CW500：一个完美的风暴 - 袭击议会的网络攻击

2017年6月，议会大楼受到重要的网络攻击。在最新的CW500俱乐部，议会数字服务（PDS）罗伯格雷格的前任董事描述了袭击期间发生的事情，为什么这是一个“良好的经历”，以及在网络安全之上的重要性。

6月24日星期六，PDS不得不暂停远程访问议会网络用户的账目，意思是议会（MPS），同行和其他工作人员无法访问其电子邮件。这次袭击已经发现前一天，但事实上，它已经持续了更长时间。

6月初，保安运营中心，格雷格作为“我们所做的最佳投资”增加，发现了对其网络的可疑活动。

在6月22日星期四，将其与国家网络安全中心联络后，在将活动进一步调查活动的同时，PDS在6月22日星期四进行了几个星期后，在锁定了18个“高风险账户”的决定。

Greig很少知道，即几个小时后，它将变成一个完整的网络攻击，这将确保他在未来72小时内勉强睡觉。

“在星期五，我正在在会议之间行走，突然间我接到了[来自安全运营中心]的电话，说我最好在那里下来。这是超过20万次进入我们网络的开始，“他说。

所以发生了什么事？事实证明，前一天，当中心决定锁定那些高风险的账户时，它意味着“黑客知道我们知道的东西，而且它自6月五日以来他们已经去过了我们。“

所以开始了完美的风暴。“不幸的是，墙上没有大红色按钮，你按下，它会关闭它，”格雷格说。

“没有盾牌按钮，因为我们正在运行复杂的系统，数千个应用程序，大型分布式网络，许多不同的安全性，很多不同的访问和出口和入口，并且总是担心命令和担心命令控制。这不仅仅是您需要担心的数据;这是数据也是如此。“

大约9,000名用户，其中许多用户在周末举行本地选区的手术，使得禁用进入的呼吁是一个巨大的决定。

格雷格说，该团队坐下来讨论了成功的样子 - 维持业务运作的基础知识。他补充说，同时，您正在尝试在您的脑海中平衡您想要造成业务的任何中断。

该团队看到星期五是一系列用户帐户的一系列登录尝试。Greig表示，所有9,000个账户都在尝试每小时，六七次一个小时 - 议会失败的尝试锁定率是每小时八次。

到目前为止，格雷格说，他们已经PD淘汰了这可能不是在他或她的卧室里玩耍的那个孩子，而是有人在他身边玩耍，而是有人在我们的环境中做过“一些严重的范围和智慧，我们的环境如何运作以及我们到位的安全政策是什么“。

最终，9,000个账户中只有26个遭到损害，这可以看到有点胜利，以及对Greig在PDS的成就的证明。

当Greig加入那时新成立的议会数字服务，该服务被设立为合并议会的ICT部门及其网络和内部网络服务团队于2015年初，他知道他的手挑战了。

在几周内开始他的新工作，他意识到了一个“非常大的网络安全风险”，因为组织是“真的暴露”。

然而，使变化并不像Greig思想那么容易，但最终他获得了建立网络安全中心的批准。该中心以及2017年大选，原来是节省者。

Greig表示，快照选举意味着PDS有大约36天的时间来刷新每个人的IT套件，通常需要大约两年的时间来计划。

新选当时的成员将在第二天抵达议会，并与新的套件建立，这已经证明了挑战，而且还允许该团队加速网络安全工作。

这包括滚出的多因素认证（MFA），该资源被推出给所有新成员，其余计划于2018年完成。

当攻击发生时，黑客正在击中Active Directory联合会服务，并且该团队决定阻止，Greig称之为“关键点”。

然后，黑客改变了他们的向量，而Greig和他的团队几乎想过，“Gotcha，你已经完成了”，因为他们正在观看交通辍学。不幸的是，它然后再次开始，黑客击中了Microsoft Office 365的议会单一登录基础设施。

“这是一个真正的差异，而不是处理恶意软件，因为你正在处理试图积极渗透你的环境的人。通过第一晚，团队无休止地工作，限制系统，控制它们并关闭系统，“格雷格说。

然而，在一个紧张的周六早上和下午，当团队注意到“一些数据exfiltation”时，其中从一个无法轻微工作的用户留下数据，Greig决定锁定所有9,000个用户帐户。

“这是一个非常艰难的决定，”他说，并补充说，议会老板一直“辉煌”，并理解网络安全团队是专家和所需资源，以做他们需要做的事情。

“所以我们决定锁定这些账户，然后我们进入恢复模式，”他说。这包括咬住子弹并立即向所有用户推出MFA。

“这项一年计划突然在一天中完成，”格雷格说，在周一之后，在袭击之后，警察和保安人员向成员发出了如何报名参加MFA的“备忘单”。

Greig在网络攻击时刚刚发出他的通知，以占据CIO在Arup的角色，表示可能不是锁定用户的轻松决定，但是“你必须勇敢”。该攻击表明网络事件不仅仅是关于它，技术和数字船员，而是关于每个人。

“这与网络安全响应的范围更广泛，练习，并唤醒事实真的很重要，”格雷格说。

“应该以与主要火灾，爆炸或恐怖袭击相同的规模对待，因为我从此学到的一件事就是当它发生时都参与其中。”

他补充说，总的来说，袭击是“一个非常好的经历”。当然，拥有26个用户账户损害并不是一件好事，Greig补充说，他并没有试图“低估了”的影响“。

然而，该事件意味着网络安全升到了表面。“我把它全部放入公共领域，这是一个非常好的经历，因为它在许多方面，履行了成功看起来的商业案例，”他说。