在新冠疫情持續(xù)蔓延期間,網絡攻擊數量急劇上升。Nine公司在遭到攻擊之后,一些廣播和其他業(yè)務受到嚴重干擾,隨著這個消息的傳播,該公司的股價下跌了2.4%。
Nine公司的首席信息技術官(CITO) Damian Cronan和IT安全主管Celeste Lowe對該公司遭遇網絡攻擊的應對過程以及攻擊之后發(fā)生的變化進行了介紹。
Nine公司的IT部門由于發(fā)生勒索軟件攻擊被人喚醒
3月28日凌晨2點,Nine公司首席信息技術官Damian Cronan接聽了一個緊急電話。
他在事后接受行業(yè)媒體的采訪時說,“我當時被電話鈴聲驚醒,接到我們的一位安全工程師打來的電話。他告訴我,從目前看到的情況以及各種跡象表明,Nine公司遭遇了一次重大的勒索軟件攻擊。
我們當時并沒有清楚地了解它的范圍和規(guī)模,但從所看到的一切來看,遭遇的網絡攻擊很嚴重。那時我在想,‘好吧,我們接下來需要做什么?’。我們于是組建了一個團隊,開始喚醒IT部門成員,并盡我們所能,例如在任何類似的事件響應中進行遏制和隔離。”
名列IT部門名單的第一位就是Nine公司首席執(zhí)行官Mike Sneesby。隨后他決定召集IT團隊在單一地點(辦公室)工作,并與Nine公司新任命的IT安全部門總監(jiān)Celeste Lowe取得聯系,以確保采取正確的網絡響應措施。
由于勒索軟件攻擊者的身份和來源仍然未知,Cronan與他的團隊開展合作,對業(yè)務的不同領域進行細分和自我控制。這包括立即切斷Nine公司的廣播環(huán)境和各州辦事處之間的聯系,以及將該公司通信網絡與出版社的網絡分離。
Cronan說,“這純粹是一種補救和遏制的嘗試,因為我們還不知道威脅對手或特定勒索軟件攻擊的傳播方式和范圍。”
Lowe立即啟動了Nine公司針對此類情況設計的“非常重要的事件響應”流程。這個流程由兩個主要部分組成,第一部分側重于業(yè)務連續(xù)性;找出哪些要素對恢復業(yè)務服務至關重要。Cronan和Lowe必須與業(yè)務團隊合作,回答諸如“我們可以繼續(xù)播出嗎?”、“我們可以發(fā)行報紙嗎?”、“我們可以收款嗎?”以及“我們能付錢給別人嗎?”等關鍵問題。
第二部分涉及評估針對Nine公司對其面臨的對手有什么能力,以及他們是否被遏制并與關鍵環(huán)境隔離。
此時存在很大的不確定性。Lowe和她的團隊發(fā)現攻擊者正在使用Medusa Locker勒索軟件,但仍然沒有了解關于攻擊者身份或位置的信息,也不知道他們攻擊的動機。
另一方面,鑒于Medusa Locker是所謂的勒索軟件即服務的一個例子,他可能是任何人,甚至可能是一名孩子。
Nine公司遏制勒索軟件攻擊的工作
Lowe表示,無論攻擊者是誰,無論他們想要什么,當務之急是確定他們是否仍在系統(tǒng)環(huán)境中。Lowe和她的團隊進行了遏制和隔離活動,直到確定網絡攻擊者已被擊退。
在擔任德勤公司澳大利亞風險咨詢網絡情報中心主任之前,Lowe曾是澳大利亞航空公司Qantas的高級網絡分析師。Lowe承認,與Cronan一樣,她在職業(yè)生涯中從未經歷過這樣的網絡安全事件。由于這個事件發(fā)生在這家知名媒體中,這使得其安全處理和回應的挑戰(zhàn)變得越來越大。
Lowe說,“我認為這就是為媒體機構工作的獨特之處……因為知名度要高得多。我想它會改變Nine公司如何運行事件和管理信息流,這在外部和內部都是至關重要的。”
Cronan和Lowe共同創(chuàng)建了一個由10到15名核心工程師、經理和其他專家組成的“作戰(zhàn)室”,他們從第一天開始就致力于恢復工作,持續(xù)了大約三個月的時間。
Cronan說,“這是對團隊成員能力的證明,他們振作起來,沒有人在下午5點按時下班,而是日以繼夜地工作,在很多情況下,有人連續(xù)工作了好幾天。我們廢寑忘食地確保盡快處理問題,其中很多都是緊密協(xié)作的,因為早期缺乏信息,并且需要做出很多決定。”
例如,任何技術決策都需要考慮是否安全,以及確保不會陷入困境,而把事情做好意味著持續(xù)的面對面協(xié)作。當然,所有這些都需要傳達給企業(yè)的首席執(zhí)行官和董事會。
Cronan說,“我們在早期付出了巨大的努力來確保董事會獲得最新信息,我們的首席執(zhí)行官Mike Sneesby也是這方面的關鍵人物,他確保信息清晰和簡潔,在就董事會對此事的理解而言,我們還提供了簡報。”
對于在網絡攻擊前幾個月才加入Nine公司的Lowe來說,這是一次鳳凰涅槃。
她說,“業(yè)務中的所有利益相關者都對技術抱有極大的信任,而Damian和我以及團隊中的其他人都會繼續(xù)努力,做我們要做的事情。我認為沒有人再猜測他們是正確的決定還是錯誤的決定。”
當然,考慮到2021年3月遭受的網絡攻擊事件,Lowe的任命尤其具有先見之明。網絡攻擊之前幾周,她的職位獲得批準,然后讓她上任的過程創(chuàng)造了一定程度的信任,這使Nine公司遭到網絡攻擊幾個月后經過如此嚴格的測試時得到了很好的服務。
Cronan說,“關于將Lowe入職的討論,以及我們改善整體安全態(tài)勢的愿望,無疑有助于在事件發(fā)生之前建立了一定程度的信任。”
Nine公司自從遭受勒索軟件攻擊以來發(fā)生的變化
Cronan表示,他和Lowe已經投入了大量工作來改善Nine公司在勒索軟件攻擊事件發(fā)生前的網絡態(tài)勢,他們現在已經采取了一種更大的“基于風險”的網絡安全方法。
他說,“我要說的是,在我和Lowe臨危受命改進Nine公司整體安全狀況的情況下,就像任何經歷了合并,并已經發(fā)展多年的大型企業(yè)一樣,很多事情都是不可能完成的任務。”
從安全的角度來看,就業(yè)務運營方式而言,有很多事情并不理想,但遭到網絡攻擊卻帶來了很多積極的影響。
Cronan指出,“在許多方面,我們的一些措施在網絡攻擊之后得到提升和運行。但框架和戰(zhàn)略都已經到位。因此,當發(fā)生網絡攻擊事件時,我們的重點是在戰(zhàn)術上確保能夠繼續(xù)運營和運作,但是一旦塵埃落定,主要的話題很快就轉向了如何加快處理速度,因為我們了解了計劃,并且經歷了網絡攻擊的后果。”
Lowe指出,雖然Nine公司在網絡攻擊事件發(fā)生之前已經開始實施互聯網安全中心(CIS)框架,該公司此后加快了部署,以增強檢測、防御和響應能力。
在受到網絡攻擊的最初幾個小時內,幾個“第三方”組織與作戰(zhàn)室開展合作來完成這項工作,其中包括部署一些現成的安全產品。
在展望未來時,Lowe強調保持簡單的重要性;考慮到Nine公司收購Fairfax公司等幾家企業(yè)合并所帶來的復雜性,這絕非易事。
Lowe說:“我們在戰(zhàn)略上把重點放在簡化這一點上。我們已經非常努力,例如了解我們的環(huán)境、其中的資產以及需要對其進行的控制級別。我們當然了解業(yè)務運營的優(yōu)先順序。這也是這一網絡攻擊事件帶來的一個機會。”
Nine公司遭遇的網絡攻擊事件強調了人員在網絡安全中發(fā)揮的關鍵作用,促使Lowe分配更多資源來支持Nine公司的培訓計劃。她解釋說,這是“強制”和“選擇加入”的混合,具體取決于各個角色的風險狀況,需要一些員工參與網絡釣魚模擬。為此,Nine公司增加了面對面和一對多培訓課程,而其員工有更多機會參加學習活動。
Lowe說,“顯然,對某些系統(tǒng)具有特權訪問權限的人員需要與那些整天在電子郵件中工作的員工接受不同類型的培訓。我認為需要了解目標受眾,想從中得到什么。以及試圖降低的風險。”
她說,“永遠不要低估企業(yè)內部人員的力量,因為他們是企業(yè)防御層的一部分。需要盡可能多地教育他們,并提高他們的安全意識水平,無論從最基本的知識還是更復雜的知識,這是絕對必要的。”
Nine公司定義網絡安全的關鍵因素
Lowe和她的團隊現在問自己的問題是:“哪些業(yè)務對我們至關重要?什么對網絡安全至關重要?我們已經優(yōu)先考慮管理一些安全控制,而且顯然是在關注邊緣資產。我們實際上有什么面向公眾的資產,并確保得到盡可能好的保護。因此,我們對此采取了基于風險的觀點,并真正了解了我們的情況。”
Cronan表示,Nine公司的網絡安全規(guī)劃考慮到了媒體業(yè)務的性質。
他說,“媒體行業(yè)有一些獨特的方面,使我們成為某些利益集團以及犯罪威脅行為者的特別關注點。這對我們來說是一個復雜的威脅形勢。這也為我們的關注點和應對策略提供了信息。”
Cronan說,雖然媒體無疑是一個越來越重要的行業(yè)和服務需要保護,但澳大利亞內政部尚未就新通過的關鍵基礎設施法案正式接洽Nine公司。Cronan說,“我們還沒有對我們是否屬于這一范疇達成一致。”盡管Lowe確認正在評估中。
Lowe說,“當人們談論安全訪問服務邊緣(SASE)或零信任模型時,這對每個企業(yè)都意味著不同的東西。而且我不認為有一種適合所有人的標準或產品。有很多供應商說他們的產品是安全訪問服務邊緣(SASE)或零信任,但我認為對于企業(yè)來說,就像Nine公司在這里所做的那樣,必須評估并選擇適合的組件。這不能掉以輕心,因為需要大量投資。我認為這需要在可持續(xù)性方面付出大量努力。”
版權聲明:本文為企業(yè)網D1Net編譯,轉載需注明出處為:企業(yè)網D1Net,如果不注明出處,企業(yè)網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號