CW500:一个完美的风暴 - 袭击议会的网络攻击
2017年6月,议会大楼受到重要的网络攻击。在最新的CW500俱乐部,议会数字服务(PDS)罗伯格雷格的前任董事描述了袭击期间发生的事情,为什么这是一个“良好的经历”,以及在网络安全之上的重要性。
6月24日星期六,PDS不得不暂停远程访问议会网络用户的账目,意思是议会(MPS),同行和其他工作人员无法访问其电子邮件。这次袭击已经发现前一天,但事实上,它已经持续了更长时间。
6月初,保安运营中心,格雷格作为“我们所做的最佳投资”增加,发现了对其网络的可疑活动。
在6月22日星期四,将其与国家网络安全中心联络后,在将活动进一步调查活动的同时,PDS在6月22日星期四进行了几个星期后,在锁定了18个“高风险账户”的决定。
Greig很少知道,即几个小时后,它将变成一个完整的网络攻击,这将确保他在未来72小时内勉强睡觉。
“在星期五,我正在在会议之间行走,突然间我接到了[来自安全运营中心]的电话,说我最好在那里下来。这是超过20万次进入我们网络的开始,“他说。
所以发生了什么事?事实证明,前一天,当中心决定锁定那些高风险的账户时,它意味着“黑客知道我们知道的东西,而且它自6月五日以来他们已经去过了我们。“
所以开始了完美的风暴。“不幸的是,墙上没有大红色按钮,你按下,它会关闭它,”格雷格说。
“没有盾牌按钮,因为我们正在运行复杂的系统,数千个应用程序,大型分布式网络,许多不同的安全性,很多不同的访问和出口和入口,并且总是担心命令和担心命令控制。这不仅仅是您需要担心的数据;这是数据也是如此。“
大约9,000名用户,其中许多用户在周末举行本地选区的手术,使得禁用进入的呼吁是一个巨大的决定。
格雷格说,该团队坐下来讨论了成功的样子 - 维持业务运作的基础知识。他补充说,同时,您正在尝试在您的脑海中平衡您想要造成业务的任何中断。
该团队看到星期五是一系列用户帐户的一系列登录尝试。Greig表示,所有9,000个账户都在尝试每小时,六七次一个小时 - 议会失败的尝试锁定率是每小时八次。
到目前为止,格雷格说,他们已经PD淘汰了这可能不是在他或她的卧室里玩耍的那个孩子,而是有人在他身边玩耍,而是有人在我们的环境中做过“一些严重的范围和智慧,我们的环境如何运作以及我们到位的安全政策是什么“。
最终,9,000个账户中只有26个遭到损害,这可以看到有点胜利,以及对Greig在PDS的成就的证明。
当Greig加入那时新成立的议会数字服务,该服务被设立为合并议会的ICT部门及其网络和内部网络服务团队于2015年初,他知道他的手挑战了。
在几周内开始他的新工作,他意识到了一个“非常大的网络安全风险”,因为组织是“真的暴露”。
然而,使变化并不像Greig思想那么容易,但最终他获得了建立网络安全中心的批准。该中心以及2017年大选,原来是节省者。
Greig表示,快照选举意味着PDS有大约36天的时间来刷新每个人的IT套件,通常需要大约两年的时间来计划。
新选当时的成员将在第二天抵达议会,并与新的套件建立,这已经证明了挑战,而且还允许该团队加速网络安全工作。
这包括滚出的多因素认证(MFA),该资源被推出给所有新成员,其余计划于2018年完成。
当攻击发生时,黑客正在击中Active Directory联合会服务,并且该团队决定阻止,Greig称之为“关键点”。
然后,黑客改变了他们的向量,而Greig和他的团队几乎想过,“Gotcha,你已经完成了”,因为他们正在观看交通辍学。不幸的是,它然后再次开始,黑客击中了Microsoft Office 365的议会单一登录基础设施。
“这是一个真正的差异,而不是处理恶意软件,因为你正在处理试图积极渗透你的环境的人。通过第一晚,团队无休止地工作,限制系统,控制它们并关闭系统,“格雷格说。
然而,在一个紧张的周六早上和下午,当团队注意到“一些数据exfiltation”时,其中从一个无法轻微工作的用户留下数据,Greig决定锁定所有9,000个用户帐户。
“这是一个非常艰难的决定,”他说,并补充说,议会老板一直“辉煌”,并理解网络安全团队是专家和所需资源,以做他们需要做的事情。
“所以我们决定锁定这些账户,然后我们进入恢复模式,”他说。这包括咬住子弹并立即向所有用户推出MFA。
“这项一年计划突然在一天中完成,”格雷格说,在周一之后,在袭击之后,警察和保安人员向成员发出了如何报名参加MFA的“备忘单”。
Greig在网络攻击时刚刚发出他的通知,以占据CIO在Arup的角色,表示可能不是锁定用户的轻松决定,但是“你必须勇敢”。该攻击表明网络事件不仅仅是关于它,技术和数字船员,而是关于每个人。
“这与网络安全响应的范围更广泛,练习,并唤醒事实真的很重要,”格雷格说。
“应该以与主要火灾,爆炸或恐怖袭击相同的规模对待,因为我从此学到的一件事就是当它发生时都参与其中。”
他补充说,总的来说,袭击是“一个非常好的经历”。当然,拥有26个用户账户损害并不是一件好事,Greig补充说,他并没有试图“低估了”的影响“。
然而,该事件意味着网络安全升到了表面。“我把它全部放入公共领域,这是一个非常好的经历,因为它在许多方面,履行了成功看起来的商业案例,”他说。