屏幕上的红斑又闪了一下,比之前更短,像一次眨眼。陆轩盯着那条断开的连接记录,手指在台面轻轻一敲。
“再调一遍。”他说,“把时间往前推七十二小时,所有边缘系统的登录日志,不管有没有权限变更,全部导出来。”
马亮立刻操作,终端界面迅速滚动起密密麻麻的账号信息。张涛凑近看,眉头越皱越紧。
“这不像攻击。”他低声说,“没有数据外传,没有越权调用,连心跳包都压得极低。他们不是来拿东西的,是来‘住’进去的。”
赵宇接话:“刚才那个Ip,接入后只做了两件事——确认链路通畅,记录本地时间戳。标准的前置埋点行为。”
“说明他们还在试探。”陆轩目光没动,“但这次的试探,不是为了打我们,是为了躲我们。”
林娜翻着刚汇总的报告,声音平稳却带着重量:“过去七十二小时,系统共捕捉到十三起小额跨境资金流动,金额均低于五万,用途标注为技术服务费、差旅报销、设备租赁。其中七笔关联账户,曾出现在‘-3’事件的追踪名单中。”
指挥棚内安静了一瞬。
“不是巧合。”马亮抬头,“这些钱流向的公司,有六家是短期外包服务商,合同期不超过三个月。人员派驻流程合规,审批链完整,但……”他顿了顿,“这些人进来的时机太准了。每一次,都是在我们启动新项目、开放临时权限窗口的前四十八小时内完成签约。”
张涛猛地站直:“他们在等门开。”
陆轩缓缓吐出一口气,眼神沉了下来。
“以前他们靠强攻,现在改走门缝。”他声音不高,却像铁锤砸地,“我们建了墙,修了门,装了锁,结果有人拿着正规介绍信,穿着工装,堂堂正正走进来,然后在夜里拧松一根承重螺栓。”
没人接话。
赵宇的手指在键盘上快速敲击,将资金流、Ip跳转、合同周期、权限申请四个维度并联分析。几秒后,屏幕上跳出三个被标红的账户。
“初步筛出三例高风险行为。”他说,“最可疑的是这个——‘陈宇’,外包技术员,负责c区历史数据归档。过去十天,他五次访问已被标记的资金后台,每次操作间隔超过十二小时,单次停留不超过四分钟,动作干净,不留痕迹。”
马亮调出此人资料:“推荐方是‘恒远信息’,三年前合作过两次,去年因‘-3’关联嫌疑被移出供应商名录,但未列入黑名单。今年三月,以新主体‘恒远联创’重新投标,资质齐全,报价合理,中标两个边缘项目。”
“换皮进来的。”张涛冷笑。
“不能动。”陆轩突然开口,“现在冻结他,等于告诉对方我们发现了。他们就会退,换下一个名字,再来一次。”
“那怎么办?”赵宇问。
“盯。”陆轩眼神冷下来,“不打草,也不惊蛇。从现在起,他对系统的每一次操作,自动记录完整路径,同步推送到预警组独立终端。他的每一次登录,触发后台无声审计,不提示,不留痕。”
他转向胡军:“你安排人,调他进出机房的监控录像,重点比对操作时间和物理轨迹。如果系统显示他在后台调阅数据,但人还在食堂吃饭,那就是问题。”
胡军点头,立刻拿起对讲机低声布置。
“还有。”陆轩继续说,“所有外包人员,即刻起实行双因子动态验证。每次访问敏感模块,必须通过随机触发的二次验证流程。不提前通知,不固定规则,让他们摸不准什么时候会突然多一道关。”
赵宇皱眉:“这会增加操作负担,可能影响正常工作效率。”
“那就让他们慢一点。”陆宇语气没变,“安全不是为了跑得快,是为了走得稳。我们不怕慢,怕的是走着走着,脚下的路断了。”
张涛忽然出声:“我觉得……光看动作不够。”
众人看向他。
“以前我们抓的是‘做了什么’,现在得看‘为什么这么做’。”他指着屏幕上的行为数据,“这个人,工作内容是数据归档,可他偏偏去碰资金后台。不是一次,是五次,每次都在不同时间点,像是在测试系统的反应节奏。他在确认什么,不是在拿数据。”
“你在说‘意图’?”林娜问。