我冲进B区一楼大厅的时候,安保组已经围住了那个维修工。他手里还握着一台黑色设备,接口插在墙上网口上,绿灯一闪一闪。我没说话,直接挥手让技术员拔掉线缆。
“断电,封端口。”我说,“所有人撤离这片区域。”
技术员动作很快,三秒内完成了操作。我站在原地盯着那台设备,脑子里转得不是它能偷走多少数据,而是这套新系统能不能第一时间发现异常。十分钟后,情报部主管打来电话,说后台自动触发了二级警报,记录到该设备尝试发起ARP欺骗,目标是内网认证服务器。
“从接入到报警,用时六十八秒。”他说,“防火墙拦截了全部外传请求,日志已归档。”
我松了口气。这不是运气好,是制度开始起作用了。
第二天上午九点,情报部主管准时敲门进来,手里拿着一份打印好的报告。我把咖啡杯挪到一边,示意他坐下。
“这是反窃密体系运行第一个月的评估。”他把文件放桌上推过来,“我们整理了所有预警和处置记录。”
我翻开第一页,标题是《反窃密体系运行首期评估报告》。第一部分列出了四十七次异常访问,其中十二起确认为外部攻击。这些攻击来自不同IP,但有七次的跳转路径最终指向同一个境外中继节点,和之前宏达集团使用的服务器存在关联。
“都是试探性的?”我问。
“对。没有一次突破第一道防线。”他说,“权限控制系统挡掉了八次非法读取请求,另外四次被行为分析模块标记为高风险操作,自动锁定账户。”
我点点头,翻到下一页。这里讲的是员工上报渠道的使用情况。过去三十天里,共有三封钓鱼邮件被成功拦截,全是员工主动提交的。有一封伪装成财务通知,内容要求点击链接验证报销单据。发件人地址模仿得很像,但域名拼写错了,被上报后五分钟内全公司拉黑。
“这个通道比预想的管用。”我说。
“不止是邮件。”他说,“访客登记系统也起了作用。上周有两个自称服务商的人试图接入网络,系统核验时发现预约信息不存在,当场阻止。查他们的设备,一台装了远程控制软件,另一台内置无线嗅探模块。”
我想到昨天那个维修工,就是联讯维保派来的。现在看来,他们早就盯上了我们。
“B区的事算进去了吗?”
“已经归类为复合型攻击。”他说,“社会工程加硬件植入。这类手段最难防,因为人会放松警惕。但我们现在的流程是:只要有外来设备接入,不管理由是什么,后台都会启动实时监控。这次能在一分钟内响应,说明机制跑通了。”
我合上报告,靠在椅背上。
“你知道最让我放心的是什么吗?”我说,“不是抓到了几个可疑分子,而是整个系统动起来了。以前出事都是事后补漏,现在是事前预警、事中拦截、事后追责。每一步都有人管,有记录可查。”
他点头:“我们现在每天早会看三条数据:预警数量、处理时效、上报率。这三项都在往好的方向走。”
我起身走到窗边。楼下园区里,员工进出有序,车辆排队刷卡,看起来和平常没什么两样。可我知道,有些变化已经发生了。那些曾经看不见的威胁,现在会被系统记住,被规则挡住,被团队处理。
“他们试了一次,失败了。”我说,“下次还会来,但不会再这么明目张胆。我们要让他们明白,每一次动手,都会留下痕迹,都会付出代价。”
他没接话,只是打开笔记本准备记要点。
“把这一个月的案例整理出来。”我说,“下周再做一次全员复盘。不讲大道理,就放真实数据和截图。让大家看到,我们建的这套东西,不是摆设,是真的能挡住攻击的。”
他记完抬头:“还有别的吗?”
“加一项。”我说,“建议设立红蓝对抗机制。每个月搞一次模拟渗透测试,找专业团队扮攻击方,我们自己当防守方。实战才能暴露问题。”
他合上本子:“今天回去就开始起草方案。”