Trace Id is missing

Các mối đe dọa mạng ngày càng nhắm vào những sân khấu sự kiện lớn nhất thế giới

Tải xuống
Chia sẻ
Hình minh họa một sân vận động bóng đá với nhiều biểu tượng khác nhau.

Ấn bản Cyber Signals 5: Tình hình hiện tại

Các tác nhân đe dọa đi đến nơi có mục tiêu, tận dụng các cơ hội để thực hiện các cuộc tấn công chớp thời cơ nhắm mục tiêu hoặc trên diện rộng. Quá trình này mở rộng sang các sự kiện thể thao nổi bật, đặc biệt là những sự kiện trong môi trường ngày càng được kết nối, gây ra rủi ro mạng cho các nhà tổ chức, cơ sở tổ chức trong khu vực và người tham dự. Trung tâm An ninh mạng Quốc gia Vương quốc Anh (NCSC) nhận thấy các cuộc tấn công mạng nhắm vào các tổ chức thể thao ngày càng phổ biến, với 70% số người được khảo sát cho biết đã trải qua ít nhất một cuộc tấn công mỗi năm, cao hơn nhiều so với mức trung bình của các doanh nghiệp ở Vương quốc Anh.

Áp lực mang lại trải nghiệm suôn sẻ, an toàn trên đấu trường thế giới đặt ra những thách thức mới cho đơn vị tổ chức và cơ sở vật chất địa phương. Một thiết bị có cấu hình bị thiết lập sai, mật khẩu bị lộ hoặc kết nối của bên thứ ba bị bỏ qua có thể làm rò rỉ dữ liệu hoặc cho phép người khác xâm nhập thành công.

Microsoft đã cung cấp dịch vụ hỗ trợ an ninh mạng cho các cơ sở hạ tầng quan trọng trong thời gian Qatar tổ chức FIFA World Cup năm 2022TM. Trong ấn bản này, chúng tôi cung cấp những kiến thức do chính mình chiêm nghiệm ra về cách các tác nhân đe dọa đánh giá và xâm nhập vào các môi trường này tại các địa điểm tổ chức, đội nhóm thể thao và cơ sở hạ tầng quan trọng liên quan đến sự kiện.

Tất cả chúng ta đều phải bảo vệ an ninh mạng.

Microsoft đã thực hiện hơn  634,6 triệu  lượt xác thực trong khi cung cấp biện pháp bảo vệ an ninh mạng cho các cơ sở và tổ chức ở Qatar từ ngày 10/11 đến ngày 20/12/2022.

Các tác nhân đe dọa chớp cơ hội khai thác môi trường có nhiều mục tiêu

Các mối đe dọa an ninh mạng đối với các sự kiện và địa điểm thể thao rất đa dạng và phức tạp. Chúng đòi hỏi sự cảnh giác và hợp tác liên tục giữa các bên liên quan để ngăn chặn và giảm thiểu không cho tình hình leo thang. Với thị trường thể thao toàn cầu có giá trị hơn 600 tỷ USD, đây là một mục tiêu rất hời. Các đội thể thao, giải đấu lớn và hiệp hội thể thao toàn cầu cũng như các địa điểm giải trí chứa một kho thông tin quý giá mà các tội phạm mạng khao khát có được.

Thông tin về thành tích thể thao, lợi thế cạnh tranh và thông tin cá nhân là mục tiêu sinh lợi. Tiếc thay, thông tin này có thể dễ bị tấn công trên quy mô lớn do số lượng thiết bị được kết nối và mạng được kết nối với nhau trong các môi trường này. Thông thường, lỗ hổng này ảnh hưởng đến nhiều chủ sở hữu, bao gồm các đội nhóm thể thao, nhà tài trợ doanh nghiệp, chính quyền thành phố và nhà thầu bên thứ ba. Huấn luyện viên, vận động viên và người hâm mộ cũng có thể dễ bị mất dữ liệu và tống tiền.

Hơn nữa, các địa điểm và đấu trường chứa nhiều lỗ hổng đã biết và chưa biết cho phép các mối đe dọa nhắm mục tiêu vào các dịch vụ kinh doanh quan trọng, ví dụ như thiết bị điểm bán hàng, cơ sở hạ tầng CNTT và thiết bị của khách truy cập. Không có hai sự kiện thể thao nổi tiếng nào có cùng cấp rủi ro mạng giống nhau và cấp độ này thay đổi tùy thuộc vào các yếu tố như địa điểm, người tham gia, quy mô và đặc tính của sự kiện.

Để tập trung nỗ lực trong thời gian Qatar tổ chức World Cup, chúng tôi đã chủ động tìm kiếm mối đe dọa, qua đó đánh giá rủi ro bằng cách sử dụng Defender Experts for Hunting. Đây là dịch vụ săn tìm mối đe dọa được quản lý nhằm chủ động tìm kiếm các mối đe dọa trên các điểm cuối, hệ thống email, danh tính kỹ thuật số và ứng dụng đám mây. Trong trường hợp này, các yếu tố bao gồm động lực của tác nhân đe dọa, phát triển hồ sơ rủi ro và chiến lược ứng phó. Chúng tôi cũng đã xem xét thông tin toàn cầu về mối đe dọa cho các tác nhân đe dọa và tội phạm mạng có động cơ địa chính trị.

Các mối quan tâm hàng đầu bao gồm nguy cơ gián đoạn mạng đối với các dịch vụ của sự kiện hoặc cơ sở vật chất địa phương. Những sự kiện làm gián đoạn như các cuộc tấn công bằng mã độc tống tiền và nỗ lực đánh cắp dữ liệu có thể tác động tiêu cực đến trải nghiệm sự kiện và các hoạt động thông thường.

Mốc thời gian các sự cố được báo cáo công khai từ năm 2018-2023

  • Tháng 1 năm 2023, Hiệp hội Bóng rổ Quốc gia cảnh báo người hâm mộ về một vụ rò rỉ dữ liệu cá nhân của họ từ dịch vụ bản tin của bên thứ ba.1
  • Tháng 11 năm 2022, Manchester United xác nhận rằng câu lạc bộ đã trải qua một cuộc tấn công mạng vào hệ thống của mình.2
  • Tháng 2 năm 2022, San Francisco 49ers bị tấn công bởi một mã độc tống tiền lớn vào sự kiện Super Bowl Sunday.3
  • Tháng 4 năm 2021, một nhóm mã độc tống tiền tuyên bố đã đánh cắp 500 gigabyte dữ liệu của Rockets, bao gồm các hợp đồng, thỏa thuận không tiết lộ và dữ liệu tài chính. Các công cụ bảo mật nội bộ đã ngăn cài đặt mã độc tống tiền, ngoại trừ một số hệ thống bị ảnh hưởng.4
  • Tháng 10 năm 2021, một người đàn ông ở Minnesota bị buộc tội hack hệ thống máy tính của Giải bóng chày Major League và cố gắng tống tiền giải đấu với số tiền 150.000 USD.5
  • Thế vận hội mùa đông 2018 ở Pyeongchang chứng kiến mức độ tấn công cao. Tin tặc Nga đã thực hiện các cuộc tấn công vào mạng Olympic trước lễ khai mạc.6

Nhóm săn lùng mối đe dọa hoạt động theo triết lý phòng thủ chuyên sâu để kiểm tra và bảo vệ các thiết bị và mạng của khách hàng. Một trọng tâm khác là giám sát hành vi nhận dạng, thông tin đăng nhập và quyền truy cập tệp. Phạm vi trải rộng trên nhiều lĩnh vực, bao gồm khách hàng trong lĩnh vực vận tải, viễn thông, chăm sóc sức khỏe và các chức năng thiết yếu khác.

Nhìn chung, tổng số thực thể và hệ thống được giám sát 24/7 với khả năng hỗ trợ ứng phó và săn lùng mối đe dọa do con người chỉ đạo, bao gồm hơn 100.000 điểm cuối, 144.000 danh tính, 14,6 triệu luồng email cộng thêm, hơn 634,6 triệu lượt xác thực và hàng tỷ kết nối mạng.

Ví dụ: một số cơ sở chăm sóc sức khỏe được chỉ định là đơn vị chăm sóc khẩn cấp cho sự kiện, bao gồm các bệnh viện cung cấp dịch vụ y tế và hỗ trợ quan trọng cho người hâm mộ và cầu thủ. Vì các cơ sở chăm sóc sức khỏe sở hữu dữ liệu y tế nên đây là các mục tiêu có giá trị cao. Hoạt động săn lùng mối đe dọa sử dụng con người và máy móc của Microsoft tận dụng thông tin về mối đe dọa để quét tìm tín hiệu, cô lập tài sản bị nhiễm độc và phá vỡ các cuộc tấn công trên các mạng này. Kết hợp công nghệ Microsoft Security, nhóm đã phát hiện và cách ly hoạt động trước khi có mã độc tống tiền nhắm vào mạng chăm sóc sức khỏe. Nhiều lần đăng nhập không thành công đã được ghi lại và các hoạt động sau đó đã bị chặn.

Tính chất cấp bách của các dịch vụ chăm sóc sức khỏe đòi hỏi các thiết bị và hệ thống phải duy trì hiệu suất ở mức cao nhất. Các bệnh viện và cơ sở chăm sóc sức khỏe phải đối mặt với nhiệm vụ đầy thách thức, đó là làm sao cân bằng được tính sẵn sàng của dịch vụ mà vẫn duy trì vị thế an ninh mạng lành mạnh. Trong thời gian tới, một cuộc tấn công thành công có thể khiến các cơ sở y tế bất động về mặt dữ liệu cho đến CNTT, khiến các nhà cung cấp dịch vụ y tế phải dùng bút giấy để cập nhật dữ liệu bệnh nhân và làm suy yếu khả năng chăm sóc y tế cứu người trong trường hợp cấp cứu hoặc phân loại bệnh nhân hàng loạt. Về lâu dài, mã độc được cài đặt để cung cấp khả năng quan sát toàn bộ mạng có thể đã được tận dụng để phục vụ một sự kiện mã độc tống tiền rộng hơn nhằm gây gián đoạn hơn nữa. Một trường hợp như vậy có thể đã mở ra cơ hội cho hành vi trộm cắp dữ liệu và tống tiền.

Khi các sự kiện toàn cầu lớn tiếp tục là mục tiêu mong muốn của các tác nhân đe dọa, có  rất nhiều động cơ từ các quốc gia dường như sẵn sàng chịu thiệt hại tài sản thế chấp từ các cuộc tấn công nếu điều này hỗ trợ các lợi ích địa chính trị rộng lớn hơn. Hơn nữa, các nhóm tội phạm mạng đang tìm cách tận dụng các cơ hội tài chính to lớn tồn tại trong môi trường CNTT liên quan đến lĩnh vực thể thao và tại các địa điểm tổ chức và sẽ tiếp tục coi đây là những mục tiêu mong muốn.

Đề xuất

  • Củng cố nhóm SOC: Có thêm một hàng rào theo dõi sự kiện suốt ngày đêm để chủ động phát hiện các mối đe dọa và gửi thông báo. Cách này giúp liên kết nhiều dữ liệu tìm kiếm hơn và phát hiện sớm các dấu hiệu xâm nhập. Các dấu hiệu này phải bao gồm cả các mối đe dọa ngoài điểm cuối như xâm phạm danh tính hoặc chuyển từ thiết bị sang nền tảng điện toán đám mây.
  • Tiến hành đánh giá rủi ro mạng tập trung: Xác định các mối đe dọa tiềm ẩn cụ thể đối với sự kiện, địa điểm tổ chức hoặc quốc gia nơi sự kiện xảy ra. Đánh giá này phải có sự tham gia của các nhà cung cấp, chuyên gia CNTT của đội nhóm thể thao và địa điểm tổ chức, nhà tài trợ và các bên liên quan chính của sự kiện.
  • Coi quyền truy cập đặc quyền thấp nhất là phương pháp hay nhất: Chỉ cấp quyền truy cập vào hệ thống và dịch vụ cho những người cần đến và đào tạo nhân viên hiểu được các cấp độ truy cập.

Các bề mặt tấn công rộng lớn đòi hỏi phải lập kế hoạch và giám sát thêm

Với các sự kiện như World Cup™, Olympics và các sự kiện thể thao nói chung, các rủi ro mạng đã biết sẽ xuất hiện theo những cách riêng biệt và thường ít được nhận biết hơn so với các môi trường doanh nghiệp khác. Các sự kiện này có thể kết hợp với nhau một cách nhanh chóng, với các đối tác và nhà cung cấp mới có được quyền truy cập vào mạng doanh nghiệp và mạng dùng chung trong một khoảng thời gian cụ thể. Tính chất nhất thời của khả năng kết nối với một số sự kiện có thể gây khó khăn cho việc tăng cường khả năng quan sát và kiểm soát các thiết bị cũng như luồng dữ liệu. Điều này cũng thúc đẩy cảm giác an toàn giả rằng các kết nối “tạm thời” có rủi ro thấp hơn.

Các hệ thống của sự kiện có thể bao gồm sự hiện diện trên web và mạng xã hội của đội thể thao hoặc địa điểm tổ chức, nền tảng đăng ký hoặc bán vé, hệ thống tính điểm và tính giờ thi đấu, hệ thống hậu cần, quản lý y tế và theo dõi bệnh nhân, hệ thống theo dõi sự cố, hệ thống thông báo hàng loạt và bảng hiệu điện tử.

Các tổ chức thể thao, nhà tài trợ, đơn vị và địa điểm tổ chức phải cộng tác trên các hệ thống này và phát triển trải nghiệm người hâm mộ thông minh trên mạng. Hơn nữa, số lượng lớn người tham dự và nhân viên mang theo dữ liệu và thông tin thông qua thiết bị của họ sẽ làm tăng bề mặt tấn công.

Bốn rủi ro mạng cho sự kiện lớn

  • Vô hiệu hóa mọi cổng không cần thiết và đảm bảo quét mạng thích hợp để cập nhật các điểm truy cập không dây giả mạo hoặc đặc biệt, vá lỗi phần mềm và chọn các ứng dụng có tầng mã hóa cho tất cả dữ liệu.
  • Khuyến khích người tham dự (1) bảo mật ứng dụng và thiết bị của họ bằng các bản cập nhật và bản vá lỗi mới nhất, (2) tránh truy cập thông tin nhạy cảm từ Wi-Fi công cộng, (3) tránh các liên kết, tệp đính kèm và mã QR từ các nguồn không chính thức.
  • Đảm bảo các thiết bị POS đều được vá lỗi, cập nhật và kết nối với một mạng riêng. Ngoài ra, người tham dự nên cẩn thận với các quầy và máy ATM lạ, đồng thời chỉ giao dịch ở các khu vực được đơn vị tổ chức sự kiện chính thức xác nhận
  • Phát triển các phân đoạn mạng hợp lý để tạo sự phân chia giữa hệ thống CNTT và CNVH, đồng thời hạn chế quyền truy cập chéo vào các thiết bị và dữ liệu nhằm giảm thiểu hậu quả tấn công qua mạng.

Việc cung cấp trước cho nhóm bảo mật các thông tin họ cần, bao gồm các dịch vụ quan trọng phải duy trì hoạt động trong suốt sự kiện, sẽ cung cấp thông tin tốt hơn cho các kế hoạch ứng phó. Đây là hành động rất cần thiết trong môi trường CNTT và CNVH nhằm hỗ trợ cơ sở hạ tầng tại địa điểm tổ chức và duy trì sự an toàn về thể chất cho người tham dự. Lý tưởng nhất là các tổ chức và nhóm bảo mật có thể thiết lập cấu hình cho hệ thống của họ trước khi sự kiện diễn ra để hoàn tất quá trình thử nghiệm, xem nhanh qua hệ thống và thiết bị, đồng thời cung cấp các thông tin đó cho nhóm CNTT để nhanh chóng triển khai lại khi cần. Những nỗ lực này có tác dụng lâu dài trong việc ngăn chặn kẻ xấu lợi dụng các mạng đặc thù, có cấu hình được thiết lập kém trong môi trường có nhiều mục tiêu mong muốn của các sự kiện thể thao lớn.

Ngoài ra, cần có người xem xét rủi ro về quyền riêng tư và liệu cấu hình thiết lập có đặt ra thêm rủi ro hoặc lỗ hổng mới đối với thông tin cá nhân của người tham dự hoặc dữ liệu độc quyền của đội nhóm thể thao hay không. Người này có thể triển khai các phương pháp mạng thông minh đơn giản dành cho người hâm mộ, ví dụ như hướng dẫn họ chỉ quét mã QR có logo chính thức, cẩn thận với các lời kêu gọi qua tin nhắn SMS hoặc văn bản mà họ không đăng ký nhận và tránh sử dụng Wi-Fi công cộng miễn phí.

Những chính sách này và các chính sách khác có thể giúp công chúng hiểu rõ hơn về rủi ro mạng tại các sự kiện lớn, đặc biệt là khả năng họ bị thu thập và đánh cắp dữ liệu. Biết được các biện pháp an toàn có thể giúp người hâm mộ và người tham dự tránh trở thành nạn nhân của các cuộc tấn công lừa đảo phi kỹ thuật mà tội phạm mạng có thể kiếm được tiền sau khi xâm nhập vào mạng của sự kiện và địa điểm tổ chức bị khai thác.

Ngoài các đề xuất bên dưới, Trung tâm Quốc gia về An toàn và An ninh cho Khán giả Thể thao còn đưa ra  những lưu ý này  đối với các thiết bị được kết nối và khả năng bảo mật tích hợp cho các địa điểm lớn.

Đề xuất

  • Ưu tiên triển khai khung bảo mật nhiều lớp toàn diện: Đề xuất bao gồm triển khai tường lửa, hệ thống phát hiện và ngăn chặn xâm nhập cũng như các giao thức mã hóa mạnh mẽ để củng cố mạng trước các hành vi truy cập trái phép và vi phạm dữ liệu.
  • Chương trình đào tạo và nâng cao nhận thức người dùng: Hướng dẫn nhân viên và các bên liên quan về các phương pháp hay nhất về an ninh mạng, ví dụ như nhận dạng email lừa đảo qua mạng, sử dụng công cụ xác thực đa yếu tố hoặc bảo vệ không cần mật khẩu cũng như tránh các liên kết hoặc nội dung tải xuống đáng ngờ.
  • Hợp tác với các công ty an ninh mạng uy tín: Liên tục giám sát lưu lượng truy cập mạng, phát hiện các mối đe dọa tiềm ẩn trong thời gian thực và ứng phó nhanh chóng với mọi sự cố bảo mật. Thường xuyên kiểm tra khả năng bảo mật và đánh giá khả năng bị tổn thương để xác định và giải quyết mọi điểm yếu trong cơ sở hạ tầng mạng.

Biết thêm thông tin chuyên sâu về các thách thức bảo mật phổ biến từ Justin Turner – Trưởng Quản lý Nhóm Microsoft Security Research.

Dữ liệu ảnh tức thời thể hiện tổng số thực thể và sự kiện được giám sát là 24/7 từ ngày 10/11 đến ngày 20/12/2022. Dữ liệu này bao gồm cả các tổ chức trực tiếp tham gia hoặc liên quan tới cơ sở hạ tầng của giải đấu. Các hoạt động bao gồm chủ động săn lùng mối đe dọa do con người chỉ đạo để xác định các mối đe dọa mới nổi và theo dõi các chiến dịch đáng chú ý.

Thông tin chuyên sâu chính:
 

45 tổ chức được bảo vệ                                 100.000 điểm cuối được bảo vệ

 

144.000 danh tính được bảo vệ                               14,6 triệu luồng email

 

634,6 triệu lượt xác thực                4,35 tỷ kết nối mạng

Phương pháp: Đối với dữ liệu ảnh tức thời, các nền tảng và dịch vụ của Microsoft, bao gồm Microsoft Extended Detections and Response, Microsoft Defender, Defender Experts for Hunting và Azure Active Directory, đã cung cấp dữ liệu ẩn danh về hoạt động của mối đe dọa như tài khoản email độc hại, email lừa đảo qua mạng và chuyển động của kẻ tấn công trong mạng. Các thông tin chuyên sâu bổ sung đến từ 65 nghìn tỷ tín hiệu bảo mật hàng ngày thu thập được trên Microsoft, bao gồm nền tảng điện toán đám mây, điểm cuối, biên dữ liệu thông minh cũng như Nhóm Thực hành Khôi phục Bảo mật Lỗ hổng và Nhóm Phát hiện và Ứng phó. Ảnh bìa không mô tả một trận bóng đá, giải đấu hoặc môn thể thao đơn lẻ thực tế. Tất cả các tổ chức thể thao được nhắc đền đều là các nhãn hiệu thuộc sở hữu cá nhân.

Bài viết liên quan

Lời khuyên của chuyên gia về ba thách thức dai dẳng nhất trong lĩnh vực an ninh mạng

Justin Turner, Trưởng Quản lý Nhóm Microsoft Security Research, mô tả ba thách thức lâu dài mà ông đã gặp trong suốt sự nghiệp trong lĩnh vực an ninh mạng của mình, đó là quản lý cấu hình, vá lỗi và khả năng quan sát thiết bị.
Tìm hiểu thêm

Các cuộc tấn công lừa đảo qua mạng tăng 61%. Hiểu biết về bề mặt tấn công hiện đại

Để quản lý bề mặt tấn công ngày càng phức tạp, các tổ chức phải phát triển một trạng thái bảo mật toàn diện. Với sáu khu vực bề mặt tấn công chính, báo cáo này sẽ cho bạn thấy thông tin phù hợp về mối đe dọa có thể giúp nghiêng lợi thế về phía bạn.
Tìm hiểu thêm

Sự giao thoa của CNTT và CNVH

Sự lưu thông ngày càng tăng của IoT đang khiến CNVH gặp rủi ro, với hàng loạt lỗ hổng tiềm ẩn và nguy cơ bị các tác nhân đe dọa tấn công. Tìm hiểu cách duy trì bảo vệ cho tổ chức của bạn.
Tìm hiểu thêm

Theo dõi Microsoft Security