马亮的声音在指挥棚里响起时,所有人都抬起了头。
“新加坡节点,十五分钟后再次接入,目标是财务系统的备份接口。”他语速平稳,手指在终端上滑动,调出连接路径图,“跳转方式和上次一致,但这次停留时间更长,达到了十二秒。”
陆轩站在主控台前,没有立刻回应。他的目光落在大屏中央不断滚动的数据流上,那几处红斑依旧闪烁,像暗夜里不肯熄灭的火星。他等了几秒,才开口:“不是误触,也不是孤立试探。他们在确认我们有没有反应。”
张涛点头:“他们知道我们可能盯上了第一次连接,所以第二次故意延长停留,看我们会不会拦截。这是一种反侦察。”
赵宇眉头紧锁:“可我们什么都没做,系统也没触发警报。他们如果真在测试防御节奏,现在应该得出结论了——我们没发现他们。”
“那就让他们得出这个结论。”陆轩声音沉稳,“我们现在动,反而打草惊蛇。真正的较量不在他们进来的那一刻,而在他们以为安全的时候。”
他转身面向众人,目光扫过每一张脸:“从现在起,所有常规安防演练暂停。我们不能再靠预设规则去抓人,得先让自己学会看懂‘影子’。”
林娜迅速打开记录界面,准备录入指令。
“启动‘反渗透能力强化特训’。”陆轩语气坚定,“为期四十八小时,封闭进行。所有核心成员全程参与,不得离岗。赵宇负责技术模型重构,张涛牵头异常行为识别培训,胡军组织物理安防复盘,林娜同步更新应急响应流程。”
没有人提出异议。
胡军立刻起身:“我这就去调取最近三个月所有外包人员的进出记录,结合监控做一次全流程推演。”
“不只是看记录。”陆轩提醒,“要看节奏。一个人什么时候进出、停留多久、走哪条路线、有没有避开摄像头死角,这些都不是偶然。我们要学会从日常里看出不寻常。”
张涛已经打开分析界面:“我建议把‘行为节奏偏离度’做成评分系统。比如一个技术人员,正常情况下每天访问系统两到三次,集中在上午九点到十一点。但如果他突然在凌晨两点登录,哪怕只看了两分钟,也算一次异常。次数多了,分数累积,系统自动标红。”
赵宇思索片刻:“机器可以抓数据,但判断意图还得靠人。我们需要训练大家对‘不对劲’的感觉。”
“那就训练。”陆轩说,“邀请外部专家远程接入,安排三场专题培训。重点讲合规操作下的伪装行为,怎么从动作频率、路径选择、时间间隔里看出问题。这不是技术课,是意识课。”
林娜快速整理出培训日程,同步推送到每个人终端。
马亮仍在盯着新加坡节点的连接日志:“他们刚才又断开了,但Ip地址没有消失,而是转入休眠状态。这种控制方式很老练,不像临时起意的攻击,更像是长期布局。”
“说明他们打算耗。”陆轩眼神冷了下来,“他们不怕慢,就怕我们急。可我们偏不急。”
他走到战术推演区,调出虚拟沙盘:“现在开始第一轮全要素反渗透推演。设定情境:一名外包人员,合同期三个月,岗位为数据归档助理,权限有限。在过去九十天内,共进行六次微小异常操作,每次间隔随机,路径分散,不涉及敏感数据调取,但存在跨系统跳转、非工作时间登录、操作时长异常等特征。”
赵宇立刻响应:“我调用升级后的静默监听线程,追踪他的所有操作路径。”
张涛补充:“加入社交关系分析,看他是否与其他高风险人员有关联;再比对出入记录,确认是否存在人机分离情况。”
胡军点头:“一旦判定为可疑,立即启动物理追踪,调取监控、门禁日志、食堂消费记录,形成闭环证据链。”
推演开始。
虚拟账户“陈宇”上线,首次操作是在晚上十一点四十七分,登录历史数据库,执行一次标准归档任务,耗时三分十八秒,完全合规。
“第一次没问题。”林娜记录。
第二次,三天后,凌晨一点零二分,同一账户访问日志审计模块,查看自身操作记录,停留一分钟,退出。
“查自己有没有被标记?”赵宇皱眉,“这是试探系统反应。”
“分数+1。”张涛在模型中调整参数。
第三次,十天后,下午三点十五分,该账户在完成归档任务后,突然跳转至财务系统后台,停留四十七秒,未做任何修改,仅浏览页面结构。
“他在摸系统布局。”马亮说,“不是为了拿数据,是为了熟悉环境。”
“分数+2,触发黄色预警。”张涛确认。
第四次,一个月后,夜间十二点三十九分,账户通过移动端登录,访问人事档案库,查看两名离职员工的信息,停留两分零三秒。
“移动端操作更难监控。”赵宇提醒,“而且选择离职人员信息,不会触发敏感数据警报。”
“但他没理由查这个。”林娜指出,“他的工作和人事无关。”
“分数+3,进入橙色区间。”张涛更新模型。
第五次,又隔两周,上午九点零八分,账户在正常办公时间登录,但在操作过程中,连续三次跳转不同系统,每次停留不超过二十秒,路径毫无逻辑。
“这不是工作流。”赵宇摇头,“这是测试响应速度。”
“人在演。”张涛下结论,“动作太刻意,反而暴露了目的。”
“分数+4,触发红色预警。”张涛按下确认键。
第六次,推演最后阶段,账户在合同到期前一天,深夜十一点五十六分,最后一次登录,上传一个小型加密文件至临时存储区,文件大小仅三十七Kb,命名规则符合公司标准。
“上传行为合规。”林娜说,“文件类型也正常。”
“但时间不对。”胡军反驳,“快下班了才传文件?而且是最后一刻。”
赵宇调出监听线程记录:“这个文件上传前,账户曾与境外Ip有过一次微弱握手,持续不到五秒,被静默线程捕捉到。”
“联动确认。”马亮补充,“新加坡节点在同一时间出现微幅流量波动。”
“这不是归档。”陆轩终于开口,“这是埋点。他知道自己要走了,临走前留下后门。”
“推演结束。”张涛关闭模型,“系统在第六次操作时完成综合判定,标记为高风险行为,建议立即冻结账户并展开调查。”
陆轩点头:“成功了。”
他环视众人:“过去我们等攻击发生才出手,现在我们要在攻击发生前就看穿它。技术可以升级,设备可以更换,但真正决定胜负的,是人的判断力。”
“从今天起,‘行为画像’和‘静默监控’正式纳入核心安防体系。”他声音低沉却有力,“我们不再只看做了什么,还要看为什么做;不再只追已经发生的威胁,更要预判还没成型的危险。”
林娜将最终报告归档,系统自动同步更新策略库。
赵宇调试完最后一组参数,新模型开始运行,数据流以全新的逻辑滚动,每一条记录都被赋予行为评分。
张涛坐在终端前,继续优化算法,试图把“直觉”这种模糊的东西,变成可量化的指标。
胡军起身准备去机房巡查,顺手拍了拍马亮肩膀:“你盯紧那几个红斑,我盯着人。”
马亮点头,目光未离屏幕。
陆轩依旧站在主控台前,手中拿着推演报告,指节轻轻敲击台面。他的视线落在全球节点热力图上,那三处红斑仍在闪烁,频率比之前更缓,像是在等待什么。
就在这时,赵宇的终端弹出一条提示。
“模拟账户‘陈宇’的社交图谱分析完成。”他念出结果,“发现其手机号注册的邮箱,曾与两个已知高风险Ip存在邮件往来,内容加密,但发送时间均在非工作时段。”
陆轩抬起眼。
“这不是一个人在行动。”他说,“是组织。”
他把报告放在台面上,伸手拿起通讯器。
“所有人注意,特训第二阶段即刻开始。”他的声音清晰传入每个人的耳麦,“这次我们不推演了。”