Trace Id is missing
Pereiti prie pagrindinio turinio
Security Insider

Kibernetinėmis grėsmėmis vis dažniau kėsinamasi į didžiausių pasaulio renginių scenas

Atsisiųsti
Bendrinti
Futbolo stadiono iliustracija su daugybe skirtingų piktogramų.

„Cyber Signals“ Nr. 5: Būsena

Grėsmių sukėlėjai taikosi ten, kur yra taikinių, pasinaudodami galimybėmis vykdyti tikslines arba plačiai paplitusias oportunistines atakas. Tai apima ir aukšto lygio sporto renginius, ypač tuos, kurie vyksta vis labiau prijungtose aplinkose, todėl organizatoriams, regioninėms priimančiosioms įstaigoms ir dalyviams kyla kibernetinė rizika. Jungtinės Karalystės nacionalinis kibernetinės saugos centras (NCSC) nustatė, kad kibernetinės atakos prieš sporto organizacijas tampa vis dažnesnės ir kad 70 proc. apklaustųjų per metus patiria bent vieną ataką, t. y. gerokai daugiau nei vidutiniškai visos Jungtinės Karalystės įmonės.

Dėl spaudimo užtikrinti sklandžią ir saugią patirtį pasaulio scenoje vietos šeimininkams ir infrastruktūrų objektams keliami nauji reikalavimai. Neteisingai sukonfigūravus vieną įrenginį, atskleidus slaptažodį ar nepastebėjus trečiosios šalies prisijungimo, gali būti pažeisti duomenys arba įvykdytas sėkmingas įsilaužimas.

„Microsoft“ teikė kibernetinės saugos paramą ypatingos svarbos infrastruktūros objektams Kataro valstybei rengiantis 2022 m.TM FIFA pasaulio futbolo čempionatui. Šiame numeryje pateikiame informaciją iš pirmųjų lūpų apie tai, kaip grėsmių sukėlėjai įvertina ir įsifiltruoja į šias renginių vietų, komandų ir ypatingos svarbos infrastruktūros aplinkas.

Mes visi esame kibernetinės saugos gynėjai.

Nuo 2022 m. lapkričio 10 d. iki gruodžio 20 d. „Microsoft“ atliko per 634,6 mln. autentifikacijų, suteikdama Kataro infrastruktūrų objektams ir organizacijoms kibernetinės saugos gynybos priemones.

Oportunistiniai grėsmių sukėlėjai naudojasi gausių taikinių aplinka

Kibernetinės saugos grėsmės sporto renginiams ir jų vietoms yra įvairios ir sudėtingos. Jose reikalingas nuolatinis budrumas ir suinteresuotųjų šalių bendradarbiavimas, kad būtų išvengta eskalacijos ir ji būtų sumažinta. Pasaulio sporto rinka vertinama daugiau nei 600 mlrd. USD, todėl taikinys yra stambus. Sporto komandos, aukščiausios lygos ir pasaulio sporto asociacijos bei pramogų vietos turi vertingos informacijos, kurios trokšta kibernetiniai nusikaltėliai.

Informacija apie sportinius rezultatus, konkurencinis pranašumas ir asmeninė informacija yra pelningas taikinys. Deja, ši informacija gali būti labai pažeidžiama dėl to, kad šiose aplinkose yra daug prijungtų prietaisų ir tarpusavyje susijusių tinklų. Dažnai šis pažeidžiamumas apima kelis savininkus, įskaitant komandas, įmonių rėmėjus, savivaldybių įstaigas ir trečiųjų šalių rangovus. Treneriai, sportininkai ir sirgaliai taip pat gali būti pažeidžiami, nes gali būti prarasti ir išvilioti jų duomenys.

Be to, renginių vietose ir arenose yra daug žinomų ir nežinomų pažeidžiamumų, dėl kurių grėsmės gali būti nukreiptos į svarbiausias verslo paslaugas, pvz., pardavimo vietų įrenginius, informacinių technologijų infrastruktūras ir lankytojų įrenginius. Nė vieno iš dviejų aukšto lygio sporto renginių kibernetinės rizikos profilis nėra vienodas, nes tai priklauso nuo tokių veiksnių kaip vietovė, dalyviai, dydis ir sudėtis.

Siekdami sutelkti pastangas Katare vykstant Pasaulio futbolo čempionatui, vykdėme aktyvius grėsmių aptikimo veiksmus, kurių metu vertinome riziką naudodami „Defender Experts for Hunting“, t. y. valdomą grėsmių aptikimo tarnybą, kuri aktyviai ieško grėsmių galiniuose punktuose, el. pašto sistemose, skaitmeninėse tapatybėse ir debesies programose. Šiuo atveju veiksniai apėmė grėsmės sukėlėjo motyvaciją, profilio kūrimą ir atsako strategiją. Taip pat atsižvelgėme į pasaulinę žvalgybos informaciją apie geopolitiškai motyvuotus grėsmių sukėlėjus ir kibernetinius nusikaltėlius.

Didžiausią susirūpinimą kėlė renginių tarnybų ar vietos infrastruktūros objektų kibernetinio sutrikdymo rizika. Tokie trikdžiai kaip išpirkos reikalaujančių programų atakos ir bandymai pavogti duomenis gali neigiamai paveikti renginį ir įprastą veiklą.

2018–2023 m. incidentų, apie kuriuos buvo viešai pranešta, chronologija

  • 2023 m. sausio mėn. Nacionalinė krepšinio asociacija įspėja sirgalius apie duomenų saugos pažeidimą, dėl kurio iš trečiosios šalies naujienlaiškių tarnybos nutekėjo jų asmeninė informacija.1
  • 2022 m. lapkričio mėn. „Manchester United“ patvirtino, kad klubas patyrė kibernetinę ataką, nukreiptą į jų sistemas.2
  • 2022 m. vasario mėn. „Super Bowl“ turnyro sekmadienį „San Francisco 49ers“ komanda patyrė didelę išpirkos reikalaujančios programos ataką.3
  • 2021 m. balandžio mėn. išpirkos reikalaujančios programos grupė teigia pavogusi 500 gigabaitų „Rockets“ duomenų, įskaitant susitarimus, konfidencialumo sutartis ir finansinius duomenis. Vidaus saugos priemonės neleido įdiegti išpirkos reikalaujančių programų, išskyrus kelias sistemas.4
  • 2021 m. spalio mėn. vyras iš Minesotos buvo apkaltintas įsilaužus į aukščiausios lygos beisbolo kompiuterines sistemas ir bandžius išvilioti iš lygos 150 000 USD.5
  • 2018 m. Pjongčango žiemos olimpinėse žaidynėse buvo įvykdyta aukšto lygio išpuolių. Rusijos programišiai prieš atidarymo ceremoniją atakavo olimpinių žaidynių tinklus.6

Grėsmių aptikimo komanda veikė vadovaudamasi nuodugnios gynybos filosofija, kad patikrintų ir apsaugotų klientų įrenginius ir tinklus. Dar dėmesio buvo skiriama tapatybių, prisijungimų ir prieigos prie failų elgsenai stebėti. Buvo aprėpti įvairūs sektoriai, įskaitant klientus, dirbančius transporto, telekomunikacijų, sveikatos priežiūros ir kitose svarbiausiose srityse.

Apskritai, bendras subjektų ir sistemų, kurie yra stebimi ištisą parą, naudojant žmonių vadovaujamo grėsmių aptikimo ir reagavimo palaikymą, skaičius buvo daugiau nei 100 000 galinių punktų, 144 000 tapatybių, virš 14,6 mln. el. laiškų srautų, daugiau nei 634,6 mln. autentifikacijų ir milijardai tinklų jungčių.

Pavyzdžiui, kai kurios sveikatos priežiūros įstaigos, įskaitant ligonines, kuriose sirgaliams ir žaidėjams teikiamos ypač svarbi pagalba ir sveikatos priežiūros paslaugos, renginių metu buvo paskirtos skubiosios pagalbos skyriais. Kadangi šios sveikatos priežiūros įstaigos turėjo medicininių duomenų, jos buvo labai vertingi taikiniai. „Microsoft“ mašinų ir žmonių vykdomai grėsmių aptikimo veiklai buvo pasitelkta grėsmių žvalgyba, kad būtų nuskaityti signalai, izoliuoti užkrėsti objektai ir sutrikdytos atakos prieš šiuos tinklus. Pasitelkusi „Microsoft“ saugos technologiją, komanda aptiko ir sustabdė išpirkos reikalaujančios programos paruošiamuosius veiksmus, nukreiptus į sveikatos priežiūros tinklą. Buvo užregistruoti keli nesėkmingi bandymai prisijungti, o tolesnė veikla buvo užblokuota.

Norint užtikrinti skubios sveikatos priežiūros paslaugas, būtina, kad prietaisai ir sistemos veiktų maksimaliai veiksmingai. Ligoninėms ir sveikatos priežiūros įstaigoms tenka nelengva užduotis užtikrinti paslaugų prieinamumą ir kartu išlaikyti gerą kibernetinio saugumo būklę. Sėkminga ataka artimiausiu metu galėtų sutrikdyti medicinos įstaigų veiklą tiek duomenų, tiek informacinių technologijų požiūriu, todėl medicinos paslaugų teikėjai, atnaujindami pacientų duomenis, būtų priversti naudotis rašikliu ir popieriumi, o jų gebėjimas suteikti gyvybiškai svarbią medicininę priežiūrą skubiosios pagalbos ar masinio paskirstymo atvejais būtų susilpnėjęs. Žvelgiant iš ilgalaikės perspektyvos, kenkėjiškas kodas, įdiegtas siekiant užtikrinti matomumą tinkle, galėtų būti panaudotas platesnio masto išpirkos reikalaujančiai programai, kuria siekiama dar labiau sutrikdyti veiklą. Toks atvejis galėtų atverti kelią duomenų vagystei ir prievartai.

Kadangi dideli pasaulio renginiai ir toliau yra geidžiami grėsmių sukėlėjų taikiniai,  nacionalinės valstybės turi įvairių motyvų ir, atrodo, yra pasirengusios prisiimti šalutinę atakų sukeltą žalą, jei tai padės įgyvendinti platesnius geopolitinius interesus. Be to, kibernetinių nusikaltėlių grupuotės, siekiančios pasinaudoti didžiulėmis finansinėmis galimybėmis, kurias jos mato aplinkose, susijusiose su sporto ir renginių vietomis, ir toliau laikys jas geidžiamais taikiniais.

Rekomendacijos

  • Padidinkite saugumo operacijų centro komandą: Turėkite papildomų žmogiškųjų išteklių, kurie visą parą stebėtų renginį, aktyviai aptiktų grėsmes ir siųstų pranešimus. Tai padės sugretinti daugiau medžioklės duomenų ir aptikti ankstyvus įsilaužimo požymius. Tai turėtų apimti ne tik galinių punktų grėsmes, pavyzdžiui, tapatybės kompromitavimą arba įrenginio perėjimą į debesį.
  • Atlikite tikslinį kibernetinės rizikos įvertinimą: Nustatykite galimas grėsmes konkrečiam renginiui, renginio vietai ar šaliai, kurioje vyksta renginys. Į šį įvertinimą turėtų būti įtraukti pardavėjai, komandos ir renginio vietos informacinių technologijų specialistai, rėmėjai ir pagrindinės renginio suinteresuotosios šalys.
  • Laikykite mažiausiai privilegijuotą prieigą geriausia praktika: Suteikite prieigą prie sistemų ir paslaugų tik tiems, kuriems jos reikia, ir parenkite darbuotojus, kad suprastų prieigos lygmenis.

Didelėms atakų pažeidžiamoms sritims būtinas papildomas planavimas ir priežiūra

Kai vyksta tokie renginiai kaip Pasaulio futbolo čempionatas™, olimpinės žaidynės ir apskritai sporto renginiai, žinomos kibernetinės rizikos išryškėja unikaliais būdais, dažnai ne taip pastebimai kaip kitose įmonių aplinkose. Šie renginiai gali vykti greitai, kai nauji partneriai ir pardavėjai tam tikram laikotarpiui įgyja prieigą prie įmonės ir bendrų tinklų. Dėl iškylančiojo ryšio su kai kuriais renginiais pobūdžio gali būti sunku užtikrinti įrenginių ir duomenų srautų matomumą ir kontrolę. Tai taip pat sukuria klaidingą saugos jausmą, kad „laikini“ ryšiai yra mažiau rizikingi.

Renginių sistemos gali apimti komandos arba renginio vietos vykdomą informavimą interneto svetainėje ir socialiniuose tinkluose, registracijos arba bilietų platinimo platformas, žaidimo laiko ir taškų skaičiavimo sistemas, logistiką, medicininį valdymą ir pacientų stebėseną, incidentų stebėjimą, masinio informavimo sistemas ir elektroninius ženklus.

Sporto organizacijos, rėmėjai, organizatoriai ir renginių vietos turi bendradarbiauti kurdami šias sistemas ir užtikrindami kibernetinę išmaniąją patirtį sirgaliams. Be to, dėl didžiulio skaičiaus dalyvių ir darbuotojų, kurie su savo įrenginiais atsineša duomenų ir informacijos, padidėja atakos pažeidžiama sritis.

Keturios kibernetinės didelių renginių rizikos

  • Išjunkite visus nereikalingus prievadus ir užtikrinkite tinkamą tinklo nuskaitymą, kad būtų galima atnaujinti kenkėjiškus ar „ad hoc“ belaidžio ryšio prieigos taškus, pataisyti programinę įrangą ir pasirinkti programas, kuriose visi duomenys šifruojami.
  • Skatinkite dalyvius 1) apsaugoti savo programėles ir įrenginius naujinimais ir naujausiomis pataisomis, 2) vengti prieigos prie konfidencialios informacijos naudojantis viešuoju „Wi-Fi“ ryšiu, 3) vengti nuorodų, priedų ir QR kodų iš neoficialių šaltinių.
  • Užtikrinkite, kad pardavimo vietų įrenginiai būtų pataisyti, atnaujinti ir prijungti prie atskiro tinklo. Be to, dalyviai turėtų saugotis nepažįstamų kioskų ir bankomatų, o operacijas vykdyti tik renginio organizatoriaus oficialiai patvirtintose vietose
  • Plėtokite loginius tinklo segmentus, kad kurtumėte informacinių ir operacinių technologijų sistemas ir apribotumėte kryžminę prieigą prie įrenginių ir duomenų ir taip sumažintumėte kibernetinės atakos pasekmes.

Iš anksto pateikus reikiamą informaciją saugos komandoms, įskaitant svarbiausias paslaugas, kurios turi veikti renginio metu, bus geriau parengti reagavimo planai. Tai ypač svarbu informacinių ir operacinių technologijų aplinkose, kuriose palaikoma renginių vietų infrastruktūra, ir užtikrinant fizinę dalyvių saugą. Būtų idealu, jeigu organizacijos ir saugos komandos galėtų sukonfigūruoti savo sistemas dar iki renginio, kad užbaigtų jų tikrinimą, padarytų sistemų ir įrenginių momentines kopijas, o prireikus pateiktų jas informacinių technologijų komandoms, kad jos galėtų greitai jas pakartotinai įdiegti. Šios pastangos labai padeda atgrasyti priešininkus, kad jie nepasinaudotų blogai sukonfigūruotais, „ad hoc“ tinklais itin geidžiamoje ir taikinių gausioje didelių sporto renginių aplinkoje.

Be to, kas nors patalpoje turėtų įvertinti privatumo riziką ir tai, ar konfigūracijos nekelia dalyvių asmeninei informacijai ar komandų patentuotiems duomenims naujos rizikos ir nedaro jų pažeidžiamais. Šis asmuo gali naudoti paprastą kibernetinio išmanumo praktiką sirgaliams, nurodydamas jiems, pavyzdžiui, nuskaityti tik QR kodus, kuriuose yra oficialus logotipas, kritiškai vertinti SMS ar trumpąsias žinutes, kurių jie nepasirašė, ir vengti naudotis nemokamu viešuoju „Wi-Fi“ ryšiu.

Šios ir kitos strateginės priemonės gali ypač padėti visuomenei geriau suprasti kibernetinę riziką dideliuose renginiuose ir jų keliamą duomenų rinkimo ir vagystės pavojų. Saugios praktikos žinojimas gali padėti sirgaliams ir dalyviams netapti socialinės inžinerijos atakų, kurias kibernetiniai nusikaltėliai gali vykdyti užėmę išnaudojamų renginių ir jų vietų tinklus, aukomis.

Be toliau pateiktų rekomendacijų, Nacionalinis žiūrovų sporto saugos ir saugumo centras siūlo apsvarstyti šiuos aspektus , susijusius su prijungtaisiais įrenginiais ir integruota sauga didelėse įrenginių vietose.

Rekomendacijos

  • Teikite pirmenybę išsamiai ir daugiasluoksnei saugumo sistemai įdiegti: Tai apima užkardų, įsilaužimo aptikimo ir prevencijos sistemų bei stiprių šifravimo protokolų diegimą, kad tinklas būtų apsaugotas nuo neteisėtos prieigos ir duomenų pažeidimų.
  • Vartotojų informavimo ir mokymų programos: Švieskite darbuotojus ir suinteresuotąsias šalis apie geriausią kibernetinės saugos praktiką, pavyzdžiui, kaip atpažinti sukčiavimo apsimetant el. laiškus, naudoti kelių dalių autentifikavimą arba apsaugą be slaptažodžio ir vengti įtartinų saitų ar atsisiuntimų.
  • Bendradarbiaukite su patikimomis kibernetinės saugos įmonėmis: Nuolat stebėkite tinklo srautą, aptikite galimas grėsmes realiuoju laiku ir greitai reaguokite į bet kokius saugos incidentus. Atlikite reguliarius saugumo auditus ir pažeidžiamumo vertinimus, kad nustatytumėte ir pašalintumėte visus tinklo infrastruktūros trūkumus.

Daugiau įžvalgų apie bendrus saugos iššūkius pateikė „Microsoft“ saugos tyrimų vyriausiasis grupės vadovas Justinas Turneris.

Momentiniai duomenys rodo bendrą subjektų ir renginių, ištisą parą stebėtų nuo 2022 m. lapkričio 10 d. iki gruodžio 20 d., skaičių. Tai apima organizacijas, kurios tiesiogiai dalyvauja turnyrų infrastruktūroje arba yra su ja susijusios. Veikla apima žmogaus vadovaujamus aktyvius grėsmių aptikimo veiksmus, kuria siekiama nustatyti kylančias grėsmes ir stebėti garsias kampanijas.

Pagrindinės įžvalgos:
 

45 apsaugotos organizacijos                                 100 000 apsaugotų galinių punktų

 

144 000 apsaugotų tapatybių                               14,6 mln. el. laiškų srautų

 

634,6 mln. autentifikavimo bandymų                4,35 mlrd. tinklų jungčių

Metodika: Momentiniams duomenims gauti „Microsoft“ platformos ir paslaugos, įskaitant „Microsoft Extended Detections and Response“, „Microsoft Defender“, „Defender Experts for Hunting“ ir „Azure Active Directory“, pateikė anoniminių duomenų apie grėsmes keliančią veiklą, pavyzdžiui, kenkėjiškas el. pašto paskyras, sukčiavimo apsimetant el. laiškus ir įsilaužėlių judėjimą tinkluose. Papildomos įžvalgos yra gaunamos iš 65 trilijonų kasdien gaunamų „Microsoft“ saugos signalų, įskaitant debesį, galinius punktus, intelektualiąją duomenų analizę ir mūsų grėsmių prevencijos saugos tarnybos bei aptikimo ir reagavimo komandas. Viršelyje nevaizduojamas tikrasis futbolo žaidimas, turnyras ar atskira sporto šaka. Visos minėtos sporto organizacijos yra individualiai valdomi prekių ženklai.

Susiję straipsniai

Ekspertų patarimai dėl trijų opiausių kibernetinės saugos iššūkių

„Microsoft“ saugos tyrimų vyriausiasis grupės vadovas Justinas Turneris aprašo tris ilgą laiką trunkančius iššūkius, su kuriais susidūrė per savo karjerą kibernetinės saugos srityje: konfigūracijų valdymas, pataisų taikymas ir įrenginių matomumas.
Sužinokite daugiau

61 % sukčiavimo apsimetant atakų padidėjimas. Sužinokite savo modernią atakos pažeidžiamą sritį

Norėdamos valdyti vis sudėtingesnę atakos pažeidžiamą sritį, organizacijos turi sukurti visapusišką saugos būseną. Šioje ataskaitoje, kurioje pateikiamos šešios pagrindinės atakų pažeidžiamos sritys, sužinosite, kaip tinkama grėsmių analizė gali padėti pakreipti žaidimo sąlygas gynėjų naudai.
Sužinokite daugiau

Informacinių ir operacinių technologijų susiliejimas

Dėl didėjančio internetu sąveikaujančių įrenginių paplitimo kyla pavojus operacinėms technologijoms, nes atsiranda daugybė galimų pažeidžiamumų ir didėja grėsmių sukėlėjų poveikis. Sužinokite, kaip apsaugoti savo organizaciją.
Sužinokite daugiau

Stebėkite „Microsoft“ saugą