Trace Id is missing
Перейти до основного
Security Insider

Дедалі частіше цілями кіберзлочинців стають найбільші світові заходи

Завантажити
Поділитися
Ілюстрація футбольного стадіону з багатьма різними піктограмами.

Cyber Signals, випуск 5: поточна ситуація в спорті

Зловмисники вибирають свої цілі так, щоб у зручний момент мати змогу здійснити точкову або широкомасштабну атаку. Ризики таких атак виникають під час проведення важливих спортивних заходів, особливо в тісно взаємопов’язаних середовищах. Під загрозою можуть опиниться організатори, місця проведення й відвідувачі. За даними Національного центру кібербезпеки Сполученого Королівства (NCSC), кібератаки на спортивні організації стають дедалі поширенішими. 70% респондентів зазнавали щонайменше однієї атаки на рік, що значно перевищує середнє значення для компаній у Сполученому Королівстві.

Прагнення провести захід без жодних проблем або загроз, коли за вами спостерігає весь світ, чинить додатковий тиск на організаторів і місця проведення. Одного неправильно налаштованого пристрою, зламаного пароля або непоміченого стороннього підключення достатньо, щоб злочинці порушили безпеку даних або вторглися в систему.

Корпорація Майкрософт надавала підтримку в галузі кібербезпеки для критичної інфраструктури стадіонів під час проведення Чемпіонату світу FIFA в Катарі у 2022 роціTM. Опираючись на власний досвід, у цьому випуску ми хочемо розповісти, як джерелам загроз удається проникати в системи, пов’язані з місцем проведення, командами й критичною інфраструктурою в межах заходу.

Ми всі стоїмо на варті кібербезпеки.

Фахівці корпорації Майкрософт виконали понад 634,6 мільйона автентифікацій в межах кіберзахисту місць проведення й організацій у Катарі з 10 листопада до 20 грудня 2022 року.

Зловмисники, які користуються зручним моментом, експлуатують середовища з великою кількістю цілей

Кіберзагрози, пов’язані зі спортивними подіями й місцями їх проведення, є складними та різноманітними. Щоб запобігати їм і не допускати ескалації, потрібна постійна пильність та взаємодія зацікавлених осіб. Глобальний спортивний ринок оцінюють на суму понад 600 мільярдів доларів США, тому зловмисники часто обирають його як ціль. Зі спортивними командами, вищими лігами, глобальними спортивними асоціаціями й місцями проведення спортивних заходів пов’язані цінні відомості, які прагнуть роздобути кіберзлочинці.

Це, наприклад, інформація про спортивні показники, конкурентні переваги й персональні дані. На жаль, ці відомості можуть бути вразливими в більших масштабах, особливо з огляду на велику кількість підключених пристроїв і мереж у подібних середовищах. Часто ці вразливості поширюються на кількох власників даних, зокрема команди, корпоративних спонсорів, муніципальну владу й сторонніх підрядників. Тренери, спортсмени й фанати також можуть стати жертвою втрати даних і подальшого вимагання.

Крім того, зі спортивними стадіонами й аренами пов’язано безліч відомих і невідомих вразливостей, через які зловмисники можуть націлюватися на критичні бізнес‑служби, наприклад платіжні термінали, елементи IT‑інфраструктури й пристрої відвідувачів. Профілі кіберзагроз для важливих спортивних подій відрізняються залежно від таких чинників, як розташування, учасники, розмір і склад.

Під час Чемпіонату світу в Катарі ми застосували проактивне відстеження загроз, а саме керовану службу Відсіювання загроз у Defender, яка шукає загрози на кінцевих точках, у поштових системах, цифрових ідентичностях і хмарних програмах. Для цього заходу ми оцінили такі чинники: мотивація зловмисників, розробка профілю загроз і стратегій реагування на них. Також ми врахували результати глобального аналізу кіберзагроз від геополітично вмотивованих зловмисників.

Однією з головних проблем був ризик того, що кібератаки можуть вплинути на послуги з організації заходів або місця їх проведення. Збої, зокрема спричинені атаками зловмисних програм із вимогою викупу й спробами викрадення даних, могли негативно вплинути на проведення заходу та щоденну роботу.

Часова шкала інцидентів за 2018‑2023 роки, про які було заявлено публічно

  • У січні 2023 року Національна баскетбольна асоціація (NBA) попередила фанатів про порушення безпеки персональних даних у результаті їх витоку від сторонньої служби інформаційних бюлетенів.1
  • У листопаді 2022 року в "Манчестер Юнайтед" підтвердили, що системи футбольного клубу зазнали кібератаки.2
  • У лютому 2022 року команда "Сан-Франциско Фортинайнерс" (San Francisco 49ers) стала жертвою масштабної атаки з використанням зловмисної програми з вимогою викупу в неділю під час проведення Супербоулу.3
  • У квітні 2021 року група, відповідальна за створення зловмисної програми з вимогою викупу, заявила про викрадення 500 ГБ даних команди "Х’юстон Рокетс" (Houston Rockets), зокрема контракти, угоди про нерозголошення й фінансові відомості. Завдяки внутрішнім засобам безпеки вдалося запобігти встановленню цієї програми в інфраструктуру команди, за винятком кількох систем.4
  • У жовтні 2021 року чоловіку з Міннесоти висунули звинувачення в хакерській атаці на комп’ютерні системи Вищої бейсбольної ліги (Major League Baseball, MLB) й спробі вимагання 150 000 доларів США.5
  • Організатори Зимових Олімпійських ігор (Winter Olympics) 2018 року в Пхьончхані зазнали великої кількості атак. Російські хакери здійснили атаку на мережі Олімпіади перед церемонією відкриття.6

Команда відстеження загроз перевіряла й убезпечувала пристрої та мережі клієнтів відповідно до принципів глибокого захисту. Також значна увага приділялася відстеженню поведінки ідентичностей, спроб входу й доступу до файлів. Ми поширили захист на різні сектори, зокрема клієнтів, пов’язаних із транспортуванням, телекомунікаціями, охороною здоров’я та іншими важливими функціями.

Фахівці з відстеження кіберзагроз і реагування на них виконували цілодобовий моніторинг різних сутностей та систем: це більше ніж 100 000 кінцевих точок, 144 000 ідентичностей, 14,6 мільйона потоків електронної пошти, 634,6 мільйона автентифікацій і мільярди мережевих підключень.

Візьмімо, наприклад, медичні установи, зокрема лікарні. Вони мали надавати невідкладну медичну допомогу, а також критично важливу підтримку для фанатів і гравців під час проведення заходу. Оскільки в цих установах зберігають медичні дані, вони були важливими цілями. Фахівці й спеціальні служби Microsoft відстежували загрози шляхом їх аналізу, а саме сканували сигнали, ізолювали заражені ресурси та припиняли атаки на мережі медичної інфраструктури. Інтегрувавши технології Захисного комплексу Microsoft, команді з кібербезпеки вдалося виявити й помістити в карантин попередні дії зловмисних програм із вимогою викупу, націлених на медичну мережу. Фахівці зафіксували кілька невдалих спроб входу й заблокували подальші дії.

Медичні послуги мають надаватися невідкладно, тому відповідні пристрої та системи завжди повинні бути справними. Лікарні й інші медичні установи мають бути готовими надати послуги в будь-який момент і водночас забезпечувати кіберзахист своїх ресурсів. Успішна атака паралізувала б цифрові операції в медичних установах на момент проведення заходу, і персонал мав би надавати послуги без доступу до даних про пацієнтів та відповідних систем. Через це робота могла сповільнитися, а разом із цим – порятунок життів у разі екстреної ситуації або масового інциденту. У подальшому зловмисники могли б використовувати впроваджений шкідливий код, щоб додатково шантажувати організації та порушувати їхню роботу. Така ситуація могла б призвести до крадіжки даних або вимагання.

Великі глобальні заходи продовжують залишатися бажаною метою для зловмисників. При цьому хакери державного рівня мають  різні мотиви, і вони готові змиритися із супутніми збитками від атак, якщо це допомагає розширити їхній геополітичний вплив. Крім того, групи кіберзлочинців прагнуть скористатися великими фінансовими можливостями, пов’язаними зі спортом, тому ІТ-інфраструктура місць проведення таких заходів і надалі залишатиметься бажаною ціллю атак.

Рекомендації

  • Розширте операційний центр безпеки. Залучіть додаткових співробітників для цілодобового моніторингу події, щоб заздалегідь виявляти загрози й надсилати відповідні сповіщення. Це дає змогу корелювати додаткові дані, отримані під час відстеження, і виявляти ранні ознаки вторгнення. До таких ознак належать загрози за межами кінцевих точок, такі як порушення безпеки ідентичностей або перехід у хмарне середовище на пристроях.
  • Оцінюйте середовище на наявність кіберризиків. Визначте потенційні загрози для конкретного заходу, а також місця або країни його проведення. Оцінювати слід постачальників, команду й IT-фахівців, пов’язаних із місцем проведення, спонсорами та ключовими зацікавленими сторонами.
  • Намагайтеся надавати найменш привілейований доступ. Надавайте доступ до систем і служб лише тим, кому це необхідно, а також навчайте співробітників розпізнавати рівні доступу.

Більша кількість векторів атак вимагає додаткового планування й контролю

Під час World Cup™ (Чемпіонат світу), Олімпіад та інших спортивних заходів відомі кіберзагрози проявляються в унікальний спосіб, часто менш помітний, ніж в інших корпоративних середовищах. Подібні заходи можуть організовувати дуже швидко. Це означає, що новим партнерам і постачальникам надають доступ до корпоративних та загальних мереж на певний період часу. Через тимчасовий характер підключення може бути складніше розробити систему спостереження й керування для пристроїв і потоків даних. Також це спричиняє помилкове відчуття безпеки, коли здається, що "тимчасові" підключення є не такими ризикованими.

Системи, пов’язані з подією, можуть включати присутність команди або місця проведення в соціальних мережах, платформи реєстрації або продажу квитків, системи хронометражу й підрахування результатів, логістику, медичне обслуговування пацієнтів, відстеження інцидентів, системи масових сповіщень та електронні табло.

Спортивні організації, спонсори, організатори й адміністратори місць проведення мають спільно працювати над цими системами та розробити безпечні способи взаємодії з фанатами. Крім того, величезна кількість учасників і співробітників, які приносять із собою дані й інформацію на пристроях, розширює можливі вектори атак.

Чотири кіберзагрози для масштабної події

  • Вимкніть будь-які непотрібні порти й забезпечте належне сканування мережі на наявність шахрайських або несподіваних оновлень точок бездротового доступу, застосуйте виправлення ПЗ та зашифруйте всі дані.
  • Попросіть відвідувачів (1) установити останні оновлення й виправлення на своїх пристроях, (2) уникати доступу до конфіденційної інформації з публічних мереж Wi-Fi, (3) уникати посилань, вкладень і QR-кодів із неофіційних джерел.
  • Переконайтеся, що на платіжних терміналах установлено необхідні виправлення, їх оновлено й підключено до окремої мережі. Крім того, порадьте відвідувачам користуватися лише тими терміналами й банкоматами, які офіційно затвердили організатори заходу
  • Розробіть логічні сегментації мережі, які розділяють інформаційні й операційні технології, а також обмежте перехресний доступ до пристроїв і даних, щоб зменшити наслідки кібератаки.

Подбайте про те, щоб команди з кібербезпеки заздалегідь отримали всю необхідну інформацію, зокрема про те, які критичні служби мають обов’язково працювати під час події. Так фахівці зможуть краще підготувати план реагування. Це важливо для середовищ інформаційних та операційних технологій, які підтримують інфраструктуру місця проведення, а також для гарантування фізичної безпеки учасників. В ідеалі організації та команди з безпеки заздалегідь налаштовують своє середовище, щоб перевірити його, зафіксувати нормальний стан системи й пристроїв, а також надати до них доступ ІТ-командам для повторного розгортання в разі потреби. Ці зусилля необхідні для того, щоб зловмисники не могли скористатися погано налаштованими, нашвидку створеними мережами з великою кількістю цілей під час масштабних спортивних заходів.

Крім того, один зі співробітників має проаналізувати ризики, пов’язані з порушенням конфіденційності, а також те, чи не створює конфігурація нові ризики або загрози для безпеки персональних даних учасників чи команд. Цей фахівець може розробити вказівки для фанатів, які підтримуватимуть кібербезпеку. Приклади таких указівок: скануйте QR-коди тільки з офіційною емблемою, з насторогою ставтеся до участі в обговореннях через SMS або текстові повідомлення, у яких ви не реєструвалися, і намагайтеся не використовувати безкоштовну публічну мережу Wi-Fi.

Ці політики й інші поради допомагають громадськості краще зрозуміти кіберзагрози на великих заходах, а також ризики збору й викрадення даних. Це допоможе їм не стати жертвами атак із застосуванням соціотехніки, які можуть здійснюватися кіберзлочинцями після проникнення у вразливі мережі заходу та місця його проведення.

На додаток до зазначених нижче рекомендацій Національний центр із безпеки й захисту глядачів спортивних заходів пропонує враховувати ці фактори для підключених пристроїв та інтегрованої системи безпеки великих місць проведення.

Рекомендації

  • Пріоритезація впровадження комплексної та багаторівневої платформи безпеки. Сюди належить розгортання брандмауерів, виявлення вторгнення, системи запобігання й надійні протоколи шифрування для захисту мережі від неавторизованого доступу та порушення безпеки даних.
  • Програми поінформованості й навчання користувачів. Навчайте користувачів і зацікавлених осіб рекомендаціям із безпеки, наприклад розпізнаванню фішингових листів, використанню багатофакторної автентифікації або захисту без пароля, а також ігноруванню підозрілих посилань і завантажень.
  • Співпраця з надійними компаніями з кібербезпеки. Безперервно відстежуйте трафік, виявляйте потенційні загрози в реальному часі й оперативно реагуйте на будь-які інциденти безпеки. Проводьте регулярні аудити безпеки й оцінювання вразливостей, щоб виявляти та усувати будь-які прогалини в інфраструктурі мережі.

Отримайте додаткову аналітику про найпоширеніші виклики безпеки від Джастіна Тернера, головного менеджера групи Microsoft Security Research.

Дані знімка відображають загальну кількість сутностей і заходів, які цілодобово відстежували в період із 10 листопада до 20 грудня 2022 року. Сюди належать організації, пов’язані безпосередньо або афілійовані з інфраструктурою турніру. Дії включають проактивне відстеження фахівцями нових загроз і відомих кампаній.

Основна аналітика:
 

45 організацій захищено                                 100 000 кінцевих точок захищено

 

144 000 ідентичностей захищено                               14,6 мільйона потоків електронної пошти

 

634,6 мільйона спроб автентифікації                4,35 мільярда мережевих підключень

Методологія: Для даних знімка платформи й служби Microsoft включно з Microsoft Extended Detections and Response, Microsoft Defender, Відсіювання загроз у Defender та Azure Active Directory, надано анонімізовані дані щодо дій загроз, наприклад про зловмисні облікові записи електронної пошти, фішингові листи й активність злочинців у мережах. Додаткову аналітику отримано на основі 65 трильйонів щоденних сигналів безпеки із середовища Microsoft, зокрема хмари, кінцевих точок, а також за допомогою передових технологій і даних Команди експертів із порушень безпеки й Команди з виявлення та реагування. Ілюстрація на обкладинці не є зображенням реального футбольного матчу, турніру або окремого спортивного змагання. Усі зазначені спортивні організації є торговельними марками з окремими власниками.

Пов’язані статті

Порада експерта щодо трьох сталих викликів у сфері кібербезпеки

Джастін Тернер, головний менеджер групи Microsoft Security Research, описує три постійні виклики, з якими він стикається впродовж своєї кар’єри в галузі кібербезпеки: управління конфігурацією, виправлення й видимість пристроїв.
Дізнайтеся більше

Збільшення фішингових атак на 61%. Ознайомтеся із сучасними векторами атак

Щоб справлятися зі складними векторами атак, організації повинні сформувати комплексний підхід до захищеності. У цьому звіті для шести основних векторів атак показано, як правильна аналітика загроз допомагає схилити шальки терезів на бік тих, хто захищається.
Дізнайтеся більше

Конвергенція інформаційних та операційних технологій

Частіше використання Інтернету речей створює загрозу для операційних технологій через безліч потенційних вразливостей і доступність для зловмисників. Дізнайтеся, як захистити свою організацію.
Дізнайтеся більше

Підпишіться на новини про Захисний комплекс Microsoft