Absicherung des Super Bowl: Lektionen zum Netzwerk-Lockdown bei Mega-Events

Cyber Security News

Buccaneers vs. Chiefs. Tom Brady vs. Patrick Mahomes. Super Bowl LV bot ein verlockendes Match zwischen zwei Spitzenteams und zwei Star-Quarterbacks. Aber inmitten dieser aufregenden Sport-Action gab es ein Spiel im Spiel – ein Match, bei dem viel mehr auf dem Spiel stand als eine Trophäe: Hacker gegen Netzwerk-Verteidiger.

Globale Großereignisse ziehen Fans und Schaulustige an, aber auch böswillige Cyber-Akteure, die eine Störung des Ereignisses als Coup betrachten würden. Dabei kann es sich um einen Scherzkeks handeln, der sich einen Spaß erlaubt, einen Cyber-Aktivisten, der ein Zeichen setzen will, einen Cyber-Kriminellen, der ein Erpressungsprogramm durchführt, oder einen Staat, der Chaos sät.

“Hochkarätige Ereignisse schaffen eine hohe Glaubwürdigkeit in Hackerkreisen”, sagt Jerry Ray, Chief Operating Officer von SecureAge. “Staatlich geförderte Akteure nutzen internationale Ereignisse oft als Übung gegen gut finanzierte und moderne Sicherheitsmaßnahmen oder als Gelegenheit, einige Cyber-Muskeln spielen zu lassen, wenn sie eine bescheidene Zurechnung mit einer Prise plausibler Bestreitbarkeit zulassen. Und wenn eine volle Zurechenbarkeit gegeben ist, kann ein Land aus nationalem Stolz oder als Vergeltungsmaßnahme angreifen.”

Und jetzt, da mehr Impfstoffe verabreicht werden und die Welt begeistert auf die Wiedereröffnung blickt, bekommen Lektionen, wie man Versammlungen sichert, eine neue Bedeutung.

Spieltag-Lektionen

Man denke nur an die Winterspiele in PyeongChang 2018, als von Russland gesponserte Hacker angeblich ihre eigene Malware Olympic Destroyer einsetzten, um die digitale Infrastruktur der Spiele zu sabotieren, indem sie in einem Racheakt Daten löschten und Netzwerke deaktivierten, nachdem das Land wegen organisierten Dopings vom Wettbewerb ausgeschlossen worden war. Tatsächlich berichtete das Nationale Zentrum für Cybersicherheit, dass russische Akteure in ähnlicher Weise beabsichtigten, die Spiele 2020 in Tokio anzugreifen, bevor sie auf 2021 verschoben wurden.

Nur wenige Tage nach dem Angriff auf Olympic Destroyer während der Eröffnungsfeierlichkeiten 2018 meldete Ciscos Threat Intelligence-Abteilung Talos die Identifizierung von Malware-Samples, die bei dem Vorfall verwendet wurden. “Wir sollten erwarten, dass wir in Zukunft ähnliche Kampagnen sehen werden. Jede Großveranstaltung muss sich der Risiken bewusst sein, die von gegnerischen Geheimdiensten ausgehen”, sagt Craig Williams, Director of Outreach bei Talos. “Bei der Implementierung von Sicherheitsrichtlinien müssen alle Formen der Beeinflussung in Betracht gezogen und Strategien zur Schadensbegrenzung entwickelt werden. Idealerweise sollte es Strategien für alle Arten von störenden Ereignissen geben, einschließlich IoT-Systemen, die anfällig für eine Kompromittierung sein können.”

Diese Lektion gilt nicht nur für große Sportwettkämpfe wie die Olympischen Spiele oder die Fußballweltmeisterschaft. Globale politische Gipfeltreffen, politische Parteitage und gut besuchte Konferenzen sind weitere Beispiele für hochkarätige, kurzfristige Ereignisse, die eine besondere Vorbereitung und eine massive Aufstockung der Netzwerkinfrastruktur und der Sicherheitsressourcen erfordern. Und da medizinisches Fachpersonal den COVID-19-Impfstoff an Millionen von Menschen rund um den Globus verteilt, stehen diese persönlichen Veranstaltungen vor einem großen Comeback.

Brian Murphy, Gründer und CEO von ReliaQuest, hat genau dieses Szenario gerade durchlebt. Das in Tampa, Florida, ansässige Unternehmen ReliaQuest bietet Kunden, darunter die Tampa Bay Buccaneers aus der NFL, eine schichtenübergreifende Erkennung und Reaktion (XDR), bei der Bedrohungsdaten über mehrere Endpunkte, Server, Cloud- und On-Premise-Netzwerkumgebungen hinweg gesammelt und analysiert werden.

Doch dieses Jahr brachte eine außergewöhnliche Herausforderung mit sich, da Tampa die Gastgeberstadt des Super Bowls 2021 war. In Zusammenarbeit mit Strafverfolgungsbehörden und weiteren privaten Partnern sollte ReliaQuest die Cybersecurity für das meistgesehene Sportereignis in den USA anführen. Dies bedeutete, dass nicht nur das Raymond James Stadium selbst, sondern auch die nahe gelegenen NFL Experience-Standorte, das Yacht Village, das Luxusschiffe beherbergt, und andere offizielle Veranstaltungsorte im Großraum Tampa während des großen Spiels sowie die etwa anderthalb Wochen dauernden Feierlichkeiten und Fanfaren im Vorfeld gesichert werden mussten.

Murphy erzählte SC Media, dass zu den Aufgaben von ReliaQuest beim Super Bowl der Schutz der Datenbanken von Mitarbeitern und Freiwilligen, spielbezogene Verkaufstransaktionen, drahtlose Zugangspunkte im Stadion, digitale Werbung, Social Media Feeds, Content Streams und mehr gehörten.

“Wenn der Super Bowl kommt, wird einfach alles mit einem größeren Vergrößerungsglas betrachtet”, sagte Murphy. Die meisten Bedrohungen sind dieselben, aber es ist “das Volumen der Dinge”, das entmutigender wird, besonders da sich die Angriffsfläche vergrößert.

“Denken Sie an die verschiedenen Angriffsvektoren, die gestört werden könnten”, sagte Murphy. Stellen Sie sich vor, Sie planen eines der “größten Sportereignisse der Welt, zu dem alle kommen, und Sie würden erwarten, dass mehr Menschen Zugang erhalten… Mehr Medien, mehr Verbindungen, jeder will dabei sein.”

Das schiere Ausmaß der Bedrohungslage führt zu der Frage, wie man Prioritäten setzen kann: “Da die Liste der damit verbundenen technologischen Probleme exponentiell wächst, besteht die größte Herausforderung immer in der heiklen Balance zwischen der Sicherung der wertvollsten Assets oder der wahrscheinlichsten Angriffspfade innerhalb eines begrenzten und eingeschränkten Geld- und Zeitbudgets”, so Ray. “Es gibt immer eine Grenze dessen, was man sich innerhalb eines bestimmten Zeitrahmens leisten kann.”

Aber der Umfang ist nicht die einzige Herausforderung bei Großereignissen. Auch die Variabilität der Bedrohungen.

Im Allgemeinen gibt es drei Kategorien von Veranstaltungen, so Brian Zimmer, Global Solutions Director bei ePlus. Er war zuvor in Teams tätig, die die digitale Sicherheit von jährlichen NGO-Veranstaltungen sowie der Republican National Convention 2012 planten oder verwalteten.

Die erste ist eine Veranstaltung, die regelmäßig im eigenen Land stattfindet, die zweite ist, wenn ein Gastgeber zu einem einzigartigen Ort für eine Veranstaltung reist, und die dritte ist ein Mega-Event wie der Super Bowl.

“Es ist in jeder dieser Situationen einzigartig – und das größte Problem ist die Logistik. Das größte Problem ist die Logistik. Die Leute, die Prozesse und die Technologie an diesem Ort zu etablieren und dann auf 10- oder 100-mal mehr Traffic, bösartigen Traffic” als normal zu skalieren. Es gibt keine Basislinie, mit der man das vergleichen kann, “also zu verstehen, was normal aussieht und auf das zu reagieren, was nicht normal ist, ich denke, das ist die größte Herausforderung.”

Die Cybersecurity-Planung für Veranstaltungen, sowohl in Bezug auf den Umfang als auch die Komplexität, spiegelt die Eigenschaften der Veranstaltung selbst wider, so Ray: Land und Ort, Veranstaltungsort, wahrscheinliche Teilnehmer und deren Haltung (in Bewegung, stehend, sitzend) oder Besitz (Mobiltelefone, Kameras, Regenschirme, Mäntel, Rucksäcke, Lebensmittel), Dauer, Grad der notwendigen Automatisierung (Ticketing, Tore, Klimakontrolle, Verkaufsstellen, Beleuchtung, Ton, Pyrotechnik), Event-Komponenten (öffentliches Wi-Fi, Punktesysteme, Werkzeug, Ausrüstung) und die offensichtlicheren Sicherheitskameras und die Kommunikation des Sicherheitspersonals.”

Sich ändernde Umstände rund um eine Veranstaltung können auch die Dynamik des Bedrohungsbildes alarmieren. Zum Beispiel, so Murphy, bedeuteten die Vorsichtsmaßnahmen im Zusammenhang mit dem COVID-19-Virus, dass es dieses Jahr weniger Besucher vor Ort an den offiziellen Austragungsorten des Super Bowls und kleinere Versammlungen an anderen öffentlichen Orten wie lokalen Bars geben würde, während die Zuschauerzahlen auf Telefonen und persönlichen Geräten wahrscheinlich steigen würden. “Es geht nur darum, diese Veränderung der Landschaft für uns zu verstehen”, sagte Murphy, der feststellte, dass es in diesem Jahr eine Menge Lärm und Gerede gab, “wie man den Super Bowl kostenlos streamen kann.”

Aber die vielleicht kritischste Herausforderung von allen, meinte Murphy, ist die Sicherstellung der Zusammenarbeit zwischen den Parteien. Deshalb war die Kommunikation zwischen seinem Team und den Experten für physische Sicherheit, der NFL, den Buccaneers, den staatlichen Strafverfolgungsbehörden, der Stadt Tampa und anderen entscheidend. “Meiner Meinung nach ist der wichtigste Punkt, an dem es scheitert, die Zusammenarbeit… wenn all diese Gruppen nicht zusammenarbeiten, sich zeigen und austauschen”, sagte er.

Entwickeln eines Spielplans

Das Management der Cybersicherheit bei Großereignissen erfordert ein völlig anderes Spielbuch als die Handhabung der täglichen Sicherheit an einem statischen Standort. Aus diesem Grund müssen Ihre Prozesse und Technologien “die richtige Elastizität und Dynamik” haben, um agil zu reagieren, so Zimmer.

Dies erfordert umfangreiche Planung und Voraussicht – Monate oder sogar Jahre der Vorbereitung -, da Sicherheitsteams die verwundbaren Punkte entlang der Angriffsoberfläche identifizieren und Bedrohungen vorhersehen, die auf sie zukommen könnten.

Im Idealfall sollten Sicherheitsteams die Gespräche im Vorfeld überwachen und Chatter und Trends im Dark Web beobachten. “Manchmal fangen diese Dinge an wie: ‘Hey, wäre es nicht cool, wenn…?'”, sagt Murphy. “Und das kann sein: ‘Können wir die Anzeigetafel beeinflussen?’ oder ‘Wie können wir … den Verletzungsbericht vor einem Spiel oder einige persönliche Informationen veröffentlichen? Oder Zugang zu den Portalen und sozialen Medien bestimmter Spieler bekommen?”

In der Tat gibt es eine Menge potenzieller “Was wäre wenn?” zu durchdenken.

Brian Murphy, Gründer und CEO von ReliaQuest.

“Wir beginnen mit den Dingen, die in der Vergangenheit passiert sind, und dann lassen wir unsere Fantasie ein wenig mit uns durchgehen”, sagte Murphy. “Man muss ein bisschen böse denken, um in der Cybersicherheit gut zu sein.”

Ein Szenario, vor dem Murphy warnte, ist eine Verletzung oder ein Hijack in den sozialen Medien, der den Ruf eines Spielers vor einem großen Ereignis schädigt. Dies erinnert an den NFL Offensive Tackle Laremy Tunsil, dessen Aktien im NFL Draft fielen, nachdem ein Hacker auf seinen Twitter-Account zugegriffen und ein Video gepostet hatte, das den Prospect beim Rauchen aus einer Bong zeigte.

Vielleicht wird ein zukünftiger Angriff “legitime Websites, Apps oder E-Mails ausnutzen, die von den Veranstaltern erstellt wurden, [that are] von Millionen Menschen weltweit oder einer gezielten Teilmenge in einer Region genutzt werden”, so Ray. Oder vielleicht wollen die Angreifer “eine Wettlinie beeinflussen”.

“Natürlich sind die beängstigendsten Angriffe … diejenigen, die darauf abzielen, die Sicherheit am Veranstaltungsort zu beschneiden oder zu demontieren, als Vorläufer eines physischen Angriffs”, so Ray weiter.

An dieser Stelle kommt die Priorisierung ins Spiel.

“Die erste Frage, die wir stellen, ist: ‘Okay, was ist am wichtigsten zu schützen? Worüber machen wir uns am meisten Sorgen? Und von dort aus packen wir es aus”, sagte Murphy.

Dann geht es darum, die Netzwerksicherheit und die Infrastruktur entsprechend der Größe der Bedrohung zu skalieren. Im Fall von ReliaQuest lag der Schlüssel darin, alle identifizierten potenziellen Angriffsflächen im Blick zu behalten, um nach roten Fahnen Ausschau zu halten. Ein zentraler Bestandteil dieser Strategie war das XDR-Angebot des Unternehmens.

Das Grundprinzip von XDR besteht darin, “Zugang zu den relevanten Sicherheitsdaten zu erhalten, wo auch immer sie sich befinden”, egal ob on-prem oder in der Cloud, so Murphy. “Wir wollen in der Lage sein, die Daten zu sehen, auf sie zuzugreifen, Maßnahmen zu ergreifen und Berichte zu erstellen, unabhängig davon, wo sie sich befinden.

Die ganze Zeit über bleiben die relevanten Daten dort, wo sie herkommen. Die Benutzer “ziehen sich nur die verwertbaren Daten zurück, die sie zu dem Zeitpunkt benötigen, zu dem sie sie brauchen”, und dann können sie sie loslassen. “Das erlaubt uns, reaktionsschneller und sportlicher zu sein”, und bietet die Agilität und Elastizität, die Zimmer ebenfalls als Schlüsselattribut anpries.

Wenn der große Tag gekommen ist, ist es wichtig, Incident-Response-Übungen zu üben, um potenzielle Krisensituationen zu simulieren, die auftreten könnten, und den Spielplan zu testen.

“Es ist äußerst vorteilhaft, sowohl Tabletop- als auch Red-Team-Übungen durchzuführen, die einen Angriff auf eine Veranstaltung simulieren”, so Williams. Diese können helfen, Schwachstellen und Probleme zu identifizieren, die ein Angreifer möglicherweise unbemerkt entdeckt hat. Als Teil dieser Übungen sollten After-Action-Reviews durchgeführt werden, damit Strategien verfeinert werden können.”

“Die Frage, die man bestimmen muss, ist, wie aggressiv das eigene Playbook sein muss”, so Williams weiter.

Ein Audible unter Druck abrufen

Wie die Olympischen Spiele in PyeonChang gezeigt haben, können Sie nicht jeden Angriff aufhalten. Daher müssen Sie auch einen Business Continuity- und Disaster Recovery-Plan entwickeln, falls etwas schiefgeht.

“Die Kontinuitäts- oder Notfallplanung für Cyberangriffe ist wohl die wichtigste Komponente der Cybersicherheit für Veranstaltungen”, so Ray. “Bei den unendlichen Permutationen von Angreifern und ihren möglichen Angriffsvektoren muss man davon ausgehen, dass die kritischsten Systeme, wie z. B. Bezahlung, Personal, Kommunikation oder Sicherheit, irgendwie angegriffen werden. Dies zu antizipieren und ein Backup oder eine Ausfallsicherung zu haben, ist nicht nur eine nette Beigabe. Es ist genauso wichtig wie alles, was zur Verhinderung der kritischsten oder anfälligsten Systeme oder Komponenten eingerichtet wurde.”

“Denken Sie zum Beispiel an Veranstaltungen, bei denen ein Identitätsnachweis unabdingbar ist, wie bei den Präsidentschaftsdebatten oder den Prüfungen für die staatlichen Anwaltskammern”, so Ray weiter. “Eine notwendige Aufgabe wird es sein, eine zentrale Datenbank sowie alle Laptops oder Handheld-Geräte, die darauf zugreifen, zu sichern, die die persönlich identifizierbaren Informationen des Teilnehmers auflisten, um sie mit dem Identitätsnachweis abzugleichen. Aber dieser Sicherheitsplan ist nicht annähernd vollständig, bis ein Backup-System für die ID-Verifizierung eingerichtet und als praktikable Alternative getestet worden ist.”

Crunch time

Auf welche Art von Angriffen stieß ReliaQuest also letztlich? Murphy war nicht dazu bereit, spezifische Details zu verraten. Er sagte jedoch, “wir sahen … eine Menge Ihrer Standard-Phishing-Kampagnen und aggressive Phishing-Kampagnen.” Und: “Es gab eine Menge Austausch von Zugängen zu verschiedenen Möglichkeiten, die Veranstaltung anzusehen oder in sie hineinzukommen.”

Letztendlich gab es keine größeren Cyber- oder physischen Sicherheitsvorfälle zu verzeichnen.

“Offensichtlich gab es diesen Flitzer, der sich frei auf dem Feld bewegen konnte. Wenn das das Schlimmste ist, was passiert ist, dann war das ein Sieg”, sagte Murphy.

Aber konnte Murphy wenigstens genießen, wie die Buccaneers den Super Bowl gewannen? Oder war er zu sehr in sein eigenes Spiel von Offensive gegen Defensive vertieft?

“Das hat man immer im Hinterkopf. Man kann es nicht zu sehr genießen und das ist einfach die Sicherheit”, sagte Murphy. “Bei einigen der größten Events und Veranstaltungsorte ist man begeistert, dass man ein Teil davon ist. Aber dann weiß man auch, dass man sorgfältig sein muss und auf der Hut sein muss. Es gab also eine gute, gesunde Mischung aus beidem: den Spielstand auf der Anzeigetafel zu überprüfen und dann auch mit dem Team zu sprechen und zu sehen, wie es läuft.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com