2024年巴黎奥运会网络安全风险评估

研究显示,2024年巴黎奥运会组委会网站的总体网络安全态势基本安全,但也凸显了一些风险,包括开放端口、SSL错误配置、cookie同意违规和域名抢注。

2024年巴黎奥运会备受全球关注,预计将有超过10亿人观看2024年巴黎奥运会,其中326,000人将参加7月26日至8月11日举行的综合运动会。另外巴黎还将迎来1300万名全球各地游客。奥运会这类顶级赛事自然是网络犯罪的温床,尤其是随着比赛的临近,在线网络流量预计会上升。网络犯罪分子会利用任何弱点造成破坏或窃取敏感信息以获取金钱利益。例如,2020年东京奥运会的基础设施遭受了4.5亿次网络攻击,相比2012年伦敦奥运会,攻击数量达到当时的2.5倍。

网络威胁暴露管理解决方案的领先提供商Outpost24于当地时间5月2日在调查即将举行的2024年巴黎奥运会的在线基础设施后发布了研究结果。研究显示,2024年巴黎奥运会组委会网站的总体网络安全态势基本安全,但也凸显了一些风险,包括开放端口、SSL错误配置、cookie同意违规和域名抢注。

巴黎奥运会网络基础设施当前的主要风险

Outpost24的报告使用其外部攻击面管理(EASM)解决方案Sweepatic强调了巴黎2024年在线基础设施存在以下核心安全风险,需要解决这些风险,以降低网络攻击的总体风险:

端口暴露或配置不当;开放端口如果配置不当,可能会导致黑客利用漏洞并访问机密信息,从而带来安全风险。两个暴露的远程访问端口(SSH服务器)被确定为容易受到暴力攻击。

SSL证书配置不当;由于SSL证书设置或管理不当而导致的SSL配置错误可能会导致网络中存在漏洞并为黑客提供进入路径。此外,2024年巴黎奥运会有31个域名 (5.8%) 的 SSL无效,86个域名 (16%) 没有SSL。

网站HTTP响应;在294个相关网站中还发现了安全标头问题,其中257个网站存在此特定问题。当浏览器访问网站时,它会向服务器发送请求标头,服务器以HTTP响应标头进行响应。安全标头对于HTTP协议至关重要,它支持客户端和服务器之间的信息交换,从而至关重要地保护网站免受XSS、代码注入和点击劫持等常见攻击。

网站Cookie问题;2024年巴黎奥运会出现了超过20起Cookie违规行为。Cookie可以跟踪用户,但是,关于企业如何使用它们有一定的规则和规定,这些规则和规定通常根据用户的位置而有所不同。例如,GDPR是最终用户同意cookie最常用的法律依据。

域名抢注或域名抢注的迹象;这是购买或注册域名以从组织的商标中非法获利。这导致看似合法的欺骗性网站往往是为了直接或间接产生非法利润而创建的。这些网站可能会窃取口令或凭证等信息并在暗网上出售,从而危及用户安全。

其他风险和网络卫生问题;比如404和空页面、过时的软件和技术以及一组被LUMMAC2恶意软件窃取的泄露凭证。

Outpost24 EASM首席安全官Stijn Vande Casteele表示:“虽然我们发现了一些需要分析的攻击面风险,但可以公平地说,2024年巴黎奥运会的整体网络安全状况良好。”

“几年前,我们分析了FIFA 2018年俄罗斯世界杯的攻击面,其中过时的主机及其基础设施的潜在入口点数量惊人。

Vande Casteele称,巴黎2024年奥运会组织运营着700多个域和800个外部Web应用程序,这些应用程序驻留在超过16个不同的云提供商上。目前,与奥运会相连的系统遍布欧盟、亚洲和北美的九个不同国家。

Stijn Vande Casteele认为,相比之下2024年巴黎奥运会网络安全团队显然采取了更多的网络安全措施。尽管2024年巴黎奥运会是攻击面管较“好”的例子,但它并不完美(因为网络安全很少存在完美)。

备注:Sweepatic EASM工具是一个基于云的平台,旨在监控组织不断扩大的攻击面。通过自动数据收集、丰富和人工智能驱动的分析,该解决方案可以评估已知和未知的面向互联网的资产是否存在漏洞和潜在的攻击路线。然后提供直接有效的补救措施来解决任何安全弱点。

网络安全仍然是最受关注的问题

网络安全是法国奥运会官员最关心的问题,就像超级碗等其他重大体育赛事的组织者一样。虽然恐怖主义的威胁一样不会减弱。

Politico在4月份的一篇文章中描述了法国主要网络安全机构ANSSI在两年前开始为该活动做准备,除其他外,还开展了广泛的渗透测试和提高认识活动。ANSSI主任告诉Politico,目标不是100%阻止奥运会开始时肯定会发生的攻击,而是阻止其中的大部分。官员们不希望重蹈2018年韩国平昌冬奥会的覆辙,当时疑似俄罗斯攻击者在开幕式期间使用名为“ Olympic Destroyer ”的恶意软件工具大规模破坏Wi-Fi和其他通信服务。

盛大的开幕式和伴随体育盛会的马戏表演可能会变成法国安全机构的噩梦。官员们担心,蜿蜒穿过巴黎市中心的塞纳河很容易受到无人机和狙击手的袭击。与伊斯兰国有关的组织最近死灰复燃——这些组织在莫斯科实施了致命的大规模枪击事件,并威胁欧洲各地的足球比赛。

法国已经将参加拟议的塞纳河仪式的人数减少了一半,至30万人左右,同时收紧了入场要求。但这仍然不能让安全部门放心。

同样令人担忧的是,围绕奥运会的重要安全和监控系统可能会出现协同恐怖和网络攻击的威胁。2021年东京奥运会期间,威胁行为者对各种奥运会相关目标发起了4.5亿次攻击,数量惊人。

奥运会网络安全负责人弗兰兹·雷古尔 (Franz Regul) 本月早些时候在接受《纽约时报》采访时表示,他的团队预计在今年的奥运会上将面临8到12倍的攻击尝试。

作为攻击准备工作的一部分,雷古尔的团队与国际奥委会的技术合作伙伴和分析师合作进行了多次战争游戏。据《泰晤士报》报道,他们还制定了漏洞赏金计划,奖励那些在支持奥运会的技术基础设施中发现可利用漏洞的研究人员。

网络恐怖主义威胁阴魂不散。雷古尔表示,最糟糕的情况将是一场协同的网络和恐怖袭击,数字攻击会摧毁关键的安全或监控系统。

“到目前为止,还没有任何针对奥运会的网络恐怖主义案例记录在案,”他说。“我非常不想成为历史上第一位面对这样的问题的首席信息安全官。”

积极响应多样、复杂、持久的网络威胁挑战重重

据悉,奥运会期间,安保需求将由国有企业和私营企业分别部署,企业总共部署了22,000名私人安保人员来保护场地安全,并为周边地区调动了45,000名军事和警察部队。安保部门已精疲力竭。

奥运会开始后,大家都在猜测这些措施的效果如何。NetWitness现场销售和服务副总裁史蒂文·贝尔 (Steven Baer) 完全预计,巴黎奥运会的网络安全团队将实施一系列行动和攻击杀伤链,以阻止和遏制已知威胁的发生。贝尔表示,他们的威胁情报工作可能会集中在新兴的技术手段上,事件响应团队将随时待命,并准备在需要时采取行动。贝尔的公司在帮助确保2022年卡塔尔FIFA世界杯足球比赛的安全方面发挥了作用。

贝尔补充道:“我预计,针对2024年巴黎奥运会的网络安全威胁将是多样化、复杂且持久的。” “我预计会出现旨在窃取敏感数据、破坏关键基础设施、破坏运营、勒索金钱或传播宣传和错误信息的网络攻击。

“奥运会是网络犯罪分子、民族国家行为者、黑客活动分子和恐怖分子利用这一面向全球观众的备受瞩目活动的漏洞的绝佳机会。”

Vande Casteele说,地缘政治是另一个因素。以色列-巴勒斯坦冲突以及俄罗斯和乌克兰之间的战争都可能会影响国家支持的网络行为者对奥运会构成的威胁的性质。例如,值得强调的是,俄罗斯已被禁止参加本届奥运会,这本质上对东道主和奥运会的[基础设施]构成了重大威胁。

他表示,在奥运会等备受瞩目的活动期间,针对公众的网络钓鱼活动、针对组织的DDoS攻击以及针对知名个人/机构的间谍活动也是常见的情况。“有一点是肯定的:这些事件扩大了攻击面,并为攻击提供了完美的时机,无论它们是出于政治还是经济动机。”

Vande Casteele将确保奥运会不断变化的数字足迹所面临的挑战比作在相对较短的时间内建造并保持一座巨大房屋的安全。

“每天都会增加新的楼层,建造门窗,”他说。“很多不同的人都参与其中,所以过了一段时间他们就缺乏监督,他们就忘记了有多少门窗。”

参考资源

1、https://www.businesswire.com/news/home/20240502415930/en/Urgent-Cybersecurity-Risks-Identified-in-Paris-2024-Olympic-Games-Online-Infrastructure-by-Outpost24

2、https://www.darkreading.com/vulnerabilities-threats/paris-olympics-cybersecurity-at-risk-via-attack-surface-gaps

3、https://www.politico.eu/article/france-paris-olympics-emmanuel-macron-terror-security/

声明:本文来自网空闲话plus,版权归作者所有。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/pingmian/7470.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

公司后缀缩写

Co. Co. 是 company 的缩写,company 本身就是公司(统称)的意思,包括了各种类型公司。 单独使用 Co. 看不出公司具体的类型,经常会跟另一后缀一起使用 Co.,Ltd (意思看后面)。 Ltd. Ltd. 是 L…

uniapp离线在Xcode上打包后提交审核时提示NSUserTrackingUsageDescription的解决方法

uniapp离线在Xcode上打包后提交审核时提示NSUserTrackingUsageDescription的解决方法 问题截图: 亲测有效的方法 方法一: 选择通过uniapp的开发工具Hbuilder来进行在线打包,取消默认勾选的以下选项。 然后进行在线打包就不会存在提交审…

MySQL:多表查询练习

#1.出版社信息 与 图书信息 交叉连接 select * from 出版社信息 cross join 图书信息; #2.从“客户信息”和“订单信息”两张数据表中查询购买了商品的客户信息,要求查询结果显示客户姓名、订单编号、订单状态。 select 客户信息.客户姓名,订单信息.订单编号,订单…

PS路径文字怎么变换的?

如果网友们没有用过钢笔工具,画好后的样子是什么,建议你看看这个方法! 建立的路径之后,在编辑菜单栏里单击。 选择变换路径,可以改变路径文字的方向,点击垂直翻转即可完成方向的改变!

linux进阶篇:Nginx反向代理原理与案例详解

Linux服务搭建篇:Nginx反向代理原理与案例详解 一、什么是正向代理 举个栗子: 我们在校外、公司外,是访问不到学校、公司的内网的,但是我们想要访问内网资源时,会用到VPN。而一般内网会存在一个VPN服务器&#xff0c…

imx6ull开发板设置SD卡启动,SD卡中烧写uboot,kernel,设备树,根文件系统fs

IMX6ULL ARM Linux开发板SD卡启动,SD卡的分区与分区格式化创建_sd制作分区-CSDN博客

n皇后问题

843. n-皇后问题 - AcWing题库 n皇后这道题目, 历来被作为理解深搜\回溯法的样板题, 首先我们可以用中规中矩的深搜来解决这道题: #include<iostream> using namespace std; const int N10; int n; char g[N][N];bool col[N],dg[N],udg[N];bool legal(int u,int i) {ret…

vulhub之jboss(CVE-2017-7504)

JBoss AS 4.x 及之前版本中&#xff0c; JbossMQ 实现过程的 JMS over HTTP Invocation Layer 的 HTTPServerILServlet.java 文件存在反序列化漏洞&#xff0c;远程攻击者可借助特制的序列化数据利用该漏洞执行任意代码。 CVE-2017-7504 漏洞与 CVE-2015-7501 的漏洞原理相似&a…

「51媒体」企业单位新闻稿件考核,怎么发布

传媒如春雨&#xff0c;润物细无声&#xff0c;大家好&#xff0c;我是51媒体网胡老师。 电力税务企事业单位部门等单位提供了新闻稿件&#xff0c;如何在一些重点媒体进行宣发呢&#xff1a; 精准锁定发布媒体 了解考核要求&#xff1a;仔细阅读宣传任务名单&#xff0c;了解…

C++初阶之list的使用和模拟以及反向迭代器的模拟实现

个人主页&#xff1a;点我进入主页 专栏分类&#xff1a;C语言初阶 C语言进阶 数据结构初阶 Linux C初阶 算法 欢迎大家点赞&#xff0c;评论&#xff0c;收藏。 一起努力&#xff0c;一起奔赴大厂 一.list简介 list是一个带头双向链表&#xff0c;在数据结构的时候…

生成ssh来连接git

生成SSH密钥&#xff1a; 打开你的命令行终端&#xff08;如Windows的CMD、PowerShell&#xff0c;或者Linux/Mac的Terminal&#xff09;。 运行以下命令来生成SSH密钥对&#xff08;私钥和公钥&#xff09;&#xff1a; ssh-keygen -t rsa -b 4096 -C "your_emailexampl…

c++ 的线程是个对象吗

在C中&#xff0c;线程通常不是直接通过对象来表示的&#xff0c;但C11及以后的标准引入了对线程的高级抽象&#xff0c;主要是通过<thread>库中的std::thread类来实现的。因此&#xff0c;可以说std::thread是一个类&#xff0c;其实例&#xff08;对象&#xff09;表示…

10个SpringMVC的核心组件详解

Spring MVC 的核心组件是构成整个框架的基础&#xff0c;它们协同工作以支持基于 MVC 架构的 Web 应用程序开发。以下是V哥工作中整理的每个组件的详细介绍&#xff0c;包括示例代码和解释&#xff1a; 1. DispatcherServlet&#xff1a; 作用&#xff1a;作为前端控制器&…

不必追求深度,浅尝辄止为宜

近日笔者撰文称&#xff0c;有幸应《百度-百家号》相邀&#xff0c;在其发起的《征文任务》栏目中写作深度文章&#xff0c;便试着开头写了一篇《万科有“活下去”的可能性吗&#xff1f;》的时评文章&#xff0c;于5月3日发表&#xff0c;舆情反映不错&#xff0c;不到三天时间…

python菜鸟级安装手册

python安装教程 电脑-右键-属性&#xff0c;确认系统类型和版本号&#xff0c;比如本案例系统是64位 win10 点击python官网&#xff0c;进行下载 适用于 Windows 的 Python 版本 |Python.org 选择第一个安装程序64位即可满足需要&#xff0c; 嵌入式程序包是压缩包版本&…

JavaScript中的RegExp和Cookie

个人主页&#xff1a;学习前端的小z 个人专栏&#xff1a;JavaScript 精粹 本专栏旨在分享记录每日学习的前端知识和学习笔记的归纳总结&#xff0c;欢迎大家在评论区交流讨论&#xff01; 文章目录 &#x1f506;RegExp &#x1f3b2; 1 什么是正则表达式 &#x1f3b2;2 创建…

山东省文史书画研究会成立20周年系列活动徽标征集胜选名单公布

2024年5月1日&#xff0c;山东省文史书画研究会成立20周年系列活动徽标征集落下帷幕。征稿启事下发后&#xff0c;得到社会各界人士的广泛关注与参与&#xff0c;共收到设计方案608件。经过初评&#xff0c;选出5幅作品进入复评&#xff0c;并经过网络投票和专家投票相结合的方…

下载阿里云服务器的文件

阿里云服务器是一种强大的云计算服务&#xff0c;为用户提供了稳定可靠的计算资源。在使用阿里云服务器时&#xff0c;有时需要下载服务器上的文件。本文将介绍如何在阿里云服务器上下载文件的方法。 步骤一&#xff1a;登录阿里云服务器 首先&#xff0c;你需要登录到你的阿里…

颗粒精炼剂可用于铝及铝合金熔铸工艺中 我国生产企业众多

颗粒精炼剂可用于铝及铝合金熔铸工艺中 我国生产企业众多 颗粒精炼剂指外观呈白色粉末状或颗粒状&#xff0c;可用于金属颗粒表面处理的重要化学药剂。颗粒精炼剂具有反应速度快、绿色环保、安全稳定性好等优势&#xff0c;在铝及铝合金的熔铸工艺中应用较多。按照钠含量不同&a…

有关string的部分接口

1.迭代器与反向迭代器(iterator-) 迭代器是可以用来访问string里面的内容的&#xff0c;这里来记录一下使用的方法。 里面用到了一个叫做begin函数和一个end函数&#xff0c;这两个都是针对string使用的函数。 s1.begin()函数是指向string内容的第一个元素 而s1.end()指向的则…