第七十五天。下午三點十二分。
60Please respect copyright.PENANAKjJd3vlg07
陳諾在執行全量賬號權限審計時發現了異常。
60Please respect copyright.PENANAuXMv91KTvH
內部安全架構升級的第一個子項要求逐一核查衍生科技內部文件服務器上所有賬號的訪問權限和操作日誌。陳諾用歸藏工程機的審計腳本掃了一遍,系統自動標出了幾個待複查的項目,其中有一組外部訪問請求的頻率不對。
60Please respect copyright.PENANAuPDDNGeejf
他點開那組記錄。過去數日,衍生科技內部文件服務器收到了九次來自供應商賬號的外部訪問請求。請求時間分散在下午到凌晨之間,每次訪問的IP都不同——城東、城南、甚至有一個境外節點——但登錄憑證完全一致,使用的全部是同一個哈希值。
60Please respect copyright.PENANAAsNlXkBXNw
陳諾查了那個哈希值。系統比對結果顯示,它屬於被時渡在第七十二天停用的那個測試賬號。
60Please respect copyright.PENANA3ANUe7jmpz
陳諾愣了三秒。然後他把審計報告導出來,走到時渡的機房。
60Please respect copyright.PENANAl28JPhuBff
陳諾:測試賬號的憑證洩漏了。
60Please respect copyright.PENANAlqMqnk9Opr
時渡接過報告。九條訪問記錄,時間跨度從第七十二天測試賬號被停用當晚開始,一直到昨天凌晨。每一條記錄的登錄哈希值都來自那個測試賬號的認證緩存,但登錄IP不屬於馮靜的城東住宅寬帶,也不是「回聲」網絡殼公司的已知加密通道——這些IP分散在三個不同的城市區域,來源五花八門。
60Please respect copyright.PENANAyanRMQlRjQ
唯一相同的是訪問模式。九次訪問請求全部使用了供應商管理系統的合法接口,走的是供應商外部訪問權限通道。這些接口是事務所開放給硬件供應商用的——銳圖的FPGA固件更新、極存的內存兼容性補丁、源態工業電源的驅動程序升級,都需要供應商定期通過外部通道上傳文件。訪問權限是單獨開放的,只能訪問指定的供應商目錄,不能觸及核心文件服務器。
60Please respect copyright.PENANAUG0F04HGnX
但測試賬號的憑證被掛在供應商通道上之後,情況不一樣了——對方用合法憑證登錄,走正常供應商接口,然後在服務器內部橫向移動,試圖訪問供應商目錄之外的共享文件夾。
60Please respect copyright.PENANA2xkBLlM5mk
時渡:橫向移動成功了嗎。
60Please respect copyright.PENANAjkjcjcnvaD
陳諾:沒有。供應商目錄和內部共享文件夾之間有物理隔離,測試賬號的殘留權限在被停用前就不包含共享文件夾的訪問授權。對方每次橫向移動都被拒絕了。但他一直在試——九次訪問裡有五次嘗試跨目錄訪問,說明他不是在做常規的供應商文件上傳,而是在探測內部網絡的結構。
60Please respect copyright.PENANAu7IpGr7iW4
時渡放下報告。右手的靈脈印記迅速升溫,比任何時候都快。
60Please respect copyright.PENANAl32LTuzAyt
第七十二天,內鬼洩密事件。馮靜用測試賬號的殘留權限從內部文件服務器複製了歸藏主動滲透模塊的技術參數,發送給「回聲」網絡的殼公司。同一天,時渡讓蘇敏停用測試賬號的全部殘留權限。蘇敏執行了停用指令,權限回收完成。
60Please respect copyright.PENANArChLFBe979
但憑證在停用前已經被複製了。
60Please respect copyright.PENANAU4XYqDtsCd
不是權限殘留。是憑證克隆。測試賬號在第七十天凌晨被馮靜登錄時,對方的第一件事不是下載文件,而是把賬號的認證哈希值導出。然後馮靜在第七十二天賬號被停用後,把這套憑證交給了「回聲」網絡。「回聲」拿到憑證,發現它不能直接登錄內部服務器——因為從外部直接訪問內部服務器的通道被封了。但他們找到了另一條路:供應商通道。
60Please respect copyright.PENANAglyV6Yt3Ro
供應商通道使用的認證系統和內部文件服務器是同一個——因為當時為了方便供應商管理,供應商賬號和內部測試賬號共享了同一套LDAP認證。測試賬號雖然被從內部權限組裡移除了,但它的憑證哈希值仍然可以被LDAP服務器識別為有效。供應商通道只檢查憑證是否有效,不檢查賬號類型是否是供應商。
60Please respect copyright.PENANAYf58LZ7Gar
一個被停用的測試賬號,一套被克隆的憑證,一條沒有被納入假目標網絡監控的供應商通道。「回聲」網絡找到了三道防線之間的一條縫。
60Please respect copyright.PENANA94O9EOcYxn
時渡:現在立刻凍結全部供應商賬號的外部訪問權限。不是停用——是凍結。保留所有登錄嘗試的監控日誌。
60Please respect copyright.PENANAipDwYVhorA
陳諾:明白。
60Please respect copyright.PENANAWiOhBVkKMW
陳諾的鍵盤聲在機房裡密集地響了一陣。兩分鐘後,他抬起頭。
60Please respect copyright.PENANAiZq7B0tAos
陳諾:全部供應商外部訪問權限已凍結。當前沒有活躍的非法登錄。監控日誌保持開啟,會記錄所有後續的登錄嘗試——對方如果再試,會被記錄但無法進入。
60Please respect copyright.PENANA4PKAka01G1
時渡把顧衍和趙毅叫到機房。四個人在歸藏工程機前的空間圍站著,時渡簡短說明了情況。
60Please respect copyright.PENANADdzlu9dUX1
顧衍聽完,靠在備用監控台的邊緣。
60Please respect copyright.PENANAWZ7kAFnNDI
顧衍:憑證克隆。不是技術破解,是憑證管理漏洞。這件事告訴我們一件事——內部安全不能只管核心服務器。供應商通道、合作夥伴接口、遠程維護端口,全部都要納入監控範圍。
60Please respect copyright.PENANAotzRT3sp6u
時渡:供應鏈滲透。用我們的供應商通道當跳板。
60Please respect copyright.PENANAOPkRLWv5ki
趙毅皺眉。
60Please respect copyright.PENANAE0GfORdQfs
趙毅:供應商那邊有問題嗎?憑證是從我們這邊洩漏的,但供應商通道的使用權限在供應商手裡。會不會是某個供應商的登錄信息也被洩漏了?
60Please respect copyright.PENANAEzOg6jD1I4
時渡沒有排除這個可能性。他讓陳諾調出被凍結的供應商賬號列表,逐一核查每個供應商賬號的最近登錄記錄。銳圖的FPGA技術支持賬號——上次登錄是四天前,上傳了一個固件版本說明文件,IP地址是銳圖的固定辦公網段,正常。極存的內存兼容性測試賬號——上次登錄是一週前,上傳了兼容性補丁,IP地址正常。源態工業電源的驅動更新賬號——上次登錄是兩週前,正常。
60Please respect copyright.PENANAm0NkldE6Ge
三個供應商賬號全部正常。沒有被異常登錄,沒有洩漏跡象。對方並沒有攻破供應商的系統——他只是套用了測試賬號的憑證,走供應商通道的接口。供應商通道本身沒有被入侵,入侵的是認證環節。
60Please respect copyright.PENANApN1oRz8tIJ
時渡:供應商通道的LDAP認證需要升級。供應商賬號和內部賬號的憑證體系必須分離。不能再共用同一套認證。
60Please respect copyright.PENANAS9k4uCEf0n
顧衍點頭,在白板上寫下「LDAP分離」三個字。
60Please respect copyright.PENANAd3Ez7pWeAx
時渡繼續說。
60Please respect copyright.PENANAzeJ9iQJVbi
時渡:還有供應鏈滲透防禦模塊。在假目標網絡裡新增一層虛擬供應商節點,所有外部訪問請求先經過虛擬節點篩選——憑證校驗、IP校驗、行為模式校驗——三項全部通過才能進入真實服務器。任何一項不匹配,自動導向假目標。
60Please respect copyright.PENANAjibopOKp7x
陳諾已經打開假目標網絡的管理界面。
60Please respect copyright.PENANAEyRhl9ejTH
陳諾:虛擬供應商節點的架構我今晚設計。明天之前可以上線測試。
60Please respect copyright.PENANAEKQjTSS0bq
時渡把供應鏈滲透事件的完整經過寫入歸藏日誌。
60Please respect copyright.PENANATMiXUsYqwc
「歸藏日誌:第七十五天,15:50,供應鏈滲透事件已確認。內部憑證洩漏至外部後被「回聲」網絡通過供應商通道激活——測試賬號認證哈希值在停用前被克隆,用於供應商LDAP認證繞過。供應商通道與內部賬號共用認證體系的漏洞已被利用。應對措施:全部供應商賬號外部訪問權限已凍結,監控日誌保持開啟;供應商與內部賬號LDAP認證分離計劃啟動;虛擬供應商節點部署中,納入假目標網絡監控範圍。」
60Please respect copyright.PENANAgVlmCLOIWE
傍晚,陳諾在假目標網絡管理界面開始搭建虛擬供應商節點的框架。他的思路很清楚:在供應商通道的外網入口和內網服務器之間插入一個虛擬層,模擬真實的供應商接口行為——文件上傳響應、固件版本查詢、兼容性報告提交——所有看起來像正常供應商操作的流量都先被虛擬節點接收,然後根據憑證校驗結果決定是轉發到真實服務器還是導入假目標。
60Please respect copyright.PENANAvuwNWcnPA6
顧衍把LDAP認證分離的初步方案畫在白板上:內部賬號LDAP和外部供應商LDAP分成兩套獨立目錄,之間不做信任關係。供應商賬號的訪問權限僅限於供應商專用目錄,不能橫向移動。任何試圖使用內部賬號憑證登錄供應商通道的行為都會被直接拒絕並觸發告警。
60Please respect copyright.PENANA1eSTGNlQNR
趙毅給三家供應商發了郵件,說明衍生科技將在接下來幾天升級供應商通道的認證系統,新的供應商賬號和登錄流程會另行通知。措辭客氣但明確——這是系統例行升級,不是安全事件。
60Please respect copyright.PENANAN6x9VQ6MFr
時渡站在機房窗戶前,外面的天已經暗了。城西大道的路燈亮起來,連成一條昏黃的線。右手的靈脈印記持續發熱,暗金色的紋路在冷光燈下比白天更明顯,從掌心邊緣向腕部延伸的軌跡清晰可見。
60Please respect copyright.PENANA7IWXEbENtF
供應鏈滲透。不是技術攻擊,是流程攻擊。不碰防火牆,不碰加密層,不碰禁域共振波形——只找管理漏洞。內鬼竊取憑證,供應鏈通道缺乏隔離,兩個漏洞拼在一起,就變成了一條通往內部網絡的暗道。
60Please respect copyright.PENANAyLO4U5XMsN
時渡收回目光。他把供應鏈滲透防禦模塊的設計要求寫成一個簡短的文檔,發給陳諾和顧衍。
60Please respect copyright.PENANAOdXaJQrblc
60Please respect copyright.PENANAA26hymcLRA
and then Add to home screen.