Trace Id is missing

網路威脅日益瞄準世界上最為盛大的各類活動舞臺

下載
共用
一個足球場的插圖,有很多不同的圖示。

Cyber Signals 第 5 期:播放狀態

威脅行為者會前往目標所在地,伺機發起有針對性或廣泛的隨機攻擊。這延伸到備受矚目的體育賽事,尤其是那些在日益互聯環境中的賽事,給召集人、區域主辦機構和出席者帶來了網路風險。英國國家網路安全中心(NCSC)發現,針對體育組織的網路攻擊越來越普遍,70%的受訪者每年至少遭受一次攻擊,明顯高於英國企業的平均水準。

在世界舞臺上交付平穩、安全的體驗,這一壓力給當地主辦方和設施帶來了新的風險。配置有誤的單個設備、已暴露的密碼或被忽視的第三方連接都可能導致數據洩露或成功入侵。

Microsoft 於卡達國舉辦2022 年TM年 FIFA 世界盃期間為關鍵基礎設施提供網路安全支援。在本期中,我們將提供第一手資料,有關威脅行為者如何跨場地、團隊和活動本身的關鍵基礎設施評估和滲透這些環境。

我們都是網路安全捍衛者。

在 2022 年 11 月 10 日至 12 月 20 日期間,Microsoft 執行了超過  6.346 億次 身份驗證,同時為卡達設施和組織提供網路安全防禦。

伺機而動的威脅參與者利用標的豐富的環境

體育賽事和場館面臨的網路安全威脅多樣且複雜。它們需要利益相關者之間不斷保持警惕和協作,以防止並減緩升級。全球體育市場 價值超過 6000 億美元,標的十分豐富。運動團隊、美國職業大聯盟和全球體育協會以及娛樂場所擁有網路犯罪分子所需的大量寶貴資訊。

有關運動表現、競爭優勢和個人的資訊是有利可圖的目標。遺憾的是,由於這些環境中連接設備和互連網路的數量,這些資訊可能廣泛易受攻擊。通常,此漏洞涉及多個擁有者,包括團隊、企業贊助商、市政當局和第三方承包商。教練、運動員和球迷也容易受到數據丟失和勒索的影響。

此外,場館和競技場包含許多已知和未知的漏洞,這些漏洞使威脅得以針對關鍵業務服務,例如銷售點設備、IT 基礎設施和訪客設備。備受矚目的體育賽事具有不同的網路風險狀況,這取決於地點、參與者、規模和組成等因素。

為了在卡達舉辦世界杯期間集中精力,我們進行了主動威脅搜尋,通過該搜尋,我們使用 Defender Experts for Hunting(一種託管威脅搜尋服務)來評估風險,該服務可跨端點、電子郵件系統、數位標識和雲應用主動搜索威脅。在這種情況下,各種因素包括威脅參與者的動機、配置檔開發和回應策略。我們還考慮了有關地緣政治動機的威脅行為者和網路犯罪分子的全球威脅情報。

最令人擔憂的問題包括活動服務或當地設施的網路中斷風險。勒索軟體攻擊和竊取數據等中斷可能會對活動體驗和日常運營產生負面影響。

2018 年至 2023 年公開報告的事件時程表

  • 2023 年 1 月,美國國家籃球協會(NBA)警告球迷注意一起數據洩露事件,該事件導致他們的個人資訊從第三方時事通訊服務中洩露。1
  • 2022 年 11 月 曼聯證實,該俱樂部的系統遭到了網路攻擊。2
  • 2022 年 2 月,三藩市 49 人隊在周日超級碗上遭到了一次重大勒索軟體攻擊。3
  • 2021 年 4 月,一個勒索軟體組織聲稱竊取了 500 GB 的火箭隊數據,包括合同、保密協定和財務數據。內部安全工具阻止了勒索軟體的安裝,但少數系統除外。4
  • 2021 年 10 月,一名明尼蘇達州男子被指控入侵 MLB 的計算機系統,並試圖勒索該聯盟 150,000 美元。5
  • 2018 年平昌冬奧會遭遇的襲擊事件非常嚴重。俄羅斯駭客在開幕式前對奧運網路進行了攻擊。6

威脅搜尋團隊在縱深防禦理念下運作,檢查並保護客戶設備和網路。另一個重點是監視身份、登錄和文件訪問的行為。覆蓋範圍涵蓋多個行業,包括涉及運輸、電信、醫療保健和其他基本職能的客戶。

總體而言,通過人工主導的威脅搜尋和回應支援,7 天 24 小時全天候監控的實體和系統總數涵蓋 100,000 多個端點、144,000 個身份、1,460 萬多個電子郵件流、超過 6.346 億次身份驗證和數十億個網路連接。

例如,一些醫療機構被指定為賽事的緊急護理單位,包括為球迷和球員提供關鍵支援和健康服務的醫院。擁有醫療數據的醫療機構是高價值目標。Microsoft 機器和人力驅動的威脅搜尋活動利用威脅情報來掃描信號、隔離受感染的資產並破壞對這些網路的攻擊。結合 Microsoft 安全性技術,該團隊檢測並隔離了針對醫療保健網路的勒索前軟體活動。記錄了多次不成功的登錄嘗試,並阻止了進一步的活動。

醫療保健服務的緊迫性要求設備和系統保持最佳性能水準。多所醫院和醫療機構面臨著一項具有挑戰性的任務,即在保持健康網路安全態勢的同時平衡服務可用性。在短期內,成功的攻擊可能會使醫療設施陷入癱瘓,從數據到 IT 方面,使醫療提供者在更新患者數據時只能使用紙筆,並削弱他們在緊急情況或大規模分診情況下執行救死扶傷的醫療服務的能力。從長遠來看,為提供整個網路的可見性而植入的惡意代碼可能會被用於更廣泛的勒索軟體事件,以達到進一步破壞的目的。這樣的案例可能為數據盜竊和勒索打開了大門。

大型全球事件仍然是威脅行為者的理想目標,但主權國家的 a 動機各異,如果能支持更廣泛的地緣政治利益,這些國家似乎願意承受襲擊造成的附帶損害。此外,網路犯罪集團尋求利用體育和場館相關 IT 環境中存在的巨大金融機會,繼續將這些視為理想的目標。

建議

  • 增強 SOC 團隊:多一雙眼睛全天候監控事件,以主動檢測威脅併發送通知。這有助於關聯更多的狩獵數據並發現入侵的早期跡象。它應包括終端以外的威脅,例如身份洩露或設備到雲透視。
  • 進行有針對性的網路風險評估:識別特定於事件發生地、地點或國家/地區的潛在威脅。該評估應包括供應商、團隊和場地 IT 專業人員、贊助商和關鍵活動利益相關者。
  • 將最低限度的優先訪問特權視為最佳做法:僅向需要的人員授予對系統和服務的訪問許可權,並培訓員工了解訪問層。

龐大的攻擊面需要額外的規劃和監督

在 World Cup™(世界杯)、奧運會和一般體育賽事等各類賽事中,已知的網路風險以獨特方式浮出水面,通常比其他企業環境更不明顯。這些事件可以快速集聚,而新的合作夥伴和供應商可在特定時間段內獲得對企業和共用網路的訪問許可權。與某些事件關接的彈窗性質可能使開發設備和數據流的可見性和控制變得困難。它還助長了一種錯誤的安全感,即「臨時」連接的風險較低。

活動的各種系統可以包括團隊或場館網路和社交媒體存在、註冊或票務平臺、比賽計時和計分系統、物流、醫療管理和患者跟蹤、事件跟蹤、群發通知系統和電子標牌。

體育組織、贊助商、主辦方和場館必須在這些系統上進行合作,並開發網路智慧球迷體驗。此外,大量出席者和工作人員的通過自己的設備攜帶數據和資訊,增加了攻擊面。

大型活動的四大網路風險

  • 禁用任何不必要的埠,並確保對惡意或臨時無線存取點進行適當的網路掃描,更新、修補軟體,並選擇對所有資料進行加密層的應用程式。
  • 鼓勵出席者(1)使用最新更新和補丁保護其應用程式和設備,(2)避免從公共 Wi-Fi 訪問敏感資訊,(3)避免來自非官方來源的連結、附件和二維碼。
  • 確保 POS 設備已得到修補、保持更新並連接到單獨的網路。此外,出席者應提防不熟悉的自助服務終端和自動取款機,並將交易限制在活動主辦方官方認可的區域
  • 開發邏輯網路分段,在 IT 和 OT 系統之間予以劃分,並限制對設備和數據的交叉訪問,以減輕網路攻擊的後果。

提前向安全團隊提供所需的資訊,包括在活動期間必須保持可操作的關鍵服務,將更好地為響應計劃提供資訊。這在支持場地基礎設施的 IT 和 OT 環境中至關重要,並有助於維護出席者的人身安全。理想情況下,組織和安全團隊可以在事件發生前配置其系統以完成測試,對系統和設備進行快照,並使其隨時可供 IT 團隊使用,以便在需要時快速重新部署。這些努力大大有助於阻止對手在大型體育賽事目標眾多的理想環境中利用配置不佳的特設網絡。

此外,室內的某位成員應該考慮隱私風險,以及配置是否會給出席者的個人資訊或團隊的專有數據增加新的風險或漏洞。這個人可以為粉絲實施簡單的網路智慧實務,例如,指導其僅掃描帶有官方標誌的二維碼,對其沒有註冊的簡訊或簡訊請求保持謹慎,並避免使用免費的公共 Wi-Fi。

這些和其他政策可以幫助公眾更好地了解大型活動的網路風險,特別是他們面臨的數據收集和盜竊風險。了解安全的做法有助於粉絲和出席者免於成為社會工程攻擊的受害者,網路犯罪分子在進入被利用的場地和活動網路后可以發動這種攻擊。

除了以下建議外,美國國家觀眾體育安全與安保中心還為大型場館的聯網設備和集成安全提供了 這些注意事項 。

建議

  • 優先實施全面且多層次的安全框架:這包括部署防火牆、入侵檢測和防禦系統以及強大的加密協定,以加強網路免受未經授權的訪問和數據洩露。
  • 用戶意識和培訓計劃:對員工和利益相關者進行網路安全最佳實踐方面的教育,例如識別網路釣魚電子郵件、使用多重身份驗證或無密碼保護,以及避免可疑鏈接或下載。
  • 與信譽良好的網路安全公司合作:持續監控網路流量,即時檢測潛在威脅,並快速回應任何安全事件。定期進行安全審計和漏洞評估,以識別和解決網路基礎設施中的任何弱點。

獲取來自 Microsoft 安全性研究的首席組經理 Justin Turner有關常見安全挑戰的更多見解。

快照數據表示 2022 年 11 月 10 日至 12 月 20 日期間 7 天 24 小時監控的實體和事件總數。這包括直接參與或隸屬於錦標賽基礎設施的組織。活動包括以人為主導的主動威脅搜尋,以識別新出現的威脅並跟蹤值得注意的活動。

重要深入解析:
 

45 家受保護組織                                 100,000 個受保護端點

 

144,000 個受保護的身份                               1460 萬電子郵件流量

 

6.346 億次身份驗證嘗試                43.5 億個網絡連接

方法:對於快照數據,Microsoft 平臺和服務(包括 Microsoft 擴展檢測和回應、Microsoft Defender、Defender 搜尋專家和 Azure 有效目錄資訊)提供了有關威脅活動的匿名數據,例如惡意電子郵件帳戶、網路釣魚電子郵件和攻擊者在網路中的移動。其他分析來自 Microsoft 每天獲得的 65 萬億個安全信號,包括雲、終端、智慧邊緣以及我們的入侵安全恢復實踐以及檢測和響應團隊。封面圖片並未描繪實際的足球比賽、錦標賽或單項運動。所有引用的體育組織均為個人擁有的商標。

相關文章

關於網路安全三大最持久挑戰的專家建議

Microsoft 安全性研究部首席組經理 Justin Turner 描述了在其整個網路安全職業生涯中遇到的三個持久挑戰:配置管理、補丁和設備可見性。
深入了解

網路釣魚攻擊增加 61%。了解您的現代攻擊面

為了管理日益複雜的攻擊面,各類組織必須制定全面的安全性態勢。本報告包含六個關鍵攻擊面,將向您展示正確的威脅情報如何助力扭轉有利於防禦者的競爭環境。
深入了解

IT 和 OT 的融合

物聯網日益普及使得 IOT 面臨風險並存在一系列潛在弱點,暴露給威脅執行者。了解如何保護您的組織。
深入了解

關注 Microsoft 安全性