第四次,一个月后,夜间十二点三十九分,账户通过移动端登录,访问人事档案库,查看两名离职员工的信息,停留两分零三秒。
“移动端操作更难监控。”赵宇提醒,“而且选择离职人员信息,不会触发敏感数据警报。”
“但他没理由查这个。”林娜指出,“他的工作和人事无关。”
“分数+3,进入橙色区间。”张涛更新模型。
第五次,又隔两周,上午九点零八分,账户在正常办公时间登录,但在操作过程中,连续三次跳转不同系统,每次停留不超过二十秒,路径毫无逻辑。
“这不是工作流。”赵宇摇头,“这是测试响应速度。”
“人在演。”张涛下结论,“动作太刻意,反而暴露了目的。”
“分数+4,触发红色预警。”张涛按下确认键。
第六次,推演最后阶段,账户在合同到期前一天,深夜十一点五十六分,最后一次登录,上传一个小型加密文件至临时存储区,文件大小仅三十七Kb,命名规则符合公司标准。
“上传行为合规。”林娜说,“文件类型也正常。”
“但时间不对。”胡军反驳,“快下班了才传文件?而且是最后一刻。”
赵宇调出监听线程记录:“这个文件上传前,账户曾与境外Ip有过一次微弱握手,持续不到五秒,被静默线程捕捉到。”
“联动确认。”马亮补充,“新加坡节点在同一时间出现微幅流量波动。”
“这不是归档。”陆轩终于开口,“这是埋点。他知道自己要走了,临走前留下后门。”
“推演结束。”张涛关闭模型,“系统在第六次操作时完成综合判定,标记为高风险行为,建议立即冻结账户并展开调查。”
陆轩点头:“成功了。”
他环视众人:“过去我们等攻击发生才出手,现在我们要在攻击发生前就看穿它。技术可以升级,设备可以更换,但真正决定胜负的,是人的判断力。”
“从今天起,‘行为画像’和‘静默监控’正式纳入核心安防体系。”他声音低沉却有力,“我们不再只看做了什么,还要看为什么做;不再只追已经发生的威胁,更要预判还没成型的危险。”
林娜将最终报告归档,系统自动同步更新策略库。
赵宇调试完最后一组参数,新模型开始运行,数据流以全新的逻辑滚动,每一条记录都被赋予行为评分。
张涛坐在终端前,继续优化算法,试图把“直觉”这种模糊的东西,变成可量化的指标。
胡军起身准备去机房巡查,顺手拍了拍马亮肩膀:“你盯紧那几个红斑,我盯着人。”
马亮点头,目光未离屏幕。
陆轩依旧站在主控台前,手中拿着推演报告,指节轻轻敲击台面。他的视线落在全球节点热力图上,那三处红斑仍在闪烁,频率比之前更缓,像是在等待什么。
就在这时,赵宇的终端弹出一条提示。
“模拟账户‘陈宇’的社交图谱分析完成。”他念出结果,“发现其手机号注册的邮箱,曾与两个已知高风险Ip存在邮件往来,内容加密,但发送时间均在非工作时段。”
陆轩抬起眼。
“这不是一个人在行动。”他说,“是组织。”
他把报告放在台面上,伸手拿起通讯器。
“所有人注意,特训第二阶段即刻开始。”他的声音清晰传入每个人的耳麦,“这次我们不推演了。”