?2024年巴黎奧運會網絡安全風險評估

2024年巴黎奧運會備受全球關注，預計將有超過10億人觀看2024年巴黎奧運會，其中326,000人將參加7月26日至8月11日舉行的綜合運動會。另外巴黎還將迎來1300萬名全球各地游客。奧運會這類頂級賽事自然是網絡犯罪的溫床，尤其是隨著比賽的臨近，在線網絡流量預計會上升。網絡犯罪分子會利用任何弱點造成破壞或竊取敏感信息以獲取金錢利益。例如，2020年東京奧運會的基礎設施遭受了4.5億次網絡攻擊，相比2012年倫敦奧運會，攻擊數量達到當時的2.5倍。

網絡威脅暴露管理解決方案的領先提供商Outpost24于當地時間5月2日在調查即將舉行的2024年巴黎奧運會的在線基礎設施后發布了研究結果。研究顯示，2024年巴黎奧運會組委會網站的總體網絡安全態勢基本安全，但也凸顯了一些風險，包括開放端口、SSL錯誤配置、cookie同意違規和域名搶注。

巴黎奧運會網絡基礎設施當前的主要風險

Outpost24的報告使用其外部攻擊面管理(EASM)解決方案Sweepatic強調了巴黎2024年在線基礎設施存在以下核心安全風險，需要解決這些風險，以降低網絡攻擊的總體風險：

端口暴露或配置不當;?開放端口如果配置不當，可能會導致黑客利用漏洞并訪問機密信息，從而帶來安全風險。兩個暴露的遠程訪問端口(SSH服務器)被確定為容易受到暴力攻擊。

SSL證書配置不當;?由于SSL證書設置或管理不當而導致的SSL配置錯誤可能會導致網絡中存在漏洞并為黑客提供進入路徑。此外，2024年巴黎奧運會有31個域名 (5.8%) 的 SSL無效，86個域名 (16%) 沒有SSL。

網站HTTP響應;?在294個相關網站中還發現了安全標頭問題，其中257個網站存在此特定問題。當瀏覽器訪問網站時，它會向服務器發送請求標頭，服務器以HTTP響應標頭進行響應。安全標頭對于HTTP協議至關重要，它支持客戶端和服務器之間的信息交換，從而至關重要地保護網站免受XSS、代碼注入和點擊劫持等常見攻擊。

網站Cookie問題; 2024年巴黎奧運會出現了超過20起Cookie違規行為。Cookie可以跟蹤用戶，但是，關于企業如何使用它們有一定的規則和規定，這些規則和規定通常根據用戶的位置而有所不同。例如，GDPR是最終用戶同意cookie最常用的法律依據。

域名搶注或域名搶注的跡象; 這是購買或注冊域名以從組織的商標中非法獲利。這導致看似合法的欺騙性網站往往是為了直接或間接產生非法利潤而創建的。這些網站可能會竊取口令或憑證等信息并在暗網上出售，從而危及用戶安全。

其他風險和網絡衛生問題; 比如404和空頁面、過時的軟件和技術以及一組被LUMMAC2惡意軟件竊取的泄露憑證。

Outpost24 EASM首席安全官Stijn Vande Casteele表示：“雖然我們發現了一些需要分析的攻擊面風險，但可以公平地說，2024年巴黎奧運會的整體網絡安全狀況良好?！?/span>

“幾年前，我們分析了FIFA 2018年俄羅斯世界杯的攻擊面，其中過時的主機及其基礎設施的潛在入口點數量驚人。

Vande Casteele稱，巴黎2024年奧運會組織運營著700多個域和800個外部Web應用程序，這些應用程序駐留在超過16個不同的云提供商上。目前，與奧運會相連的系統遍布歐盟、亞洲和北美的九個不同國家。

Stijn Vande Casteele認為，相比之下2024年巴黎奧運會網絡安全團隊顯然采取了更多的網絡安全措施。盡管2024年巴黎奧運會是攻擊面管較“好”的例子，但它并不完美(因為網絡安全很少存在完美)。

備注：Sweepatic EASM工具是一個基于云的平臺，旨在監控組織不斷擴大的攻擊面。通過自動數據收集、豐富和人工智能驅動的分析，該解決方案可以評估已知和未知的面向互聯網的資產是否存在漏洞和潛在的攻擊路線。然后提供直接有效的補救措施來解決任何安全弱點。

網絡安全仍然是最受關注的問題

網絡安全是法國奧運會官員最關心的問題，就像超級碗等其他重大體育賽事的組織者一樣。雖然恐怖主義的威脅一樣不會減弱。

Politico在4月份的一篇文章中描述了法國主要網絡安全機構ANSSI在兩年前開始為該活動做準備，除其他外，還開展了廣泛的滲透測試和提高認識活動。ANSSI主任告訴Politico，目標不是100%阻止奧運會開始時肯定會發生的攻擊，而是阻止其中的大部分。官員們不希望重蹈2018年韓國平昌冬奧會的覆轍，當時疑似俄羅斯攻擊者在開幕式期間使用名為“ Olympic Destroyer ”的惡意軟件工具大規模破壞Wi-Fi和其他通信服務。

盛大的開幕式和伴隨體育盛會的馬戲表演可能會變成法國安全機構的噩夢。官員們擔心，蜿蜒穿過巴黎市中心的塞納河很容易受到無人機和狙擊手的襲擊。與伊斯蘭國有關的組織最近死灰復燃——這些組織在莫斯科實施了致命的大規模槍擊事件，并威脅歐洲各地的足球比賽。

法國已經將參加擬議的塞納河儀式的人數減少了一半，至30萬人左右，同時收緊了入場要求。但這仍然不能讓安全部門放心。

同樣令人擔憂的是，圍繞奧運會的重要安全和監控系統可能會出現協同恐怖和網絡攻擊的威脅。2021年東京奧運會期間，威脅行為者對各種奧運會相關目標發起了4.5億次攻擊，數量驚人。

奧運會網絡安全負責人弗蘭茲·雷古爾 (Franz Regul) 本月早些時候在接受《紐約時報》采訪時表示，他的團隊預計在今年的奧運會上將面臨8到12倍的攻擊嘗試。

作為攻擊準備工作的一部分，雷古爾的團隊與國際奧委會的技術合作伙伴和分析師合作進行了多次戰爭游戲。據《泰晤士報》報道，他們還制定了漏洞賞金計劃，獎勵那些在支持奧運會的技術基礎設施中發現可利用漏洞的研究人員。

網絡恐怖主義威脅陰魂不散。雷古爾表示，最糟糕的情況將是一場協同的網絡和恐怖襲擊，數字攻擊會摧毀關鍵的安全或監控系統。

“到目前為止，還沒有任何針對奧運會的網絡恐怖主義案例記錄在案，”他說?！拔曳浅２幌氤蔀闅v史上第一位面對這樣的問題的首席信息安全官?！?/span>

積極響應多樣、復雜、持久的網絡威脅挑戰重重

據悉，奧運會期間，安保需求將由國有企業和私營企業分別部署，企業總共部署了22,000名私人安保人員來保護場地安全，并為周邊地區調動了45,000名軍事和警察部隊。安保部門已精疲力竭。

奧運會開始后，大家都在猜測這些措施的效果如何。NetWitness現場銷售和服務副總裁史蒂文·貝爾 (Steven Baer) 完全預計，巴黎奧運會的網絡安全團隊將實施一系列行動和攻擊殺傷鏈，以阻止和遏制已知威脅的發生。貝爾表示，他們的威脅情報工作可能會集中在新興的技術手段上，事件響應團隊將隨時待命，并準備在需要時采取行動。貝爾的公司在幫助確保2022年卡塔爾FIFA世界杯足球比賽的安全方面發揮了作用。

貝爾補充道：“我預計，針對2024年巴黎奧運會的網絡安全威脅將是多樣化、復雜且持久的?！? “我預計會出現旨在竊取敏感數據、破壞關鍵基礎設施、破壞運營、勒索金錢或傳播宣傳和錯誤信息的網絡攻擊。

“奧運會是網絡犯罪分子、民族國家行為者、黑客活動分子和恐怖分子利用這一面向全球觀眾的備受矚目活動的漏洞的絕佳機會?！?/span>

Vande Casteele說，地緣政治是另一個因素。以色列-巴勒斯坦沖突以及俄羅斯和烏克蘭之間的戰爭都可能會影響國家支持的網絡行為者對奧運會構成的威脅的性質。例如，值得強調的是，俄羅斯已被禁止參加本屆奧運會，這本質上對東道主和奧運會的[基礎設施]構成了重大威脅。

他表示，在奧運會等備受矚目的活動期間，針對公眾的網絡釣魚活動、針對組織的DDoS攻擊以及針對知名個人/機構的間諜活動也是常見的情況。“有一點是肯定的：這些事件擴大了攻擊面，并為攻擊提供了完美的時機，無論它們是出于政治還是經濟動機。”

Vande Casteele將確保奧運會不斷變化的數字足跡所面臨的挑戰比作在相對較短的時間內建造并保持一座巨大房屋的安全。

“每天都會增加新的樓層，建造門窗，”他說。“很多不同的人都參與其中，所以過了一段時間他們就缺乏監督，他們就忘記了有多少門窗?！?/span>

參考資源

1、https://www.businesswire.com/news/home/20240502415930/en/Urgent-Cybersecurity-Risks-Identified-in-Paris-2024-Olympic-Games-Online-Infrastructure-by-Outpost24

2、https://www.darkreading.com/vulnerabilities-threats/paris-olympics-cybersecurity-at-risk-via-attack-surface-gaps

3、https://www.politico.eu/article/france-paris-olympics-emmanuel-macron-terror-security/

來源：網空閑話plus