“我们最糟糕的一天”：选举委员会网络攻击未公开的故事

作为选举委员会的数字主管，安德鲁·辛普森在威胁行为者入侵该监管机构的电子邮件系统并访问敏感选民数据时经受住了考验。三年后，他向《计算机周刊》讲述了他的经历。

你最糟糕的一天可能开始得如此平淡——你离开家，停下来取咖啡，赶上火车，或者可能跑着去却刚好错过。也许正在下雨。这些微小的细节构成了我们生活的拼图。

就安德鲁·辛普森而言，他本应庆祝一个小胜利，这是一个正在进行中（且大体上成功的）云升级项目推出的里程碑。然后事情就崩溃了。

辛普森于2022年6月加入选举委员会——英国的选举监督和政治财务监管机构——担任数字、信息、技术和设施主管，领导一个广泛的数字化转型项目，该项目除了从本地部署过渡到云之外，还带来了大量网络升级。

但辛普森或其他任何人都不知道的是，威胁行为者——可能是中国国家网络间谍，或勒索软件团伙，或两者兼而有之——已经潜伏在选举委员会的系统中。最终，发现他们利用未打补丁服务器上的ProxyShell漏洞链获得了访问权限。

后来的调查发现，这一系列入侵始于2021年8月，但直到辛普森的一个云过渡项目进行中时才被发现。

“其中一部分是引入MFA[多因素认证]，这在2022年10月发生，正是我们发现入侵的时候，”辛普森说。“该项目的一名首席工程师发现他们的MFA账户在不到一分钟内被尝试了10次。那时很明显有些事情不太对劲。”

结果发现，在引入MFA时，辛普森的团队“无意中”将攻击者锁在系统外，威胁行为者正试图重新进入。

作为一名IT领导者，做正确的事情却突然发现自己卷入一场重大的网络安全恐慌，是什么感觉？

“这可能是你在这个行业中有过的最糟糕的感觉，”辛普森说，他评论说，通常为组织的员工带来新的技术功能并用最新工具帮助他们更好地工作是种很棒的感觉。

“当你突然遭遇网络事件时，你意识到我们正在做的一切不再是优先事项，所以我们所做的好处被入侵破坏，你的心态也改变了——我们现在必须再次封舱。”

幸运的是，团队成功设置了MFA是一个小小的安慰，选举委员会加强了这一点，增加了挑战频率——在其首席IT工程师的情况下每小时一次。

但辛普森仍然记得最初的震惊，以及意识到入侵规模比看起来大得多的逐渐认识。“这是一件可怕的事情，令人痛心——我认为这是最好的说法。我绝不希望任何人经历它，”他说。

第一响应者

在理想世界中，辛普森说他会立即成立事件响应团队，但当时那不是一个真正的选择，因为能力不足。

他回忆起疯狂地打电话给供应商和国家网络安全中心（NCSC）的联系人，后者通过其网络安全框架帮助选举委员会联系了Secureworks（现属Sophos）的事件响应者。

与此同时，IT团队迅速行动锁定一切，将受影响的服务器完全离线并沙箱化。这极具破坏性，但由于选举委员会已经一脚踏入云中，仍有一些系统可以相对安全地使用，但需采取额外预防措施以避免交叉污染。

“关键的一点是，所有这些都不是通过电子邮件进行的。全是口头、电话，因为显然他们可以访问我们的电子邮件系统，”安德鲁·辛普森，选举委员会。

总体而言，辛普森说选举委员会是幸运的。“我们在他们准备工具并可能在某刻注入勒索软件时抓住了他们。我们从未达到许多组织被勒索软件席卷并摧毁的地步，”他说。“我们没有到达那个阶段，因为我们反应如此迅速。我们没有给他们机会。他们立即失去了访问权限。”

在Secureworks的帮助下，辛普森和他的团队开始追踪最初的入侵。“他们很快识别了零号病人，那是一台本地电子邮件服务器，他们还在那台服务器上发现了一些勒索软件的痕迹，”他说。

此时——几乎在黑客消息在媒体曝光前12个月，一切都在极度保密中进行，IT团队处于封锁状态。

“选举委员会中没有其他人知道我们在做什么。我们没有对外沟通。关键的一点是，所有这些都不是通过电子邮件进行的。全是口头、电话，因为显然他们可以访问我们的电子邮件系统，”辛普森说。“从IT的角度，我们知道除了我的老板、CEO和执行团队成员外，没有人可以讨论此事。他们是唯一知道发生了什么的人。”

“显然，员工有问题，他们每天都被MFA挑战，但我认为很多人认为这是迁移过程的一部分。这就是为什么我说我们没有遭受勒索软件攻击如此重要，因为员工没有看到中断——但内部我们正在处理一些当时无法谈论的真正问题，”他补充道。

封锁过程非常有效，防止事件在全国范围内爆发，直到事情得到控制，事件消息直到次年八月才曝光。那时，选举委员会能够管理叙事并按自己的方式解释事件，而不必进行危机公关。

与许多其他类似事件中系统被匆忙拉离线且外部人员注意到影响（如玛莎百货攻击）不同，可以推测选举委员会受益于作为一个大部分时间不在公众视线中的组织。

数据危机

但无论公关与否，无疑存在危机。选举委员会在监督英国政治过程方面有多重责任，需要收集和保存公众成员的敏感数据。调查早期就明显这些数据面临风险。

“就我们持有的数据集而言，它位于当时所谓的X服务器上，那是选举登记册，包含来自地方当局的所有数据副本，所以它不是实时数据，是副本，”辛普森说。“[但]那是关键关切，他们确实访问了那台服务器。他们还访问了我们的电子邮件。”

不幸的是，由于系统正在升级且其防火墙当时没有容量保存旧日志，永远无法证明或反驳数据是否被外泄。为了做正确的事和合规，选举委员会在向公众披露这一点时尽可能坦诚。

“这就是为什么当你与NCSC和ICO[信息专员办公室]交谈时，你必须说存在入侵且他们访问了这些数据。这就是我们采取立场的原由。我们无法单独联系列表上的每个人，[所以]你必须发布公开声明，”辛普森说。

改变叙事

由于一名未具名的举报人，2023年9月还爆出该组织未通过NCSC Cyber Essentials审计，正如《计算机周刊》和许多其他全国新闻媒体当时报道的那样。我们现在知道这不是全部真相——审计从未进行，因为所有相关方都清楚选举委员会会失败——这一事实现在应反映在记录中。

“我们有一些问题，比如笔记本电脑上的软件过时，手机也不完全最新。我们当时还没有准备好获得Cyber Essentials认证，”辛普森说，他在入侵被发现时一直在规划潜在改进以解决这些问题并获得认证。

当那个故事爆出时，他回忆正带孩子们去奥尔顿塔，甚至记得他正要上哪个游乐设施时电话响了：“这些是我想人们不会想到的事情。你的生活因这些影响而改变。它们永远不会离开我——我知道我在哪里得知某些事情，每一部分。这是伤疤，但很好，因为你吸取教训，你不能只看负面。”

通往韧性的道路

三年过去，网络攻击已成为过去，选举委员会在改善其网络安全态势方面取得了巨大进步。

“我的业务模式是第一线支持内部，第二线支持是专业供应商——尤其是在这个行业，你不可能有足够员工处理此事，”辛普森说。

在内部支持方面，第一步是培训选举委员会的IT团队支持所需的产品集——即使没有网络攻击这也是核心目标，但在事件后加速进行。

“我尽可能广泛地与人交流，因为帮助此事的唯一方式是分享信息，”安德鲁·辛普森，选举委员会。

辛普森随后通过引入由Secureworks运营的托管安全运营中心（SOC）支持这第一道防线，他说这样做有意义，因为通过其在事件响应过程的工作，它已深入组织的技术栈。

通过SOC，Secureworks现在进行24/7监控、扩展检测和响应（XDR）、漏洞管理以及高和关键级别事件报告，领导层在需要时日夜待命。

但辛普森也认为，组织不应将所有鸡蛋放在一个篮子里，由一个供应商满足所有安全需求，因此在此基础上，另一家公司支持组织使用Microsoft Defender。

选举委员会已采取措施解决电子邮件安全问题，将整个组织的DMARC合规性从事件时的40%提高到今天的100%。

现在还实施了证书监控。“那是关键点，我认为人们忘记了，”辛普森说，“证书很容易过期，那会创建漏洞。”

另一个关键变化是引入新防火墙替换那些让调查人员失望的旧防火墙。与Fortinet密切合作，选举委员会在其物理站点和Azure租户中引入了总共八个托管防火墙，其数据被吸收回SOC。

“我们有一个重叠的维恩图，意味着我们安全的每个方面都受到多个供应商保护，我们不依赖任何一个，所以如果任何一个无法交付，其他人将能够接手，”辛普森说。“那是一个巨大的变化。”

对于组织的普通员工，现在有额外的安全培训和增强的密码策略。回顾过去，辛普森说在培养和培训员工上吝啬是不重要的。

从入侵到韧性

IT领导者负担不起等待入侵发生，安德鲁·辛普森说，相反，他们应积极投资并与专家合作伙伴接触。在此阅读更多。

“你可以在供应商上花一大笔钱，有些人确实如此，但想想那些关键员工，不仅是IT员工，还有实际员工，确保他们意识到可能发生的任何事情，并确保人们接受他们面前技术的培训。那是关键学习之一，”他说。

选举委员会此后通过了审计，现在获得Cyber Essentials Plus认证，这是对其能力的明显信任投票。

“当你看看我们现在的位置与过去相比，人们应该对我们处理事情的方式更有信心。我知道我们在这方面专业得多，”辛普森说。

但辛普森此时并未放松。例如，当首相里希·苏纳克于2024年5月22日宣布大选时，选举委员会看到其系统上约有64,000次尝试——大部分是粗糙的网络钓鱼或密码喷洒攻击——并阻止了每一个。

学习过程

总体而言，有一点是明确的，网络安全是一个持续改进的过程。“我们永远不会看到这种情况消失，这只是游戏的一部分，”辛普森说。“我从事IT已有25年，开始时几乎没有互联网。现在一切都可以联网[且]可能被入侵，所以我对任何事情都不视而不见。”

“我不感到不知所措。我觉得我们已经尽一切可能落实了措施，但你不能对此漫不经心。你做的每个项目中都需要有安全方面，即使涉及联网冰箱……这可能让人感到不知所措，但要确保它融入你所做的一切。”

2024年春，英国图书馆——它自己在2023年成为网络攻击的受害者——发布了一份详尽的报告，说明发生了什么以及它正在做什么来恢复，以帮助他人理解、准备并希望抵御网络攻击。

辛普森现在发声的目标性质类似，反映了网络安全社区日益增长的理解，即透明度使每个人受益。他正成为开放安全实践的倡导者，且关键是无责备或无羞耻。

“我尽可能广泛地与人交流，”他说，“因为帮助此事的唯一方式是分享信息。对于那些经历过的人——[毕竟]有些人为此丢了工作——我很幸运。”