晚上十点十七分,市科技园区的锐科数据技术科依旧亮着灯。苏然盯着屏幕上弹出的红色告警框,指尖悬在鼠标上没动——这是今晚第三封异常邮件,但前两封只是带钓鱼链接的垃圾邮件,而这封的发件人栏赫然显示着anonymous@null.net,主题栏只有三个冰冷的字:该还了。苏姐,这封有点不对劲。坐在对面的技术员小林推了推眼镜,调出邮件头信息,发件服务器地址是个临时域名,而且……你看附件大小,2.3G,后缀是加密的.enc格式,普通垃圾邮件不可能这么大。苏然站起身,走到小林身后。屏幕上的邮件头密密麻麻排列着Received字段,每一行都对应一个中转节点,最顶端的发件IP被一串乱码覆盖。她指尖点了点屏幕:把加密附件先隔离到沙箱,用静态分析工具扫一遍,别直接解密,防止带马。
锐科数据是做企业云存储的,手里握着上百家客户的核心数据,从金融机构的交易流水到科技公司的研发图纸,任何一点泄露都可能引发连锁反应。苏然作为技术科负责人,最担心的就是数据安全事故——上个月刚发生过一次员工误删客户数据的乌龙,现在要是真出了核心数据泄露,别说她这个技术科负责人,整个公司都得跟着震荡。静态扫描结果出来了!小林的声音突然拔高,苏姐,里面是……是我们磐石计划的核心架构图,还有三家银行的用户脱敏前数据!
苏然的心猛地沉了下去。磐石计划是锐科正在研发的下一代云安全系统,架构图属于最高级别的商业机密,连中层管理者都只有查阅权限,而银行用户的脱敏前数据,更是绝对不能流出的敏感信息。她立刻拿起手机拨通安保部电话:张队,技术科紧急告警,有匿名邮件携带核心机密附件,立刻启动数据安全应急预案,封锁所有外部传输端口,排查近72小时的网络日志!
挂了电话,苏然重新坐回电脑前,手指在键盘上飞快敲击,调出邮件的完整数据包。邮件头里的中转节点有六个,第一个节点显示在新加坡,第二个跳转到荷兰,第三个又回到国内香港——典型的多层代理跳转,每一层都用了不同的协议,HTTP、SOCKS5、VPN轮流切换,像是在故意绕路。小林,查一下这六个代理节点的注册信息,看看有没有关联。苏然一边说,一边打开自己的专用分析工具溯源者,我试着逆向追踪代理链,你同步调取公司内部的邮件服务器日志,看看这封邮件有没有在内部流转过的痕迹。
深夜的技术科只剩下键盘敲击声和服务器的低鸣。苏然的目光死死盯着屏幕上跳动的代码,溯源者正在解析第一个新加坡代理节点的IP,屏幕上弹出的WHOIS信息显示,这个IP属于一家名为星云网络的服务商,但注册人信息是伪造的,电话和邮箱都是临时生成的。苏姐,不对劲!小林突然喊道,这六个代理节点,有三个是我们公司的备用VPN服务器!苏然的手指顿住了。备用VPN服务器是为了应对主服务器故障而搭建的,只有技术科和运维部的五个人有访问权限,而且每次登录都会留下详细的操作日志。她立刻调出备用VPN的日志:查最近一周的登录记录,重点看凌晨时段的访问。
日志列表飞快滚动,凌晨两点十七分,一个陌生的设备ID登录了香港的备用VPN,登录IP显示是荷兰的一个代理节点——正好和邮件头里的第二个中转节点对应。苏然放大设备ID的详细信息,发现这个ID的硬件指纹是伪造的,操作系统版本标注的是Windows 10 22H2,但内核版本却是早已停止支持的1909,明显是故意留下的陷阱。内部人作案的可能性越来越大了。苏然揉了揉眉心,外部黑客不可能知道我们备用VPN的地址,更不可能绕过防火墙登录——除非有人给他们开了后门,或者……就是内部人自己干的。
就在这时,沙箱里的加密附件突然弹出一条提示:检测到特殊加密算法,与公司内部天狼加密系统一致。苏然猛地抬头,天狼加密系统是锐科专门为核心文件设计的,只有高管和核心研发人员才有解密权限,而且每次解密都会生成唯一的密钥日志。立刻查天狼系统的解密日志,重点查近三天访问过磐石计划架构图和银行数据的用户!苏然的声音带着一丝急促,另外,联系法务部,让他们准备好数据泄露的法律预案,一旦确认泄露范围,必须立刻通知受影响的客户。
小林一边操作一边点头,屏幕上的解密日志很快加载出来。近三天,共有五个人访问过相关文件:技术总监李哲、研发组长王凯、运维主管赵鹏、还有两个是外部合作的安全顾问。苏然盯着这五个名字,手指在桌面上轻轻敲击——这五个人都有机会接触到核心数据,也都有能力绕过内部安全系统,到底是谁?凌晨一点,技术科的门被推开,安保部主任张磊拿着一份纸质报告走进来:苏然,刚查了监控,昨晚凌晨两点到三点,研发组长王凯的办公室灯是亮着的,而且他的门禁卡在那个时间段有过一次刷卡记录。
这章没有结束,请点击下一页继续阅读!