2021年3月下旬,澳大利亚最大的媒体公司九号台遭受重大勒索软件攻击,其IT负责人和新任命的网络负责人背负着巨大的责任和压力。在新冠疫情持续蔓延期间,网络攻击数量急剧上升。九号台股价下跌2.4%,因有消息称一些广播和其他业务在袭击后严重中断。Nine的首席信息技术官(CITO)DamianCronan和IT安全总监CelesteLowe介绍了公司对网络攻击的响应过程以及攻击后发生的变化。Nine的IT部门被勒索软件攻击惊醒3月28日凌晨2点,Nine的首席信息技术官DamianCronan接听了一个紧急电话。随后在接受行业媒体采访时,他说,“我是被电话铃声吵醒的,接到了我们一位安全工程师的电话。他告诉我,从目前看到的情况和各种迹象来看,九连发生了重大的勒索软件攻击。我们不清楚其范围和规模,但据我们所见,这是一次严重的网络攻击。我当时想,‘那么,我们接下来需要做什么?’.所以我们组建了一个团队并开始唤醒IT人员并尽我们所能,例如在任何此类事件响应中进行遏制和隔离。在IT名单上排名第一的That'sNine首席执行官MikeSneesby。随后他决定召集IT团队在一个地点(办公室)工作,并与Nine新任命的IT安全总监CelesteLowe取得联系,以确保正确的网络响应已经到位。由于勒索软件攻击者的身份和来源仍然未知,Cronan与他的团队合作对业务的不同领域进行细分和自我控制。这包括立即切断九号台的广播环境与州办公室之间的联系,以及公司的通信网络与出版社的通信网络的分离。“这纯粹是一种补救和遏制的尝试,因为我们还不知道威胁对手或特定勒索软件攻击将如何传播以及传播多远,”Cronan说。Lowe立即启动了Nine的“非常重要的事件响应”流程。这个流程包括两个主要部分,第一部分侧重于业务连续性;弄清楚哪个元素对于恢复业务服务至关重要。Cronan和Lowe必须与业务团队合作,回答诸如“我们可以继续播出吗?”、“我们可以分发报纸吗?”、“我们可以得到报酬吗?”等问题。和“我们可以付钱给别人吗?”关键问题。第二部分涉及评估九公司拥有哪些能力来对抗它所面临的对手,以及它们是否被遏制并与关键环境隔离开来。在这一点上存在很大的不确定性。Lowe和她的团队发现攻击者正在使用MedusaLocker勒索软件,但仍然没有关于攻击者的身份或位置或其攻击动机的信息。另一方面,鉴于MedusaLocker是所谓的勒索软件即服务的一个例子,他可能是任何人,甚至可能是孩子。九号努力遏制勒索软件攻击无论攻击者是谁,也不管他们想要什么,Lowe表示,首要任务是确定他们是否仍在系统环境中。Lowe和她的团队进行了遏制和隔离活动,直到确定网络攻击者已被击退。在成为德勤澳大利亚风险咨询网络情报中心总监之前,Lowe是澳大利亚航空公司Qantas的高级网络分析师。Lowe承认,和Cronan一样,她在职业生涯中从未经历过这样的网络安全事件。这起事件发生在这家知名媒体,使其安全处理和应对的难度越来越大。“我认为这就是为媒体机构工作的独特之处……因为知名度要高得多,”Lowe说。“我认为这将改变九号公司举办活动和管理信息流的方式,这对公司内外都至关重要。”Cronan和Lowe一起创建了一个由10到15名核心工程师、经理和其他专家组成的“作战室”,他们从第一天开始就致力于恢复工作,持续了大约三个月。Cronan说:“这证明了团队成员的能力。他们团结一致。没有人在下午5点准时下班。他们夜以继日地工作,在许多情况下,连续几天工作。我们忘记了食物和饮料.以确保尽快处理问题,其中很多问题都非常协作,因为早期缺乏信息并且需要做出很多决定。”例如,任何技术决策都需要与安全有关,并确保您不会陷入困境并完成工作意味着持续的面对面协作。当然,所有这些都需要传达给CEO和董事会业务总监。克罗南说:“我们很早就付出了巨大努力,以确保董事会掌握最新信息,我们的首席执行官迈克·斯内斯比(MikeSneesby)也是其中的关键人物,确保就董事会对此事的理解而言,信息简明扼要,我们还提供时事通讯。对于在网络攻击前几个月加入九号台的Lowe来说,这是凤凰重生的时刻。“业务中的所有利益相关者都非常信任这项技术,达米安和我以及团队中的其他人将继续努力工作并做我们必须做的事情。我认为没有人再猜测了他们是否做出了正确的决定。“当然,鉴于2021年3月的网络攻击事件,Lowe的任命特别有先见之明。在网络攻击发生前几周让她获准担任该职位,然后让她加入的过程创造了一个成就九的信任度在遭受网络攻击几个月后,该公司通过了如此严格的测试,得到了很好的服务。Cronan说:“关于让Lowe加入的讨论,以及我们改善整体安全态势的愿望,肯定有助于导致事件发生。建立了一定程度的信任。自勒索软件攻击以来九号台发生了怎样的变化Cronan说他和Lowe在勒索软件攻击之前已经投入了大量工作来改善九号台的网络状态,他们现在已经采取了更大的“基于风险”的网络安全方法。他说,“我会说,在Lowe和我介入改善九号台整体安全态势的情况下,就像任何经过合并并在多年来发展壮大的大型企业一样,很多事情都是不可能完成的任务。”来自一名安全人员克罗南说:“从角度来看,就业务运营方式而言,有很多事情并不理想,但受到网络攻击有很多积极因素。”在攻击后振作起来并运行。但是框架和策略因此,当网络攻击事件发生时,我们的重点是在战术上确保我们可以继续运营和运营,但一旦尘埃落定,主要话题很快就会转向如何加快流程,因为我们了解计划和经验后果of网络攻击。Lowe指出,虽然九号台在网络攻击之前就已经开始实施互联网安全中心(CIS)框架,但该公司已经加速部署以增强检测、防御和响应能力。在网络攻击发生后的几个小时内,几个“第三方”组织与作战室合作完成了这项工作,其中包括部署一些现成的安全产品。展望未来,Lowe强调了保持简单的重要性;考虑到合并公司的复杂性,这绝非易事。“我们在战略上专注于简化它,”Lowe说。我们非常努力地工作,比如了解我们的环境、其中的资产以及我们需要对其进行的控制级别。我们当然了解业务运营的优先顺序。这也是此次网络攻击事件提供的契机。Nine的事件凸显了人们在网络安全中发挥的关键作用,促使Lowe分配更多资源来支持Nine的培训计划。她解释说,这是“强制”和“选择加入”的结合,根据每个角色的风险状况,要求一些员工参与网络钓鱼模拟。为此,九号线增加了面对面和一对多的培训课程,员工有更多机会参与学习活动。Lowe说:“很明显,拥有某些系统特权访问权限的人需要接受的培训与整天处理电子邮件的员工不同。我认为您需要了解您的目标受众以及您希望从中获得什么。并尝试她说:“永远不要低估企业内部人员的力量,因为他们是防御层的一部分。”绝对有必要尽可能多地对他们进行教育,并从最基础的方面提高他们的安全意识水平Nine定义网络安全的关键因素Lowe和她的团队现在问自己的问题是:“什么业务对我们至关重要?什么对网络安全至关重要?”我们已经优先管理一些安全控制措施,很明显,关注边际资产。我们实际拥有哪些资产是面向公众的,并确保它们尽可能受到保护。所以我们采取了克罗南说,九号台的网络安全规划考虑了媒体业务的性质。“媒体行业有一些独特的方面,使我们特别关注某些利益集团和犯罪威胁演员,”他说。这对我们来说是一个复杂的威胁环境。这也为我们的重点和应对策略提供了信息。虽然媒体无疑是一个越来越重要的行业和服务,需要受到保护,但澳大利亚媒体尚未正式与九号台接洽Cronan说,内政部就新通过的关键基础设施法案达成一致。“当人们谈论安全访问服务边缘(SASE)或零tRust模型,它对每个企业都有不同的意义,”Lowe说。而且我认为没有一种尺寸适合所有标准或产品。有很多供应商说他们的产品是安全访问服务边缘(SASE)或零信任,但我认为对于企业来说,正如Nine在这里所做的那样,必须评估和选择正确的组件。这不能掉以轻心,因为它需要大量投资。我认为在可持续性方面需要付出很多努力。“
