『如果章节错误,点此举报』第(2/3)页
gxx 退出
19:01:302终端出现失败登录尝试(目标账号:周砚)
空气像被瞬间抽干。
时间点精准得像有人用尺子量过:18:45登录,18:47发起网络唤醒,正好卡在监控缺失时段的起点;18:59退出,监控缺失结束;19:01失败登录触发,刚好踩到系统保护策略。
这不是“可能”。这是一条完整的攻击链路。
梁总的声音低得像压着怒火:“helpdesk_wangxx是谁?”
严负责人看向工程师,工程师咽了口唾沫:“服务台账号命名规则一般对应具体人员……wangxx很可能是王——”
“不要‘很可能’。”周砚把最致命的一刀落下,语气依旧平稳,“请出示服务台账号组成员清单,确认helpdesk_wangxx对应的实名与工号。我们不需要外带清单,但纪要里必须写明:账号对应人员、授权范围、操作时间、操作类型,以及该操作是否经过工单审批。”
法务专员的笔尖在纸上顿了顿,显然意识到这是可以直接进入问责链的证据。
严负责人脸色发白:“这个……我需要内部确认。”
梁总盯着他:“现在确认。”
严负责人拿起手机去旁边打电话,压着声音说了几句,回来时脸色更难看:“helpdesk_wangxx对应服务台外包工程师王某,隶属IT服务台供应商,入场权限由IT部门申请开通。按流程,执行唤醒与远程协助应有工单记录。”
周砚没有露出任何得意,他只问最关键的一句:“有没有工单?”
严负责人沉默。
工程师翻了两下系统:“没有对应工单。那段时间没有登记的远程协助请求。”
梁总的手指在桌面上轻轻敲了一下,声音不大,却让人背脊发凉:“也就是说,有人用服务台跳板机,在没有工单的情况下,远程唤醒了302公用终端,随后发生了针对周砚账号的失败登录触发。你们之前给我发的邮件说‘无法锁定单一责任人’,现在还觉得锁不住吗?”
没人说话。
周砚看着屏幕那串日志,脑子里却没有“终于抓到人”的轻松,只有更冷静的判断——这只是一条执行链,背后还有指挥链。一个外包工程师没有动机去针对周砚的账号,更没有理由选择302会议室这种**险地点。真正的操盘手一定在公司内部,知道302是公用设备,知道监控缺口在哪,知道触发保护模式的规则,也知道用外包账号做动作更容易把锅推到“流程漏洞”上。
换句话说,这个人不是在赌运气,是在设计“可推诿”的犯罪结构。
视野边缘,蓝色面板像在这时补上最后一块拼图:
【证据链升级:跳板机审计日志=“唤醒来源”与“具体账号”闭环】
【下一步:从执行链追指挥链——调取:1)外包工程师当日工位/门禁轨迹;2)其与内部人员的IM/电话协作痕迹;3)谁有权限指挥服务台绕工单操作】
【风险预警:对方将以“供应商流程问题”快速结案,切断向上追溯】
周砚立刻把节奏往“纪要”上钉:“请现场形成核验纪要,至少写清五点:
1)18:48的302唤醒来源为网络唤醒;
2)唤醒包来源为IT服务台跳板机;
3)18:45-18:59期间账号helpdesk_wangxx登录并执行Wake-on-LAN操作;
4)该操作无对应工单;
5)19:01后302终端发生针对周砚账号的失败登录尝试触发保护模式。
纪要由信息安全部与法务共同签字,抄送梁总、HR,并作为项目事故风险证据归档。”
梁总直接点头:“照做。”
严负责人几乎是硬着头皮答应:“可以。”
09:36,纪要草稿打印出来。
周砚逐字核对,所有关键时间点、账号、操作类型都写进去了。他要求在“结论”部分加一句:“该链路可直接证明异常操作来源与周砚工位无关,且存在未经工单的远程管理行为,需进一步追溯指挥链,暂不得对周砚做任何倾向性定性。”
法务专员看了梁总一眼,梁总没反对,法务把这句写进纪要。
签字,盖章,抄送。
周砚把纪要扫描件按规范命名,上传共享盘“合规记录/302追溯/关键纪要”,生成哈希,记录到合规清单。每一步都干净利落,不留任何“口头说过”的灰区。
10:02,回到工位,周砚刚坐下,项目群里就出现了阿远的一条消息,语气一如既往“站在项目角度”:
“@全体 提醒一下,最近内部调查比较多,大家不要私自调取门禁、日志等敏感信息,避免引发合规问题。对外口径由我统一把关,避免信息不一致。”
周砚看着这条消息,眼神像冰一样冷。
太晚了。
对方想用“敏感信息”把他框住,但纪要已经落纸,梁总已经抄送,法务已经签字。现在再喊“别调取”,只能说明他们开始害怕事情继续往上追。
周砚没有在群里回怼。他只做一件事:把刚刚签字的纪要邮件转发到项目归档邮箱,并在合规记录表里新增一行:关键纪要已抄送梁总与法务,授权核验流程明确。这样,任何人想说“你私自调取”,都必须先解释:这是信息安全部现场核验并签字纪要,哪里“私自”?
10:24,王珊来电。
她的声音比平时更快,背景里像在走路:“周砚,领导今天下午要看二次预约排期。我需要你给我一句话:你们能不能稳定把开放日到访转成二次预约?别说大话,要能落地。”
周砚把电脑屏幕切到“二次预约排期表”,语气稳得像钉子:“能。我们用48小时链路推进:T+2感谢补资料,T+24补证据,T+36答疑,T+48定二次到访时间段。排期表按时间段分布已做,预计到访数按保守口径计算,不夸张。14:30前我发你排期+动作说明+抽查样本,会上可直接用。”
王珊明显松了一口气:“好,我等你。”
挂断电话,周砚没有停,开始把排期表做得更“可汇报”:把二次到访按用户意向户型与通勤诉求分组,给每组匹配对应的证据素材包与答疑点,形成一页“带队接待提示卡”。甲方领导要的不是“你们很努力”,而是“你们有方法且可复制”。
11:09,手机又震了一下。
陌生号码短信第三条来了,字更短,却更狠:“你把外包扯进来,梁总也保不了你。供应商一刀切就结案,你呢?”
周砚看完,反而更冷静。
这条短信暴露了对方的焦虑方向:他们担心事情停在“外包流程问题”就会结案,而周砚真正要做的是从外包执行链往上追到内部指挥链。对方急于告诉他“会结案”,说明他们已经在内部推动“快速止损”——把责任推给供应商,处分外包工程师,补一份流程整改,事情到此为止。
周砚照旧拍照归档,标记未读。他没有回复,但他知道今天必须抓住梁总在场的窗口,把“指挥链追溯”写进动作项,不给他们“一刀切”的空间。
11:32,梁总给他发了一条消息:“中午12点会议,关于302事件处置。你也来。”
周砚回:“收到。我准备一页‘指挥链追溯动作项’。”
他立刻新建一页纸,标题写得极直白:《302远程唤醒与失败登录链路——指挥链追溯动作项(项目事故风险)》。内容只有四条,但每条都指向“谁指挥”的证据:
1)调取外包工程师王某当日工位/门禁/监控(含供应商驻场区)与服务台工单系统操作轨迹,确认其操作环境与接触对象;
2)调取服务台跳板机在18:30-19:10的完整会话审计(不仅限唤醒操作),包括远程会话来源IP、连接发起端资产编号,以锁定“谁在使用该外包账号或协同其操作”;
3)核对当时段是否有内部人员通过IM/电话/会议安排向服务台提出“绕工单操作”指令(至少形成“排除清单”);
4)形成临时管控:服务台跳板机权限收紧、外包账号二次验证强制开启、Wake-on-LAN操作必须绑定工单编号,否则系统阻断。
他把这一页打印出来,连同纪要复印件一起装进文件袋,封条贴好,写上日期与签名。
12:00,处置会议。
会议室里人不多,但位置很微妙:梁总坐主位,法务、信息安全部负责人、IT负责人、HR主管都在,阿远也被叫来了,坐在靠门的位置,脸色比平时更紧
(本章未完,请翻页)
第24章 唤醒来源 我把废案写成爆款
