Trace Id is missing

Cybertrusler retter sig i stigende grad mod verdens største begivenhedsscener

Download
Del
En illustration af et fodboldstadion med mange forskellige ikoner.

Cyber Signals, 5. udgave: Spillets status

Trusselaktører går derhen, hvor målene er, og de gør brug af muligheder for at lancere målrettede eller brede opportunistiske angreb. Dette omfatter højprofilerede sportsbegivenheder, særligt dem, der er i stadig mere forbundne miljøer, hvilket introducerer cyberrisici for arrangører, regionale værtsfaciliteter og tilstedeværende. Storbritanniens National Cyber Security Centre (NCSC) har fundet frem til, at cyberangreb mod sportsorganisationer er stadig mere udbredte, hvor 70 procent af de adspurgte oplever mindst ét angreb pr. år, betydeligt mere end gennemsnittet på tværs af virksomheder i Storbritannien.

Presset til at levere en glat og sikker oplevelse på verdensscenen introducerer nye risici for lokale værter og faciliteter. En enkelt fejlkonfigureret enhed, en afsløret adgangskode eller en overset tredjepartsforbindelse kan føre til et databrud eller vellykket indtrængen.

Microsoft leverede cybersikkerhedssupport til kritiske infrastrukturfaciliteter under Qatars værtskab for FIFA World Cup i 2022TM. I denne udgave beretter vi direkte om lærepunkter om, hvordan trusselsaktører vurderer og infiltrerer disse miljøer på tværs af lokaler, teams og kritisk infrastruktur omkring selve begivenheden.

Vi er alle forsvarere inden for cybersikkerhed.

Microsoft gennemførte mere end 634,6 millioner godkendelser, mens der blev leveret cybersikkerhedsforsvar til qatarske faciliteter og organisationer mellem 10. november og 20. december 2022.

Opportunistiske trusselsaktører udnytter et trusselspræget miljø

Cybersikkerhedstrusler mod sportsbegivenheder og -steder er forskelligartede og komplekse. De kræver konstant årvågenhed og samarbejde mellem interessenter for at forebygge og imødekomme eskalering. Med et globalt sportsmarked værdisat til mere end 600 milliarder USD er målet rigt. Sportsteams, topliga- og globale sportssammenslutninger samt underholdningssteder indeholder en skattekiste af værdifulde oplysninger, som cyberkriminelle gerne vil have fat i.

Oplysninger om atletisk ydeevne, konkurrencefordele og personlige oplysninger er et lukrativt mål. Desværre kan oplysningerne være sårbare i stor skala på grund af antallet af forbundne enheder og tværforbundne netværk i disse miljøer. Denne sårbarhed spænde ofte over flere ejere, herunder teams, erhvervssponsorer, kommunale myndigheder og tredjeparts-entreprenører. Trænere, atleter og fans kan også være sårbare over for datatab og afpresning.

Derudover kan sportssteder og arenaer indeholde mange kendte og ukendte sårbarheder, som lader trusler rette sig mod kritiske forretningstjenester, f.eks. betalingskasseenheder, it-infrastruktur og besøgendes enheder. Der er ikke to højprofilerede sportsbegivenheder, der har den samme cyberrisikoprofil – den varierer afhængigt af faktorer såsom placering, deltagere, størrelse og sammensætning.

For at fokusere vores kræfter under Qatars VM-værtskab udførte vi proaktiv jagt på trusler, hvorigennem vi vurderer risiko med Defender-jagteksperter, en administreret tjeneste til jagt på trusler, der proaktivt søger efter trusler på tværs af slutpunkter, mailsystemer, digitale identiteter og apps i skyen. I denne instans inkluderede faktorerne trusselsaktørenes motivation, profiludvikling og en responsstrategi. Vi har også overvejet oplysninger om trusler på globalt plan for geopolitisk motiverede trusselsaktører og cyberkriminelle.

De bekymringer, der lå mest på sinde, omfattede risiko for cyberforstyrrelse af begivenhedstjenester eller lokale faciliteter. Forstyrrelser såsom ransomware-angreb og indsatser for at stjæle data kunne påvirke oplevelsen af begivenheden og den daglige drift negativt.

Tidslinje for offentligt rapporterede hændelser i perioden 2018-2023

  • Januar 2023: National Basketball Association advarer fans om et databrud, der lækkede deres personlige oplysninger fra en tredjeparts-nyhedsbrevtjeneste.1
  • November 2022: Manchester United bekræftede, at klubben oplevede et cyberangreb mod sine systemer.2
  • Februar 2022: San Francisco 49ers blev ramt af et stort ransomware-angreb på Super Bowl Sunday.3
  • April 2021: En ransomwaregruppe påstår at have stjålet 500 gigabyte af Rockets' data, herunder kontrakter, hemmeligholdelsesaftaler og finansielle data. Interne sikkerhedsværktøjer forhindrede installationen af ransomware, med undtagelse af nogle få systemer.4
  • Oktober 2021: En mand fra Minnesota blev anklaget for at hacke Major League Baseball-computersystemer og forsøge at afpresse ligaen for 150.000 USD.5
  • 2018: Vinter-OL i Pyeongchang oplevede et højt angrebsniveau. Russiske hackere udførte angreb på OL-netværk før åbningsceremonien.6

Trusselsjagtteamet opererede med en dybt forsvar-filosofi for at inspicere og beskytte kundeenheder og -netværk. Et andet fokus var overvågning af adfærden for identiteter, logons og filadgang. Dækningen omfattede en række sektorer, herunder kunder involveret i transport, telekommunikation, sundhedspleje og andre essentielle funktioner.

Overordnet set blev det samlede antal enheder og systemer overvåget 24/7, hvor menneskestyret trusselsjagt- og responssupport omfattede mere end 100.000 slutpunkter, 144.000 identiteter, over 14,6 millioner mailflows og over 634,6 millioner godkendelser, samt milliarder af netværksforbindelser.

Et eksempel er, at nogle sundhedsfaciliteter blev udpeget som enheder til hastepleje til begivenheden, herunder hospitaler, som leverede kritisk support og sundhedstjenester til fans og spillere. Som sundhedsfaciliteter, der ejer medicinske data, var de højværdimål. Microsofts maskin- og menneskedrevne jagt på trusselsaktivitet gjorde brug af oplysninger om trusler til at scanne signaler, isolerede inficerede aktiver og spolere angreb på disse netværk. Med en kombination af Microsoft Security-teknologi, registrerede og isolerede teamet præ-ransomware-aktivitet, der rettede sig mod sundhedsnetværket. Flere mislykkede logonforsøg blev logført, og yderligere aktivitet blev blokeret.

Sundhedstjenesternes hastenatur kræver, at enheder og systemer skal opretholde en høj ydeevne. Hospitaler og sundhedsfaciliteter har en udfordrende opgave med at balancere tjenestetilgængelighed, mens der opretholdes et sundt niveau for cybersikkerhed. E vellykket angreb kunne på kort sigt have standset medicinske faciliteter set fra et data- og it-perspektiv, hvorved medicinske udbydere ville være henvist til blyant og papir ved opdatering af patientdata, foruden at svække deres evne til at udføre livreddende medicinsk pleje i en nød- eller massebehandlingssituation. På længere sigt kunne indført ondsindet kode med henblik på at give synlighed på tværs af et netværk været blevet udnyttet til en større ransomware-hændelse med yderligere forstyrrelse som mål. Et sådant tilfælde kunne have åbnet døren for datatyveri og afpresning.

Eftersom globale begivenheder fortsætter med at være ønskede mål for trusselsaktører, er der en række former for motivation fra nation-stater, som virker villige til at acceptere følgeskader fra angreb, hvis de understøtter bredere geopolitiske interesser. Derudover vil cyberkriminelle grupper, der ønsker at gøre brug af de store finansielle muligheder, der findes i sports- og lokalerelaterede it-miljøer, fortsætte med at se dem som ønskede mål.

Anbefalinger

  • Udvid SOC-teamet: Hav et ekstra par øjne til at overvåge begivenheden døgnet rundt for proaktivt at registrere trusler og sende beskeder. Dette hjælper med at forbinde flere jagtdata og opdage tidlige tegn på indtrængen. Det bør inkludere trusler udover slutpunktet, f.eks. kompromittering af identitet eller skift fra enhed til sky.
  • Foretag en fokuseret vurdering af cyberrisiko: Identificer potentielle trusler, der er specifikke for begivenheden, lokalerne eller nationen, hvor begivenheden finder sted. Vurderingen skal inkludere leverandører, team og lokalernes it-fagfolk, sponsorer og begivenhedens vigtigste interessenter.
  • Overvej mindst privilegeret adgang som en bedste praksis: Giv kun adgang til systemer og tjenester til dem, der har brug for den, og oplær personale til at forstå adgangslag.

Store angrebsoverflader kræver yderligere planlægning og tilsyn

Med begivenheder såsom World Cup™, OL og sportsbegivenheder generelt fremkommer cyberrisici på unikke måder, som ofte er sværere at opfatte end i andre virksomhedsmiljøer. Disse begivenheder kan blive arrangeret hurtigt, hvor nye partnere og leverandører får adgang til virksomhedsnetværk og delte netværk for en bestemt periode. Pop op-naturen med hensyn til forbindelse ved nogle begivenheder kan gøre det svært at udvikle synlighed og kontrol over enheder og dataflows. Det skaber også en falsk tryghedsfølelse for, at "midlertidige" forbindelser har lavere risiko.

Begivenhedssystemer kan inkludere teamets eller lokalernes tilstedeværelse på web og sociale medier, registrerings- eller billetteringsplatforme, timing- og scoresystemer til kampen, logistik, medicinsk administration og patientsporing, hændelsessporing, masseunderretningssystemer og elektronisk skiltning.

Sportsorganisationer, sponsorer, værter og lokaler skal samarbejde om disse systemer og udvikle cybersmarte fanoplevelser. Derudover øger det store antal deltagere og medarbejdere, der medbringer data og oplysninger via deres egne enheder, angrebsoverfladen.

Fire cyberrisici for store begivenheder

  • Deaktiver alle unødvendige porte, og sørg for korrekt netværksscanning for svigagtige eller ad-hoc-opdateringer af trådløse adgangspunkter, patchsoftware, og vælg programmer med et krypteringslag for alle data.
  • Tilskynd deltagerne til at (1) beskytte deres apps og enheder med de nyeste opdateringer og fejlrettelser, (2) undgå at tilgå følsomme oplysninger fra offentligt WiFi, (3) undgå links, vedhæftede filer og QR-koder fra ikke-officielle kilder.
  • Sørg for at POS-enheder er patchede, opdaterede og forbundet til et separat netværk. Deltagerne skal også være opmærksomme på ikke-velkendte kiosker og hæveautomater og begrænse transaktioner til at områder, der officielt er godkendt af begivenhedens vært
  • Opbyg segmenteringer af det logiske netværk for at skabe adskillelser mellem it- og OT-systemer og begrænse tværgående adgang til enheder og data for at imødekomme konsekvenserne af et cyberangreb.

Når sikkerhedsteams på forhånd får de oplysninger, de har brug for – herunder kritiske tjenester, der skal forblive i drift i løbet af begivenheden – informeres responsplaner bedre. Dette er essentielt i it- og OT-miljøer, der understøtter lokalernes infrastruktur, og for at opretholde de tilstedeværendes fysiske sikkerhed. Ideelt set kunne organisationer og sikkerhedsteams konfigurere deres systemer før begivenheden for at fuldføre testfasen, tage et snapshot af systemet og enhederne og klargøre dem til, at it-teams hurtigt kan genudrulle dem efter behov. Disse bestræbelser gør meget i forhold til at afskrække fjender fra at gøre brug af dårligt konfigurerede ad hoc-netværk i de særligt eftertragtede målrige miljøer, der findes ved store sportsbegivenheder.

Derudover bør nogen i rummet overveje risiko med hensyn til beskyttelse af personlige oplysninger, og hvorvidt konfigurationerne tilføjer nye risici eller sårbarheder for så vidt angår deltagernes personlige oplysninger eller teamets proprietære data. Denne person kan implementere enkle cybersmarte praksisser for fans og instruere dem i f.eks. kun at scanne QR-koder med et officielt logo, være kritiske over for SMS- eller beskedhenvendelser, de ikke har tilmeldt sig og at undgå brug af gratis offentlig WiFi.

Disse og andre politikker kan hjælpe offentligheden med at få en bedre forståelse af cyberrisiko specifikt ved store begivenheder og deres eksponering for datahøst og -tyveri. Kendskab til sikre praksisser kan hjælpe fans og deltagere med at undgå at blive ofre for social engineering-angreb, som cyberkriminelle kan udføre, når de har fået en fod inden for i brudte lokale- og begivenhedsnetværk.

I tillæg til anbefalingerne nedenfor tilbyder National Center for Spectator Sports Safety and Security disse overvejelser vedrørende forbundne enheder og integreret sikkerhed for store lokaler.

Anbefalinger

  • Prioriter implementeringen af en omfattende sikkerhedsstruktur med flere lag: Dette inkluderer udrulning af firewall, registrering af indtrængen og forebyggelsessystemer og stærke krypteringsprotokoller for at befæste netværket mod uautoriseret adgang og databrud.
  • Brugeropmærksomheds- og oplæringsprogrammer: Undervis medarbejdere og interessenter i bedste praksis for cybersikkerhed, f.eks. genkendelse af phishingmails, brug af multifaktorgodkendelse eller beskyttelse uden adgangskode, og undgå mistænkelige links eller downloads.
  • Samarbejd med cybersikkerhedsfirmaer med et godt ry: Overvåg kontinuerligt netværkstrafik, registrer potentielle trusler i realtid, og reager hurtigt på alle sikkerhedshændelser. Foretag regelmæssige gennemgange af sikkerhed og sårbarhedsvurderinger for at identificere og adressere alle sårbarheder i netværkets infrastruktur.

Få mere indsigt om udbredte sikkerhedsudfordringer fra Principal Group Manager Justin Turner, Microsoft Security Research.

Snapshotdata repræsenterer det samlede antal enheder og begivenheder overvåget 24/7 i perioden 10. november til 20. december 2022. Dette inkluderer organisationer, der enten er direkte involveret i eller forbundet med turneringens infrastruktur. Aktiviteten inkluderer menneskestyrede proaktive jagter på trusler for at identificere fremkommende trusler og spore nævneværdige kampagner.

Hovedindsigter:
 

45 organisationer beskyttet                                 100,000 slutpunkter beskyttet

 

144.000 identiteter beskyttet                               14m6 millioner mailflows

 

634,6 millioner godkendelsesforsøg                4,35 milliarder netværksforbindelser

Metodologi: For snapshotdata leverede Microsofts platforme og tjenester, herunder Microsoft Extended Detections and Response, Microsoft Defender, Defender-jagteksperter og Azure Active Directory anonymiserede data om trusselsaktivitet, f.eks. ondsindede mailkonti, phishingmails og angriberes bevægelser i netværk. Yderligere indsigt indhentes fra de 65 billioner daglige sikkerhedssignaler på tværs af Microsoft, herunder skyen, slutpunkter, den intelligente kant og vores Compromise Security Recovery Practice- og Detection and Response-teams. Forsidebilledet afbilder ikke nogen faktisk fodboldkamp, turnering eller individuel sport. Alle refererede sportsorganisationer er individuelt ejede varemærker.

Relaterede artikler

Ekspertrådgivning om de tre mest vedvarende udfordringer for cybersikkerhed

Principal Group Manager Justin Turner, Microsoft Security Research, beskriver de tre vedvarende udfordringer, han har set gennem sin cybersikkerhedskarriere: konfigurationsstyring, opdatering og enhedssynlighed.
Få mere at vide

61 % stigning i phishingangreb. Kend din moderne angrebsoverflade

For at administrere en fortsat mere kompleks angrebsoverflade skal organisationer udvikle et højt sikkerhedsniveau. Denne rapport vil med seks vigtige angrebsoverfladeområder vise dig, hvordan de rigtige oplysninger om trusler kan hjælpe med at vende spillet til forsvarernes fordel.
Få mere at vide

Mødet mellem it og OT

Den stigende mængde IoT, der er i omløb, giver øget risiko for OT med en række potentielle sårbarheder og eksponering for trusselsaktører. Find ud af, hvordan du kan beskytte din organisation.
Få mere at vide

Følg Microsoft Security