2021年3月下旬,澳大利亚最大的媒体Nine公司遭到重大勒索软件攻击,使其IT主管和新任命的网络主管面临巨大的责任和压力。 在新冠疫情持续蔓延期间,网络攻击数量急剧上升。Nine公司在遭到攻击之后,一些广播和其他业务受到严重干扰,随着这个消息的传播,该公司的股价下跌了2.4%。 Nine公司的首席信息技术官(CITO) Damian Cronan和IT安全主管Celeste Lowe对该公司遭遇网络攻击的应对过程以及攻击之后发生的变化进行了介绍。
Nine公司的IT部门由于发生勒索软件攻击被人唤醒
3月28日凌晨2点,Nine公司首席信息技术官Damian Cronan接听了一个紧急电话。 他在事后接受行业媒体的采访时说,“我当时被电话铃声惊醒,接到我们的一位安全工程师打来的电话。他告诉我,从目前看到的情况以及各种迹象表明,Nine公司遭遇了一次重大的勒索软件攻击。 我们当时并没有清楚地了解它的范围和规模,但从所看到的一切来看,遭遇的网络攻击很严重。那时我在想,‘好吧,我们接下来需要做什么?’。我们于是组建了一个团队,开始唤醒IT部门成员,并尽我们所能,例如在任何类似的事件响应中进行遏制和隔离。” 名列IT部门名单的第一位就是Nine公司首席执行官Mike Sneesby。随后他决定召集IT团队在单一地点(办公室)工作,并与Nine公司新任命的IT安全部门总监Celeste Lowe取得联系,以确保采取正确的网络响应措施。 由于勒索软件攻击者的身份和来源仍然未知,Cronan与他的团队开展合作,对业务的不同领域进行细分和自我控制。这包括立即切断Nine公司的广播环境和各州办事处之间的联系,以及将该公司通信网络与出版社的网络分离。 Cronan说,“这纯粹是一种补救和遏制的尝试,因为我们还不知道威胁对手或特定勒索软件攻击的传播方式和范围。” Lowe立即启动了Nine公司针对此类情况设计的“非常重要的事件响应”流程。这个流程由两个主要部分组成,第一部分侧重于业务连续性;找出哪些要素对恢复业务服务至关重要。Cronan和Lowe必须与业务团队合作,回答诸如“我们可以继续播出吗?”、“我们可以发行报纸吗?”、“我们可以收款吗?”以及“我们能付钱给别人吗?”等关键问题。 第二部分涉及评估针对Nine公司对其面临的对手有什么能力,以及他们是否被遏制并与关键环境隔离。 此时存在很大的不确定性。Lowe和她的团队发现攻击者正在使用Medusa Locker勒索软件,但仍然没有了解关于攻击者身份或位置的信息,也不知道他们攻击的动机。 另一方面,鉴于Medusa Locker是所谓的勒索软件即服务的一个例子,他可能是任何人,甚至可能是一名孩子。
Nine公司遏制勒索软件攻击的工作
Lowe表示,无论攻击者是谁,无论他们想要什么,当务之急是确定他们是否仍在系统环境中。Lowe和她的团队进行了遏制和隔离活动,直到确定网络攻击者已被击退。 在担任德勤公司澳大利亚风险咨询网络情报中心主任之前,Lowe曾是澳大利亚航空公司Qantas的高级网络分析师。Lowe承认,与Cronan一样,她在职业生涯中从未经历过这样的网络安全事件。由于这个事件发生在这家知名媒体中,这使得其安全处理和回应的挑战变得越来越大。 Lowe说,“我认为这就是为媒体机构工作的独特之处……因为知名度要高得多。我想它会改变Nine公司如何运行事件和管理信息流,这在外部和内部都是至关重要的。” Cronan和Lowe共同创建了一个由10到15名核心工程师、经理和其他专家组成的“作战室”,他们从第一天开始就致力于恢复工作,持续了大约三个月的时间。 Cronan说,“这是对团队成员能力的证明,他们振作起来,没有人在下午5点按时下班,而是日以继夜地工作,在很多情况下,有人连续工作了好几天。我们废寑忘食地确保尽快处理问题,其中很多都是紧密协作的,因为早期缺乏信息,并且需要做出很多决定。” 例如,任何技术决策都需要考虑是否安全,以及确保不会陷入困境,而把事情做好意味着持续的面对面协作。当然,所有这些都需要传达给企业的首席执行官和董事会。 Cronan说,“我们在早期付出了巨大的努力来确保董事会获得最新信息,我们的首席执行官Mike Sneesby也是这方面的关键人物,他确保信息清晰和简洁,在就董事会对此事的理解而言,我们还提供了简报。” 对于在网络攻击前几个月才加入Nine公司的Lowe来说,这是一次凤凰涅槃。 她说,“业务中的所有利益相关者都对技术抱有极大的信任,而Damian和我以及团队中的其他人都会继续努力,做我们要做的事情。我认为没有人再猜测他们是正确的决定还是错误的决定。” 当然,考虑到2021年3月遭受的网络攻击事件,Lowe的任命尤其具有先见之明。网络攻击之前几周,她的职位获得批准,然后让她上任的过程创造了一定程度的信任,这使Nine公司遭到网络攻击几个月后经过如此严格的测试时得到了很好的服务。 Cronan说,“关于将Lowe入职的讨论,以及我们改善整体安全态势的愿望,无疑有助于在事件发生之前建立了一定程度的信任。”
Nine公司自从遭受勒索软件攻击以来发生的变化
Cronan表示,他和Lowe已经投入了大量工作来改善Nine公司在勒索软件攻击事件发生前的网络态势,他们现在已经采取了一种更大的“基于风险”的网络安全方法。 他说,“我要说的是,在我和Lowe临危受命改进Nine公司整体安全状况的情况下,就像任何经历了合并,并已经发展多年的大型企业一样,很多事情都是不可能完成的任务。” 从安全的角度来看,就业务运营方式而言,有很多事情并不理想,但遭到网络攻击却带来了很多积极的影响。 Cronan指出,“在许多方面,我们的一些措施在网络攻击之后得到提升和运行。但框架和战略都已经到位。因此,当发生网络攻击事件时,我们的重点是在战术上确保能够继续运营和运作,但是一旦尘埃落定,主要的话题很快就转向了如何加快处理速度,因为我们了解了计划,并且经历了网络攻击的后果。” Lowe指出,虽然Nine公司在网络攻击事件发生之前已经开始实施互联网安全中心(CIS)框架,该公司此后加快了部署,以增强检测、防御和响应能力。 在受到网络攻击的最初几个小时内,几个“第三方”组织与作战室开展合作来完成这项工作,其中包括部署一些现成的安全产品。 在展望未来时,Lowe强调保持简单的重要性;考虑到Nine公司收购Fairfax公司等几家企业合并所带来的复杂性,这绝非易事。 Lowe说:“我们在战略上把重点放在简化这一点上。我们已经非常努力,例如了解我们的环境、其中的资产以及需要对其进行的控制级别。我们当然了解业务运营的优先顺序。这也是这一网络攻击事件带来的一个机会。” Nine公司遭遇的网络攻击事件强调了人员在网络安全中发挥的关键作用,促使Lowe分配更多资源来支持Nine公司的培训计划。她解释说,这是“强制”和“选择加入”的混合,具体取决于各个角色的风险状况,需要一些员工参与网络钓鱼模拟。为此,Nine公司增加了面对面和一对多培训课程,而其员工有更多机会参加学习活动。 Lowe说,“显然,对某些系统具有特权访问权限的人员需要与那些整天在电子邮件中工作的员工接受不同类型的培训。我认为需要了解目标受众,想从中得到什么。以及试图降低的风险。” 她说,“永远不要低估企业内部人员的力量,因为他们是企业防御层的一部分。需要尽可能多地教育他们,并提高他们的安全意识水平,无论从最基本的知识还是更复杂的知识,这是绝对必要的。”
Nine公司定义网络安全的关键因素
Lowe和她的团队现在问自己的问题是:“哪些业务对我们至关重要?什么对网络安全至关重要?我们已经优先考虑管理一些安全控制,而且显然是在关注边缘资产。我们实际上有什么面向公众的资产,并确保得到尽可能好的保护。因此,我们对此采取了基于风险的观点,并真正了解了我们的情况。” Cronan表示,Nine公司的网络安全规划考虑到了媒体业务的性质。 他说,“媒体行业有一些独特的方面,使我们成为某些利益集团以及犯罪威胁行为者的特别关注点。这对我们来说是一个复杂的威胁形势。这也为我们的关注点和应对策略提供了信息。” Cronan说,虽然媒体无疑是一个越来越重要的行业和服务需要保护,但澳大利亚内政部尚未就新通过的关键基础设施法案正式接洽Nine公司。Cronan说,“我们还没有对我们是否属于这一范畴达成一致。”尽管Lowe确认正在评估中。 Lowe说,“当人们谈论安全访问服务边缘(SASE)或零信任模型时,这对每个企业都意味着不同的东西。而且我不认为有一种适合所有人的标准或产品。有很多供应商说他们的产品是安全访问服务边缘(SASE)或零信任,但我认为对于企业来说,就像Nine公司在这里所做的那样,必须评估并选择适合的组件。这不能掉以轻心,因为需要大量投资。我认为这需要在可持续性方面付出大量努力。”
转载请注明:IT运维空间 » 安全防护 » 企业如何从Nine公司经历的勒索软件噩梦中吸取教训
发表评论