得，演练通知又来了。


    这次是“信息泄露应急演练”，名字听着就挺唬人。我在北峰干了快五年，大大小小的演练没少参加，流程都能背下来。


    可陈主任说，这次不一样，要动真格的。


    技术支援中心的电话和内部通讯系统瞬间成了风暴中心。


    我刚放下座机，对讲机又响了，是陈主任的声音。


    “孙琳，演练开始。模拟场景：市场部邮箱服务器发现大量异常外发邮件，目标指向境外匿名服务器。”


    “你们组，立刻执行预案第一阶段：信息源隔离和初步排查。五分钟内给我初步报告。”


    “收到，陈主任。”我转头就冲组里喊。


    “小王，马上锁定市场部邮箱服务器所有外发端口！小李，查日志，看触发邮件扫描告警的具体时间、IP段、发件人特征！”


    小王的声音传来，语速飞快。


    “端口锁定指令已发！……确认执行成功，市场部邮箱外发功能已暂停！”


    小李盯着屏幕，“孙姐，日志显示……告警触发时间是九点零三分，集中在过去十五分钟内。”


    “IP段是……等等，不对啊！”她突然惊讶道，“触发告警的源IP……是我们技术支援中心的内部测试机IP段！”


    预案模拟的是外部攻击渗透市场部，怎么源头跑我们自己测试机这来了？这不对路！


    “小李，确认IP归属！小王，立刻检查我们测试机区网络状态！”


    “有没有异常连接？”我抓起对讲机，“陈主任！情况有变！异常邮件源IP指向我们技术支援中心内部测试机区！请求指示！”


    对讲机那头沉默了两秒，“继续执行预案。追加任务：立刻自查！我要知道是哪个测试机，什么时候被控，怎么被控的！”


    “三分钟！我要结果！”


    “明白！”压力突然变大。演练变成了实战，还是自己家后院起火。


    我们组的小张跑过来：“孙姐，测试机区监控显示……三号测试机网络流量在九点零二分突然异常升高，”


    “远超日常基线！持续到现在！”


    “就它了！”我指着三号机的物理位置，“小王，断它的网！物理隔离！”


    “小李，立刻提取三号机当前内存镜像和硬盘快照！动作快！”


    一阵操作后，小王汇报：“三号机网线已拔！”


    小李：“镜像和快照开始提取……预计需要两分钟！”


    时间一分一秒过去，对讲机里，其他部门的汇报也断断续续传进来：


    “保卫处报告，已封锁相关区域出入口，人员只进不出……”


    “网络中心报告，正在追踪异常流量路径……”


    “国安……演练指挥部报告，初步判断为高级持续性攻击APT模拟……”


    陈主任的声音插进来，“孙琳，你们组自查进度？两分钟了！”


    我盯着小李的屏幕进度条：“陈主任，镜像提取完成度百分之八十！马上就好！”


    “再快！攻击可能还在活动！”


    小李的手指都在颤抖：“百分之九十五……九十八……好了！镜像和快照提取完成！”


    “立刻分析！重点查最近半小时的进程活动、网络连接记录、可疑文件创建！”我有些急迫。


    小李和小王立刻埋头分析，此刻办公室里每一秒都显得是那么漫长。


    突然，小王抬头，“孙姐！三号机内存里发现一个异常进程！名字伪装成系统更新程序！”


    “它在……在尝试连接一个外部IP！端口是……是邮件协议端口！连接还没断！”


    “什么？！”我头皮一炸，“不是拔网线了吗？！”


    “是拔了！但这个进程在网断前一刻还在活动！”小王指着屏幕。


    “它在疯狂尝试重连那个外部IP！记录显示，它就是在九点零二分启动的！”


    “启动来源？查它怎么被放进去的！”我追问。


    小李快速翻着日志：“找到了！启动记录……是来自一封邮件！就在九点零一分！”


    “发件人……显示是‘内部系统通知’？主题是‘紧急安全补丁更新’！收件人……是这台测试机的管理员！”


    钓鱼邮件！目标根本不是市场部，是我们技术支援中心负责维护测试环境的机器！我们成了跳板！


    “小王，立刻记录下这个伪装进程的所有特征码、行为日志！”


    “小李，把那封钓鱼邮件的完整信息，发件人伪装、附件信息、链接特征全部提取出来！快！”我一边下令，一边抄起对讲机。


    “陈主任！查清了！攻击源是我们一台测试机！被一封伪装成‘内部系统通知’的钓鱼邮件攻破，植入了恶意程序！”


    “该程序正试图通过邮件协议外联！特征码和邮件样本已提取！”


    对讲机里随即传来陈主任果断的声音：“干得好，孙琳！立刻将样本特征码提交给网络中心，进行全网查杀！”


    “邮件样本提交演练指挥部进行深度分析！你们组任务，转入第二阶段：威胁清除和影响评估！”


    “评估这台测试机被控期间，还可能访问或泄露了哪些内部资源？十分钟！”


    “是！”我应道，心里却一点没松。清除容易，评估潜在影响才要命。”


    “这台测试机权限不低，能访问好几个内部测试数据库和开发文档库。


    “小王，重点查这台机器在九点零二分到我们断网这三分钟内的所有网络访问记录、文件操作日志！”


    “特别是对涉密测试库和文档库的访问！”


    我快速分配任务，“小李，配合小王，比对正常基线，找出所有异常访问行为！”


    “小张，准备格式化这台机器，重装系统，确保威胁清除干净！”


    又是新一轮的争分夺秒。我们组几个人像上了发条，眼睛死死盯着各自的屏幕，时间被切割成碎片，每一秒都如此珍贵。


    九分钟过去。小王的声音带着一丝嘶哑：“孙姐，查完了！”


    “异常访问主要集中在两个地方：一是‘鹰眼-3B’项目的一个非核心外围设备模拟数据库，读取了部分测试参数记录。”


    “二是技术文档库的‘通用设备维护手册V2.1’目录，被下载了最新修订版文件！”


    我心算了一下：“‘鹰眼-3B’那个数据库是上周才部署的测试库，里面是模拟数据，非涉密。”


    “手册V2.1是公开的维护文档，最新修订只是改了几个错别字和排版格式。”


    “核心数据和涉密文档库……没有异常访问记录！”


    “影响范围可控！主要是非核心外围设备的模拟数据和一份公开手册的最新版。”


    “好！记录完整！”我立刻拿起对讲机，“陈主任！威胁清除完成！”


    “影响评估结果：攻击者通过被控测试机，访问了‘鹰眼-3B’项目非核心外围设备模拟数据库，仅含测试用模拟参数。”


    “并下载了技术文档库中的‘通用设备维护手册V2.1’，公开文档，最新修订版。”


    “未发现对涉密核心数据库及文档的异常访问。评估：此次模拟攻击未造成核心数据泄露风险！”


    对讲机里传来陈主任的声音：“收到。评估报告立刻提交指挥部。你们组演练任务结束。原地待命，复盘总结。”


    “明白！”我放下对讲机，小王小李互相看了一眼，相互苦笑着。


    “我的妈呀，”小王抹了把汗，“真跟打了一仗似的。”


    “那钓鱼邮件做得也太像了，发件人、标题，连咱公司logo都有！”


    小李心有余悸：“就是啊，谁能想到直接冲着咱们维护的测试机来？还专挑刚上班人没完全清醒的时候。”


    我揉着太阳穴：“这就是演练的目的。敌人不会按我们想的剧本走。”


    “这次是测试机，下次可能是谁的办公电脑？生产服务器？邮件、U盘、外协单位发来的文件……到处都是口子。”


    我看着他们，“都打起精神，待会儿复盘，每个人都要发言，哪一步慢了？哪一步判断可能出岔子？”