屏幕上的红斑又闪了一下,比之前更短,像一次眨眼。陆轩盯着那条断开的连接记录,手指在台面轻轻一敲。
“再调一遍。”他说,“把时间往前推七十二小时,所有边缘系统的登录日志,不管有没有权限变更,全部导出来。”
马亮立刻操作,终端界面迅速滚动起密密麻麻的账号信息。张涛凑近看,眉头越皱越紧。
“这不像攻击。”他低声说,“没有数据外传,没有越权调用,连心跳包都压得极低。他们不是来拿东西的,是来‘住’进去的。”
赵宇接话:“刚才那个Ip,接入后只做了两件事——确认链路通畅,记录本地时间戳。标准的前置埋点行为。”
“说明他们还在试探。”陆轩目光没动,“但这次的试探,不是为了打我们,是为了躲我们。”
林娜翻着刚汇总的报告,声音平稳却带着重量:“过去七十二小时,系统共捕捉到十三起小额跨境资金流动,金额均低于五万,用途标注为技术服务费、差旅报销、设备租赁。其中七笔关联账户,曾出现在‘clean-3’事件的追踪名单中。”
指挥棚内安静了一瞬。
“不是巧合。”马亮抬头,“这些钱流向的公司,有六家是短期外包服务商,合同期不超过三个月。人员派驻流程合规,审批链完整,但……”他顿了顿,“这些人进来的时机太准了。每一次,都是在我们启动新项目、开放临时权限窗口的前四十八小时内完成签约。”
张涛猛地站直:“他们在等门开。”
陆轩缓缓吐出一口气,眼神沉了下来。
“以前他们靠强攻,现在改走门缝。”他声音不高,却像铁锤砸地,“我们建了墙,修了门,装了锁,结果有人拿着正规介绍信,穿着工装,堂堂正正走进来,然后在夜里拧松一根承重螺栓。”
没人接话。
赵宇的手指在键盘上快速敲击,将资金流、Ip跳转、合同周期、权限申请四个维度并联分析。几秒后,屏幕上跳出三个被标红的账户。
“初步筛出三例高风险行为。”他说,“最可疑的是这个——‘陈宇’,外包技术员,负责c区历史数据归档。过去十天,他五次访问已被标记的资金后台,每次操作间隔超过十二小时,单次停留不超过四分钟,动作干净,不留痕迹。”
马亮调出此人资料:“推荐方是‘恒远信息’,三年前合作过两次,去年因‘clean-3’关联嫌疑被移出供应商名录,但未列入黑名单。今年三月,以新主体‘恒远联创’重新投标,资质齐全,报价合理,中标两个边缘项目。”
“换皮进来的。”张涛冷笑。
“不能动。”陆轩突然开口,“现在冻结他,等于告诉对方我们发现了。他们就会退,换下一个名字,再来一次。”
“那怎么办?”赵宇问。
“盯。”陆轩眼神冷下来,“不打草,也不惊蛇。从现在起,他对系统的每一次操作,自动记录完整路径,同步推送到预警组独立终端。他的每一次登录,触发后台无声审计,不提示,不留痕。”
他转向胡军:“你安排人,调他进出机房的监控录像,重点比对操作时间和物理轨迹。如果系统显示他在后台调阅数据,但人还在食堂吃饭,那就是问题。”
胡军点头,立刻拿起对讲机低声布置。
“还有。”陆轩继续说,“所有外包人员,即刻起实行双因子动态验证。每次访问敏感模块,必须通过随机触发的二次验证流程。不提前通知,不固定规则,让他们摸不准什么时候会突然多一道关。”
赵宇皱眉:“这会增加操作负担,可能影响正常工作效率。”
“那就让他们慢一点。”陆宇语气没变,“安全不是为了跑得快,是为了走得稳。我们不怕慢,怕的是走着走着,脚下的路断了。”
张涛忽然出声:“我觉得……光看动作不够。”
众人看向他。
“以前我们抓的是‘做了什么’,现在得看‘为什么这么做’。”他指着屏幕上的行为数据,“这个人,工作内容是数据归档,可他偏偏去碰资金后台。不是一次,是五次,每次都在不同时间点,像是在测试系统的反应节奏。他在确认什么,不是在拿数据。”
“你在说‘意图’?”林娜问。
“对。”张涛点头,“我们要建的不只是预警系统,是判断力。一个人的行为模式,就像走路的姿势。正常人走路有惯性,可如果一个人每一步都刻意调整步伐,走得再像人,也不是真的在走路。”
陆轩沉默几秒,然后开口:“把‘行为异常度’加进核心指标。不看单次操作,看整体节奏。谁的动作像在‘演’,谁就是问题。”
赵宇立刻开始调整算法模型,加入时间密度、权限跳跃频率、操作路径偏离度等新参数。系统后台重新加载,数据流开始以新的逻辑滚动。
林娜将新策略录入系统,同时调出过去一个月的类似案例汇总。
“类似‘陈宇’的情况,共发现七起。”她声音平稳,“分布在不同部门,岗位都是边缘技术岗,合同周期短,权限不高,但都有过异常访问记录。此前未触发警报,因为每一条单独看都合规。”
“合规成了掩护。”马亮低声说。
“所以不能再用老标准判新敌人。”陆轩站在主控台前,声音低沉却清晰,“他们不破墙,就钻缝;不硬闯,就混进来。我们如果还只盯着有没有‘攻击’,就会错过真正的威胁。”
他环视众人:“从今天起,我们的防御要升维。技术防不住的,用人脑补;规则管不到的,用直觉拦。我们要学会看‘影子’——人不在,动作在;动作合规,节奏不对。”
指挥棚内一片静默。
赵宇的终端突然弹出一条新提示:法兰克福节点再次出现微弱连接,持续八秒,未进行任何数据交互,随即断开。
“又是试探。”马亮盯着屏幕,“他们在观察我们的反应节奏。”
“别回。”陆轩下令,“让他们以为我们没看见。真正的反击,不是在他动手时挡住,是在他动念头时,就已经被锁住。”
张涛调出全球节点热力图,三处红斑依旧闪烁,但数据流中已悄然植入新的监听线程。这些线程不主动拦截,不触发警报,只默默记录每一次异常波动,像蛛丝般缠绕在每一个可疑节点之上。
“系统已经开始学习。”赵宇说,“新模型运行两小时,已自动标记四起潜在微渗透行为,全部来自短期合同岗位。”
“还不够。”张涛摇头,“他们下次会更慢,更隐蔽。可能一个人三个月只做一次异常操作,就为了不被模型捕捉。”
“那就等。”陆轩说,“我们可以等。他们等不起。只要他们还想动,只要他们还想进,就一定会留下痕迹。我们不急,我们有的是时间。”
林娜将“行为画像”与“静默监控”策略正式归档,同步推送至所有核心成员终端。页面提交瞬间,预警组后台自动开启新一轮数据抓取,目标锁定在过去六个月内所有通过短期合同进入系统的外部人员。
马亮继续盯防境外Ip与内部账户的联动关系,发现那条来自法兰克福的连接,虽短暂断开,却在十五分钟后通过新加坡中转节点,再次尝试接入,目标直指财务系统的备份接口。
“他们在找漏洞。”他说。
“让他们找。”陆轩站在大屏前,目光未移,“我们不关门,也不开门。我们就站在这里,看着他们一步步走进我们布好的视线里。”
胡军收到监控录像调取结果,正准备比对时间线。
赵宇的终端再次闪烁,新一批数据完成交叉分析,三个高风险账户的异常行为模式被完整还原。
张涛正在细化“影子判断”算法,试图将人类对“不对劲”的感知转化为可量化的指标。
林娜记录下最后一条指令,系统策略库完成更新。
陆轩依旧站在主控台前,双手撑在台面,目光落在不断滚动的数据流上。
屏幕中央,热力图悄然变化,三处红斑依旧闪烁,但每一帧数据背后,都已织入无形的监控网络。
就在此时,马亮突然出声。
“有个新情况。”