tesisleri, etkinlik için acil bakım birimleri olarak belirlenmişti. Sağlık tesisleri, tıbbi verilere sahip oldukları için yüksek değerli hedeflerdi. Microsoft, makine ve insan destekli tehdit avcılığı etkinliklerinde sinyalleri taramak, virüs bulaşmış varlıkları izole etmek ve bu ağlardaki saldırıları engellemek için tehdit analizinden yararlandı. Ekip, Microsoft Güvenlik teknolojisinin bir kombinasyonuyla, sağlık hizmetleri ağını hedef alan fidye yazılımı öncesi etkinliği tespit etti ve karantinaya aldı. Birden fazla başarısız oturum açma girişimi kaydedildi ve daha fazla etkinlik gerçekleştirmeleri engellendi.

Sağlık hizmetlerinin aciliyeti, cihazların ve sistemlerin en üst düzeyde performans göstermesini gerektirir. Hastaneler ve sağlık tesisleri, sağlıklı bir siber güvenlik duruşunu korurken hizmet kullanılabilirliğini de sürdürmek gibi zorlu bir görevle karşı karşıyadır. Başarılı bir saldırı kısa vadede tıbbi tesisleri veri ve BT bakımından hareket edemez hale getirerek tıbbi sağlayıcıları, hasta verilerini güncellemek için kalem ve kağıt kullanmaya mahkum edebilir ve acil bir durumda veya toplu triyaj durumunda hayat kurtaran tıbbi bakım gerçekleştirme yeteneklerini zayıflatabilirdi. Uzun vadede ise bir ağda görünürlük sağlamak için yerleştirilen kötü amaçlı kod, daha fazla kesintiye yol açmak amacıyla daha geniş bir fidye yazılımı olayı için kullanılabilirdi. Böyle bir durum da veri hırsızlığına ve şantaja kapı açmış olurdu.

Büyük global etkinlikler, tehdit aktörleri için cazip hedefler olmaya devam ederken daha geniş jeopolitik çıkarları desteklemesi halinde, saldırılardan kaynaklanan ikincil zararı kabullenmeye istekli görünen ulus devletlerin  çeşitli motivasyonları vardır. Ayrıca spor ve mekanlarla ilgili BT ortamlarında var olan büyük finansal fırsatlardan yararlanmak isteyen siber suç grupları da bunları cazip hedefler olarak görmeye devam edecektir.

Öneriler

  • SOC ekibini güçlendirin: Tehditleri proaktif olarak tespit etmek ve bildirimler göndermek için etkinliği günün her saati izleyen ek bir personele sahip olun. Bu, daha fazla avlanma verisinin ilişkilendirilmesine ve izinsiz girişin erken belirtilerinin fark edilmesine yardımcı olur. Bu kapsama kimlik güvenliğinin ihmal edilmesi veya cihazdan buluta pivot gibi, uç noktanın ötesindeki tehditler de dahil edilmelidir.
  • Odaklanmış bir siber risk değerlendirmesi yapın: Etkinliğe, etkinliğin gerçekleştiği mekana veya ülkeye özgü potansiyel tehditleri belirleyin. Bu değerlendirme; satıcıları, ekip ve mekan BT uzmanlarını, sponsorları ve kilit etkinlik paydaşlarını kapsamalıdır.
  • En düşük ayrıcalıklı erişimi, en iyi deneyim olarak kabul edin: Sistemlere ve hizmetlere erişimi yalnızca ihtiyacı olanlara verin ve personeli, erişim katmanlarını anlamaları için eğitin.

Geniş saldırı yüzeyleri, ek planlama ve gözetim gerektirir

Dünya Kupası™, Olimpiyatlar ve genel olarak spor etkinliklerde, bilinen siber riskler benzersiz şekillerde ve genellikle diğer kurumsal ortamlara göre daha az algılanacak şekilde ortaya çıkar. Bu etkinlikler hızlı bir şekilde organize edilir ve yeni ortaklar ve satıcıların, belirli bir süre için kurumsal ağlara ve paylaşılan ağlara erişim elde etmesi gerekir. Bazı etkinliklerde geçici süreli olarak ortaya çıkan bu bağlantı hali, cihazların ve veri akışlarının görünürlüğünü ve denetimini zorlaştırabilir. Ayrıca "geçici" bağlantıların daha düşük riskli olduğuna dair hatalı bir güvenlik algısını da beraberinde getirir.

Etkinlik sistemleri arasında takımın veya mekanın web ve sosyal medya varlığı, kayıt veya biletleme platformları, oyun zamanlama ve puanlama sistemleri, lojistik, tıbbi yönetim ve hasta takibi, olay takibi, toplu bildirim sistemleri ve elektronik tabelalar yer alabilir.

Spor kuruluşları, sponsorlar, ev sahipleri ve mekanlar bu sistemler üzerinde işbirliği yapmalı ve siber akıllı taraftar deneyimleri geliştirmelidir. Ayrıca kendi cihazları aracılığıyla yanlarında veri ve bilgi getiren çok sayıda katılımcı ve personel de saldırı yüzeyini artırmaktadır.

Büyük etkinliklerde ortaya çıkabilecek dört siber risk

  • Gereksiz bağlantı noktalarını devre dışı bırakın ve sahte veya geçici kablosuz erişim noktaları için uygun ağ taramasını sağlayın. Yazılımları güncelleyin, yama uygulayın ve tüm veriler için bir şifreleme katmanı olan uygulamaları tercih edin.
  • Katılımcıları (1) uygulamalarını ve cihazlarını en son güncellemeler ve yamalarla güvence altına almaya, (2) hassas bilgilere halka açık Wi-Fi'dan erişmekten kaçınmaya, (3) resmi olmayan kaynaklardan gelen bağlantılardan, eklerden ve QR kodlarından kaçınmaya teşvik edin.
  • POS cihazlarının yamalı, güncel ve ayrı bir ağa bağlı olduğundan emin olun. Ayrıca katılımcılar, bilmedikleri kiosklara ve ATM'lere dikkat etmeli ve işlemlerini etkinlik ev sahibi tarafından resmi olarak onaylanan alanlarla sınırlandırmalıdır
  • BT ve OT sistemleri arasında bölümler yaratmak için ayrı mantıksal ağ segmentleri oluşturun ve siber saldırıların sebep olabileceği riskleri azaltmak için cihazlara ve verilere çapraz erişimi sınırlayın.

Güvenlik ekiplerine, olay sırasında çalışır durumda kalması gereken kritik hizmetler de dahil olmak üzere ihtiyaç duydukları bilgileri önceden sağlamak, daha iyi yanıt planları oluşturmalarını sağlayacaktır. Mekanın altyapısını destekleyen BT ve OT ortamlarında çok önemli olan bu husus, katılımcıların fiziksel güvenliğini sağlamak için de gereklidir. İdeal olan, kuruluşların ve güvenlik ekiplerinin; testleri tamamlamak, sistemin ve cihazların anlık görüntüsünü almak ve gerektiğinde hızla yeniden dağıtılmak üzere BT ekiplerinin kullanımına hazır hale getirmek için, sistemlerini etkinlikten önce yapılandırmasıdır. Bu, saldırganların, büyük spor etkinliklerinin hedef açısından zengin olan son derece cazip ortamlarında, kötü yapılandırılmış ad hoc ağları suistimal etmesine engel olmada önemli bir rol oynar.

Ayrıca bir kişi gizlilik riskini ve yapılandırmaların, katılımcıların kişisel bilgileri veya ekiplerin özel verileri konusunda yeni riskler veya güvenlik açıkları yaratıp yaratmadığını da dikkate almalıdır. Bu kişi, taraftarları yalnızca resmi logolu QR kodlarını taramaya, kaydolmadıkları SMS veya metin taleplerine şüpheyle yaklaşmaya ve halka açık ücretsiz Wi-Fi ağlarını kullanmaktan kaçınmaya yönlendirmek gibi basit siber akıllı uygulamaları hayata geçirebilir.

Bu politikalar ve diğerleri, kamuoyunun özellikle büyük etkinliklerdeki siber riski ve veri toplama ve hırsızlığına maruz kalma olasılıklarını daha iyi anlamasına yardımcı olabilir. Güvenli uygulamaları bilmek, taraftarların ve katılımcıların; siber suçluların, ele geçirdikleri mekan ve etkinlik ağlarında kendilerine bir yer edindikten sonra yapabilecekleri sosyal mühendislik saldırılarının kurbanı olmaktan kaçınmalarına yardımcı olabilir.

Aşağıdaki tavsiyelere ek olarak, Ulusal Seyircili Sporlar Güvenlik ve Emniyet Merkezi, bağlı cihazlar ve büyük mekanlar için bütünleşik güvenlik konusunda şu hususları önermektedir.

Öneriler

  • Kapsamlı ve çok katmanlı bir güvenlik çerçevesinin uygulanmasına öncelik verin: Bu; ağı yetkisiz erişime ve veri ihlallerine karşı güçlendirmek için güvenlik duvarları, saldırı tespit ve önleme sistemleri ve güçlü şifreleme protokolleri kullanmayı kapsar.
  • Kullanıcı farkındalığı ve kullanıcı eğitimi programları: Çalışanları ve paydaşları; kimlik avı e-postalarını tanıma, çok faktörlü kimlik doğrulama veya şifresiz koruma kullanma ve şüpheli bağlantılardan veya indirmelerden kaçınma gibi siber güvenlikle ilgili en iyi uygulamalar konusunda eğitin.
  • Saygın siber güvenlik firmaları ile ortaklık kurun: Ağ trafiğini sürekli olarak izleyin, potansiyel tehditleri gerçek zamanlı olarak tespit edin ve herhangi bir güvenlik olayına hızlı bir şekilde yanıt verin. Ağ altyapısındaki zayıflıkları belirlemek ve ele almak için düzenli güvenlik denetimleri ve güvenlik açığı değerlendirmeleri gerçekleştirin.
Microsoft Güvenlik Araştırmaları Baş Grup Yöneticisi Justin Turner'dan yaygın güvenlik zorlukları hakkında daha fazla bilgi edinin.

Anlık görüntü verileri, 10 Kasım ve 20 Aralık 2022 tarihleri arasında yedi gün yirmi dört saat boyunca izlenen toplam varlık ve olay sayısını temsil etmektedir. Buna, turnuva altyapısına doğrudan dahil veya bağlı olan kuruluşlar da dahildir. Faaliyet, ortaya çıkan tehditleri belirlemek ve kayda değer girişimleri takip etmek için insan liderliğinde yapılan proaktif tehdit avlarını kapsar.

Temel İçgörüler:
 

45 kuruluş korundu                                 100,000 uç nokta korundu

 

144,000 kimlik korundu                               14.6 milyon e-posta akışı

 

634.6 milyon kimlik doğrulaması girişimi                4.35 milyar ağ bağlantısı

Metodoloji: Anlık görüntü verileri için Microsoft Genişletilmiş Algılama ve Yanıt, Microsoft Defender, Tehdit Avcılığı için Defender Uzmanları ve Azure Active Directory dahil olmak üzere Microsoft platformları ve hizmetleri, tehdit etkinliği hakkında kötü amaçlı e-posta hesapları, kimlik avı e-postaları ve ağlardaki saldırgan hareketleri gibi anonimleştirilmiş veriler sağladı. Ek içgörüler; bulut, uç noktalar, akıllı uç ve Güvenlik İhlalinden Kurtarma Uygulaması ile Algılama ve Yanıt Ekiplerimiz dahil olmak üzere, Microsoft genelinde günlük olarak alınan 65 trilyon güvenlik sinyalinden elde edilmiştir. Kapak resmi gerçek bir futbol maçını, turnuvayı veya bireysel sporu tasvir etmemektedir. Referans verilen tüm spor organizasyonları, bireysel olarak sahip olunan ticari markalardır.

İlgili makaleler

Siber güvenliğin en inatçı üç zorluğuna ilişkin uzman tavsiyesi

Microsoft Güvenlik Araştırmaları Baş Grup Yöneticisi Justin Turner, siber güvenlik kariyeri boyunca gördüğü üç değişmeyen zorluğu anlatıyor: yapılandırma yönetimi, yama ve cihaz görünürlüğü.
Daha fazla bilgi edinin

Kimlik avı saldırılarında %61 artış. Modern saldırı yüzeyinizi tanıyın

Giderek karmaşık bir hal alan saldırı yüzeyini yönetmek için kurumların kapsamlı bir güvenlik duruşu geliştirmesi gerekir. Altı önemli saldırı yüzeyi alanının ele alındığı bu rapor, doğru tehdit analizi sayesinde, oyunun nasıl savunmanın lehine çevrilebileceğini gösterir.
Daha fazla bilgi edinin

BT ve OT'nin yakınlaşması

IoT'nin artan dolaşımı, bir dizi potansiyel güvenlik açığı ve tehdit aktörlerine maruz kalma nedeni ile OT'yi riske atıyor. Kurumunuzu nasıl güvende tutabileceğinizi öğrenin.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin