『如果章节错误,点此举报』第(2/3)页
指用力到发白——温柔失效后,下一招往往更狠。
11:11,IT资产管理工单的第一轮反馈终于来了,邮件标题很公事公办:《工单IT-INC-7XXXX反馈:外接存储设备序列号核验结果(初步)》。
周砚点开邮件的那一刻,后背的肌肉微微绷紧——不是紧张,而是进入战术状态的本能反应。
邮件内容分三段:
“1)固定资产台账核验:该序列号对应设备未在公司固定资产台账登记,非公司统一采购资产;
2)外设白名单核验:该设备不在公司‘允许外接存储设备白名单’;
3)终端接入历史(近30天):在以下终端出现接入记录——
A)LAP-PRJ-AYUAN-02(19:?? 接入一次)
B)MEET-302-PC(18:46 接入一次)
C)DESK-MKT-LIXX-01(18:?? 接入一次)
详细接入时间戳与登录账号信息需终端管理系统二次导出,预计13:30前补充。”
非公司台账、非白名单、却出现在阿远的笔记本上、302公用电脑上、以及市场部李XX的工位机上。
这不是“普通U盘”,这是“在关键路径上反复出现的外来设备”。最关键的,是它在阿远笔记本上出现过接入记录——哪怕只有一次,都足以让“偶然”变成“链条”。
周砚没有立刻把邮件转发给梁总。他先做了三件事,把主动权握住:
第一,把邮件与附件保存归档、生成哈希值、更新合规记录表,备注“证据关键度:高”。
第二,立刻回复IT资产管理,要求补充导出的字段必须包含:接入的本地用户名/域账号、当时的登录会话、对应的IP、是否有文件读写记录(如可提供)。他写得很克制,只提“字段需求”,不提“指向谁”。
第三,他把门禁记录里的关键人——“王XX 18:46进 18:49出”——与设备接入时间“18:46”在自己脑中快速对齐,形成一条极窄的时间窗:18:46外设接入 → 18:47浏览器登录页 → 18:48输入账号 → 19:01失败登录触发。这个窗里,唯一被门禁明确标记且卡在起点的人,就是王XX。
逻辑闭环开始出现锐角。
视野边缘,蓝色面板亮起,字色比以往更冷:
【证据推进到“可指向”阶段:外设不在白名单却出现在关键终端】【风险:对手将尝试“消毒”——删除终端记录、甩锅给他人、或提前自首式解释】【策略:等二次导出,先锁时间窗,再锁登录账号,再锁设备归属人】
12:02,阿远再次私信周砚,这次语气明显不耐烦:“你别搞那些工单了,事情闹大对你没好处。302的追溯梁总会处理,你现在只要把开放日做好就行。别把自己卷进安全部的泥潭。”
周砚看着屏幕,脑中只有一个判断:对方知道“序列号”已经被推进了。否则不会忽然强调“别搞工单”。
他回得依旧短:“追溯不影响开放日,我两条线都在推进。若你希望我停止追溯,请邮件写明停止原因与责任归属,抄送梁总。”
对方没有再回。
沉默就是一种失败。对手越沉默,周砚越确定自己踩中了真实的痛点。
12:30,财务BP发来提醒:下午要给梁总一版“到访预测与现场成本估算”。周砚把预约时间段分布表同步给她,同时附上“控量策略”与“候补机制”说明:每个时段上限、候补规则、预计到访转化。所有数字带口径说明,避免财务把“意向”算成“确定”。
项目这条线仍旧稳。
13:22,IT补充导出如期而至。邮件标题没变,但附件多了一个《终端管理导出-USB接入明细(脱敏版)》。
周砚打开表格的那一瞬间,呼吸几乎无声。
表格里清晰列出:
- 设备序列号:XXXX-XXXX-XXXX(完整)
- 厂商:SanDisk
- 设备名:USB Mass Storage Device
- 接入终端:MEET-302-PC
- 接入时间:18:46:58
- 当前登录用户:guest_meetroom
- 前台活动账号:周砚(在18:48输入)
- 读写行为:读取 0 / 写入 0(系统层面未捕捉到文件拷贝动作)
- 接入终端:LAP-PRJ-AYUAN-02
- 接入时间:18:12:07
- 当前登录用户:ayuan
- 读写行为:读取 12 / 写入 3(文件名脱敏,仅显示类型:pptx、xlsx、pdf)
- 接入终端:DESK-MKT-LIXX-01
- 接入时间:18:39:14
- 当前登录用户:lixx
- 读写行为:读取 2 / 写入 0
18:12,阿远的笔记本接入,发生读写;18:39,市场部李XX工位机接入;18:46,302接入,紧接着输入周砚账号。
这已经不是线索,是路径。设备像一根针穿过不同的布面,把几块看似无关的布片串成一条线。
周砚的指尖停在“ayuan 读取12 写入3”那行,眼底一点情绪都没有,只剩冷静的算术:如果这只U盘先在阿远电脑上读写过项目材料,再出现在302公用电脑上配合登录尝试,那么“攻击链”就不再是孤立行为,而是有前置准备。
他没有立刻给梁总发“结论”。他发的是“证据包更新”。
14:05,“302追溯证据包(v1.1)”生成完毕:新增IT导出、新增终端读写统计、形成时间轴。每份文件都带哈希值,索引表更新到可直接核验的粒度。周砚把证据包放入梁总加密目录,同时发邮件给梁总:
主题:《302追溯证据包v1.1(新增:USB序列号归属核验+终端接入链)》
正文仅两句:
“已补齐监控缺口的替代证据链:USB序列号在阿远笔记本(18:12有读写)→市场部李XX工位机(18:39接入)→302公用电脑(18:46接入并输入周砚账号)形成完整路径。
建议按项目事故处置流程,调取对应时段三方当事终端的EDR明细与现场人员访谈纪要,避免追溯停留在‘无法锁定’。”
他不写“就是阿远”,不写“就是王XX”,只写“证据链”。梁总看到链条,自然知道该找谁问话。
15:11,梁总回了一封非常短的邮件:“收到。16:30事故处置小会,安全、IT、行政、法务到场。你准备10分钟把证据链讲清楚,别说推断,只说可核验事实。”
周砚盯着这行字,心里没有兴奋,只有更高的警惕。对手最怕的不是“证据”,而是“证据进入正式会议纪要”。一旦会议纪要把事实写下来,所有人都要对签字负责,后续再想改口就会付出代价。
16:28,会议室门口,安全部负责人、IT经理、行政主管、法务专员都到了,HR主管也坐在角落旁听。阿远没有出现,但周砚看到王XX——阿远的助理——也被叫来,坐在最末位,脸色苍白,手指不停地抠工牌边缘。
梁总推门进来时没有废话,坐下就一句:“今天只问两件事:302为何触发周砚账号保护模式、谁该为此承担项目事故责任。按事实说,按证据说,所有发言写进纪要。”
周砚打开投屏,只有一页时间轴,没有
(本章未完,请翻页)
第15章 资产台账 我把废案写成爆款
