Trace Id is missing

Računalnim prijetnjama sve se više ciljaju najveće svjetske pozornice

Preuzmi
Zajedničko korištenje
Ilustracija nogometnog igrališta s puno raznih ikona.

Cyber Signals izdanje 5: Trenutačno stanje

Zlonamjerni akteri idu tamo gdje su mete, kapitaliziraju prilike za pokretanje ciljanih ili rasprostranjenih oportunističkih napada. To se širi na visokoprofilne sportske događaje, posebice one u sve povezanijim okruženjima, čime se uvode kibernetički rizici za organizatore, regionalne objekte domaćina te sudionike. Centar u Ujedinjenoj KraljeviniNational Cyber Security Centre (NCSC) ustanovio je da su računalni napadi protiv sportskih organizacija sve učestaliji, 70 % ispitanika napadnuto je najmanje jedan put godišnje, što je značajno više od prosjeka u tvrtkama u Ujedinjenoj Kraljevini.

Pritisak omogućivanja iskustva na svjetskoj sceni koji će proći glatko i sigurno donosi nove uloge za domaćine i objekte. Jedan krivo konfigurirani uređaj, izložena lozinka ili previd veze trećih strana može uzrokovati kršenje sigurnosti podataka ili uspješan neovlašteni pristup.

Microsoft je pružio podršku u računalnoj sigurnosti ključnim infrastrukturnim objektima kad je Katar bio domaćin FIFA Svjetskog prvenstva u nogometu2022.TM. U ovom izdanju nudimo saznanja iz prve ruke o tome kako zlonamjerni akteri pristupaju ovim okruženjima i kako ulaze u njih, na raznim mjestima održavanja, u timovima i kritičnoj infrastrukturi oko samog događaja.

Svi branimo računalnu sigurnost.

Microsoft je proveo preko 634,6 milijuna provjera autentičnosti dok je pružao sigurnosnu obranu za katarske objekte i organizacije između 10. studenoga i 20 prosinca 2022.

Oportunistički zlonamjerni akteri iskorištavaju okruženje puno meta

Prijetnje računalnoj sigurnosti na sportskim događajima i mjestima održavanja raznolike su i složene. Zahtijevaju stalni oprez i suradnju među sudionicima radi sprječavanja i ublažavanja eskalacije. S globalnim sportskim tržištem koje se procjenjuje na više od 600 milijardi USD, meta je bogata. Sportski timovi, veća sportska udruženja na razini liga i na globalnoj razini te mjesta za zabavu imaju mnogo dragocjenih informacija poželjnih za računalne zločince.

Informacije o sportskoj učinkovitosti, kompetitivnoj prednosti i osobni podaci unosna su meta. Nažalost, ove informacije mogu biti ranjive u velikoj mjeri zbog broja povezanih uređaja i međupovezanih mreža u ovim okruženjima. Ova ranjivost često se širi na više vlasnika, uključujući timove, korporativne sponzore, općinska tijela vlasti i vanjske suradnike – treće strane. Treneri, sportaši i fanovi također mogu biti ranjivi u vezi gubitka podataka i iznuđivanje.

Nadalje, mjesta održavanja i arene sadržavaju mnoge poznate i nepoznate ranjivosti kojima se prijetnjama omogućava da ciljaju na ključne poslovne usluge, kao što su uređaji na mjestu prodaju, IT infrastrukture i uređaji posjetitelja. Ne postoje dva visokoprofilna sportska događaja koja imaju isti kibernetički profil rizika, a koji ovisi o čimbenicima kao što su lokacija, sudionici, veličina i sastav.

Da bismo naše napore usmjerili tijekom domaćinstva Katra na Svjetskom prvenstvu u nogometu, proveli smo proaktivno lociranje prijetnji tijekom kojeg procjenjujemo rizik primjenom stručnjaka za otkrivanje prijetnji programa Defender, upravljanog servisa za lociranje prijetnji kojim se proaktivno pretražuju prijetnje u krajnjim točkama, sustavima e-pošte, digitalnim identitetima i aplikacijama u oblaku. U ovom primjeru čimbenici su uključivali motivaciju zlonamjernog aktera, razvoj profila i strategiju odgovora. Također smo uzeli u obzir i globalno obavještavanje o prijetnjama o geopolitički motiviranim zlonamjernim akterima i računalnim zločincima.

Problemi koji odmah padaju na pamet uključivali su rizik od kibernetičkog narušavanja usluga na događaju i lokalnih objekata. Narušavanja kao što su napadi ucjenjivačkog softvera i napori za krađu podataka mogli bi negativno utjecati na iskustvo na događaju i rutinske operacije.

Vremenska crta javno prijavljenih incidenata od 2018. do 2023.

  • Siječanj 2023. – udruženje National Basketball Association upozorava fanove o kršenje sigurnosti podataka zbog kojih su procurili njihovi osobni podaci iz usluge biltena trećih strana.1
  • Studeni 2022. – Manchester United potvrdio je da je izvršen kibernetički napad na sustav kluba.2
  • Veljača 2022. – San Francisco 49ers pogođeni su velikim napadom ucjenjivačkog softvera na Super Bowl Sunday.3
  • Travanj 2021. – grupa s ucjenjivačkim softverom tvrdi da je ukrala 500 gigabajta Rockets podataka, uključujući ugovore, ugovore o povjerljivosti i financijske podatke. Interni sigurnosni alati spriječili su instaliranje ucjenjivačkog softvera, osim u nekoliko sustava.4
  • Listopad 2021. – muškarac iz Minnesote optužen je za hakiranje računalnih sustava Major League Baseball i pokušaja iznuđivanja lige u iznosu od 150 000 USD.5
  • Na Zimskim olimpijskim igrama u Pyeongchangu 2018. godine bilo je puno napada visoke razine. Ruski napadači proveli su napade na olimpijske mreže prije ceremonije otvaranja.6

Tim za lociranje prijetnji radio je sukladno filozofiji dubinske obrane za pregledavanje i zaštitu uređaja i mreža korisnika. Drugi je fokus bio nadzor ponašanja identiteta, prijava i pristupa datotekama. Pokriveno je nekoliko sektora, uključujući korisnike uključene u prijevoz, telekomunikacije, zdravstvo i druge osnovne funkcije.

Sveukupno, ukupni broj entiteta i sustava koji su se 24 sata dnevno nadzirali s lociranjem prijetnji upravljanim čovjekom i podrškom u reagiranju na iste obuhvaćao je više od 100 000 krajnjih točaka, 144 000 identiteta, više od 14,6 milijuna tijekova poruka e-pošte, preko 634,6 milijuna provjera autentičnosti te milijarde mrežne veza.

Kao primjer, nekoliko je zdravstvenih ustanova označeno kao jedinice za hitnu skrb za događaj, uključujući bolnice koje su pružale ključnu podršku i zdravstvene usluge za fanove i igrače. Kao zdravstvene usluge s medicinskim podacima predstavljale su mete visoke vrijednosti. Microsoftova aktivnost lociranja prijetnji pogonjena strojevima ili čovjekom iskoristila je obavještavanje o prijetnjama za pregledavanje signala, izoliranje zahvaćenih resursa i narušavanje napada na ove mreže. Uz kombinaciju tehnologije Microsoft Security, tim je detektirao i stavio u karantenu aktivnost koja je prethodila ucjenjivačkom softveru, a koja je za metu imala zdravstvenu mrežu. Zabilježeno je više neuspješnih pokušaja prijave te je daljnja aktivnost blokirana.

Hitna priroda zdravstvenih usluga zahtijeva kontinuiranu najvišu razinu učinkovitosti uređaja i sustava. Bolnice i zdravstvene ustanove imaju izazovan zadatak balansiranja dostupnosti usluge dok održavaju zdravo stanje računalne sigurnosti. Uspješan napad, koji bi se brzo dogodio, mogao je imobilizirati medicinske ustanove iz perspektive podataka i IT-ja, zbog čega bi pružatelji medicinskih usluga ostali na kemijskoj olovci i papiru za ažuriranje podataka pacijenata i bila bi im oslabljena sposobnost provođenja medicinske skrbi koja spašava živote u hitnoj situaciji ili situaciji masovne trijaže. Dugoročno, zlonamjerni kod postavljen za pružanje vidljivosti u cijeloj mreži mogao se iskoristiti za širi događaj ucjenjivačkog softver s ciljem daljnjeg narušavanja sustava. Takav je slučaj mogao otvoriti vrata krađi i iznuđivanju.

S obzirom na to da su veliki globalni događaji i dalje poželjni ciljevi za zlonamjerne aktere, postoje  razne motivacije nacionalnih država koje se čine željnima da apsorbiraju kolateralnu štetu od napada ako se njome podržavaju širi geopolitički interesi. Nadalje, grupe računalnih zločinaca koje nastoje iskoristiti široke financijske prilike koje postoje u sportskim IT okruženjima i IT okruženjima vezanima uz mjesto održavanja i dalje će na njih gledati kao na poželjne mete.

Preporuke

  • Povećajte SOC tim: Uspostavite dodatan par očiju koji će danonoćno nadgledati događaj za proaktivno detektiranje prijetnji i slanje obavijesti. To pomaže u korelaciji više podataka za lociranje i otkrivanje ranih znakova neovlaštenog pristupa. Trebao bi uključivati prijetnje iznad krajnje točke, kao što su kompromitiranje identiteta ili zaokretanje od uređaja do oblaka.
  • Napravite fokusiranu procjenu kibernetičkog rizika: Identificirajte potencijalne prijetnje specifične događaju, mjestu održavanja ili državi gdje se događaj održava. Ta procjena treba uključivati dobavljače, tim i IT stručnjake na mjestu održavanja, sponzore i ključne dionike događaja.
  • Razmotrite pristup uz najnižu razinu ovlasti kao najbolju praksu: Odobrite pristup sustavima i uslugama samo onima kojima su potrebni i podučite osoblje da razumije slojeve pristupa.

Mnoge površine za napad zahtijevaju dodatno planiranje i nadzor

S događajima kao što su World Cup™, Olimpijske igre i sportski događaji općenito, poznati kibernetički rizici nastaju na jedinstvene načine, često manje primjetni nego u drugim korporativnim okruženjima. Ovi se događaji mogu brzo organizirati, a novi partneri i dobavljači traže pristup na razini velike tvrtke i dijeljenih mreža na određeno vremensko razdoblje. Nagla priroda povezivosti s nekim događajima može otežati razvoj vidljivosti i kontrole uređaja i tijekova podataka. Također njeguje lažan osjećaj sigurnosti da „privremene” veze nose niži rizik.

Sportske organizacije mogu uključivati prisutnost na webu ili društvenim mrežama tima ili mjesta održavanja, platforme za prijavu ili prodaju karata, sustave za mjerenje utakmice ili rezultata, logistiku, medicinsko upravljanje i praćenje pacijenata, praćenje incidenata, sustave masovnog obavještavanja i elektronsko potpisivanje.

Sportske organizacije, sponzori, domaćini i mjesta održavanja moraju surađivati na ovim sustavima i razviti kibernetički pametna iskustva za fanove. Nadalje, veliki broj sudionika i osoblja koji nose podatke i informacije sa sobom preko svojih uređaja povećava površinu za napad.

Četiri kibernetička rizika za veliki događaj

  • Onemogućite sve nepotrebne priključke i osigurajte odgovarajući pregled mreže za ažuriranje odmetničkih ili ad hoc bežičnih točaka pristupa, stavite zakrpe na softver ili odaberite aplikacije sa slojem enkripcije za sve podatke.
  • Potaknite sudionike da (1) osiguraju svoje aplikacije i uređaje najnovijim ažuriranjima i zakrpama, (2) izbjegnu pristupanje osjetljivih informacijama s javne Wi-Fi mreže, (3) izbjegavaju poveznice, privitke i QR kôdove iz neslužbenih izvora.
  • Osigurajte da POS uređaji imaju zakrpe, da su ažurirani i povezani na odvojenu mrežu. Ujedno, sudionici bi trebali pripaziti na nepoznate kioske i bankomate i ograničiti transakcije na područja koja službeno podupire domaćin događaja
  • Razvijte logičke segmentacije mreže radi stvaranja podjele između IT i OT sustava i ograničite pristup raznim uređajima i podacima radi ublažavanja posljedica računalnog napada.

Ako unaprijed sigurnosnim timovima date informacije koje su im potrebne – uključujući ključne usluge koje moraju raditi tijekom događaja – pružit ćete bolje informacije za planove reagiranja. To je osnovno u IT i OT okruženjima kojim podržavaju infrastrukturu mjesta održavanja i održavaju fizičku sigurnost sudionika. Idealno, organizacije i sigurnosni timovi mogli bi konfigurirati svoje sustave prije događaja kako bi dovršili testiranje, napravili snimku stanja sustava i uređaja te ih učinili spremno dostupnima IT timovima za brzu ponovnu implementaciju prema potrebi. Takvi su napori uspješni u odvraćanju protivnika u iskorištavanju loše konfiguriranih, ad hoc mreža u okviru izrazito poželjnih okruženja bogatih metama na velikim sportskim događajima.

Dodatno, netko u prostoriji treba razmotriti rizik za privatnost i dodaju li konfiguracije nove rizike ili ranjivosti za osobne podatke sudionika ili vlasničke podatke timova. Ovaj osoba može implementirati jednostavne kibernetičke pametne prakse za fanove, na primjer, upućivati ih da skeniraju samo QR kôdove sa službenim logotipom, da se kritički odnose na zahtjeve SMS-om ili tekstualnom porukom na koje se nisu registrirali te da izbjegnu koristiti javni Wi-Fi.

Ta i druga pravila mogu pomoći javnosti da bolje razumiju kibernetički rizik posebice na velikim događajima te njihovu izloženost prikupljanju podataka i krađi. Poznavanjem sigurnih praksi možete pomoći fanovima i sudionicima u izbjegavanju da postanu žrtve napada društvenog inženjeringa, a što računalni zločinci mogu provesti nakon što dobiju uporište u iskorištene mreže mjesta održavanja i događaja.

Osim preporuka u nastavku centar National Center for Spectator Sports Safety and Security nudi ova razmatranja za povezane uređaje i integriranu sigurnost za veća mjesta održavanja.

Preporuke

  • Prioritizirajte implementaciju sveobuhvatnog i višeslojnog sigurnosnog okvira: To obuhvaća implementiranje vatrozida, detekciju neovlaštenog pristupa i sustave sprječavanja te snažne protokole enkripcije radi jačanja mreže od neovlaštena pristupa i kršenja podataka.
  • Osviještenost korisnika i programi obuke: Educirajte zaposlenike i dionike o najboljim praksama računalne sigurnosti, kao što je prepoznavanje poruka e-pošte s krađom identiteta, primjenom višestruke provjere autentičnosti ili zaštite bez lozinke te izbjegavajući sumnjivih poveznica ili preuzimanja.
  • Sklopite partnerstva s renomiranim tvrtkama za računalnu sigurnost: Kontinuirano nadzirite promet, detektirajte potencijalne prijetnje u stvarnom vremenu i brzo reagirajte na sve sigurnosne incidente. Provodite redovite sigurnosne revizije i procjene ranjivosti radi identificiranja i rješavanja svih slabosti unutar mrežne infrastrukture.

Dobijte više uvida o čestim sigurnosnim izazovima od glavnog upravitelja grupe, Justina Turnera, Microsoft Security Research.

Podaci iz snimke stanja predstavljaju ukupni zbroj entiteta i događaja nadziranih 24 sata dnevno između 10. studenoga i 20. prosinca 2022. To obuhvaća tvrtke ili ustanove ili izravno uključene u infrastrukturu turnira ili povezane s njom. Aktivnost obuhvaća ljudski upravljana lociranja prijetnji radi identifikacije prijetnji u nastanku i praćenja značajnih kampanja.

Ključni uvidi:
 

45 tvrtki ili ustanova zaštićeno                                 100 000 krajnjih točaka zaštićeno

 

144 000 identiteta zaštićeno                               14,6 milijuna tijekova poruka e-pošte

 

634,6 pokušaja provjere autentičnosti                4,35 milijardi mrežnih veza

Metodologija: Za podatke iz snimke stanja Microsoftove platforme i servisi, uključujući Microsoftove proširene detekcije i odgovor, Microsoft Defender, Stručnjake za otkrivanje prijetnji programa Defender, te Azure Active Directory, pružili su anonimizirane podatke o zlonamjernoj aktivnosti, kao što su zlonamjerni računi e-pošte, poruke e-pošte za krađu identiteta i kretanja napadača unutar mreža. Dodatni uvidi dolaze od 65 bilijuna dnevnih sigurnosnih signala prikupljenih u Microsoftu, uključujući oblak, krajnje točke, inteligentni rub te našu praksu za oporavak kompromitirane sigurnost i timove za detekciju i odgovor. Naslovnica ne prikazuje stvarnu nogometnu utakmicu, turnir ili pojedinačni sport. Sve navedene sportske organizacije zaštićeni su znakovi u pojedinačnom vlasništvu.

Povezani članci

Stručni savjeti o tri najupornija izazova u području računalne sigurnosti

Glavni upravitelj grupe, Justin Turner, Microsoft Security Research, opisuje tri velika izazova kojima je svjedočio tijekom karijere u području računalne sigurnost: upravljanje konfiguracijom, krpanje i vidljivost uređaja.
Saznajte više

Porast od 61 % u napadima za krađu identiteta. Trebate znati svoju modernu površinu za napad

Za upravljanje sve složenijom površinom za napad tvrtke ili ustanove moraju razviti sveobuhvatno stanje sigurnosti. Sa šest ključnih površina za napad ovo izvješće pokazat će vam kako odgovarajuće obavještavanje o prijetnjama može pomoći u okretanju situacije u korist obrane.
Saznajte više

Konvergencija IT-ja i OT-ja

Sve veća cirkulacija IoT-ja stavlja OT pod rizik, uz niz potencijalnih ranjivosti i izloženosti zlonamjernim akterima. Saznajte kako očuvati svoju tvrtku ili ustanovu sigurnom.
Saznajte više

Pratite Microsoft Security