前阵子帮一家互联网公司做泄密事件复盘,他们内部的调查流程可以说让我大开眼界——业务部门自己查,HR自己去问话,IT随手翻了翻日志就说没问题,结果是关键证据全被破坏掉了。内部调查这件事,看着简单,真要较真起来,每一环都容易出幺蛾子。
我按照自己的实践经验,把内部调查流程拆成五个阶段。不用每个案子都完完整整走全套,但核心框架得立住。
第一阶段叫现场保护与初步评估。调查开始前,第一件事是划定调查范围。哪些系统、哪些设备、哪些账号、哪些时间段需要纳入调查,必须书面写清楚。然后对所有纳入范围的设备和数据进行冻结保护。注意,是冻结不是扣押。比如员工的办公电脑可以暂时禁用网络访问、禁止外接存储设备操作,但不一定需要把机器搬走,避免影响正常业务。同时要跟相关人员做初步谈话,了解他们知道的情况,但这时候不能做过多的质询式问话,避免引起不必要的恐慌和防备。
第二阶段是证据收集。这部分最讲究规范性,因为收集到的证据将来可能要用在内部处分甚至法律程序中。数字证据的收集要遵循几个原则。第一是完整性,不能只收集你觉得有用的部分,很可能你觉得没用的恰恰是关键。第二是连续性,从源证据到副本再到分析结果,每一步都要有记录,保证证据链不断。第三是使用专业工具,比如使用写保护设备读取硬盘,用专门的取证软件做镜像,用哈希值校验副本的完整性。我曾经被审计追问过一个证据副本的哈希值对不上,就是因为取证的时候用了普通读卡器而非写保护设备,导致文件时间戳被改了。
第三阶段是数据分析。这个阶段是技术活,也是最容易出成果的部分。系统日志分析的要点在于关联。单一日志看不出什么名堂,但把登录日志、操作日志、网络日志、邮件日志和文件访问日志关联起来,攻击路径就清晰了。比如你会发现某个账号在凌晨三点登录了数据库,然后十五分钟内有大量数据通过FTP传输出去,同时该账号的物理位置定位在某个特定城市——这些信息拼在一起画像就出来了。文件审计也很关键,谁在什么时间访问了什么文件、有没有批量下载行为、有没有异常的文件重命名操作,都是线索。
第四阶段是人员访谈。很多人觉得技术分析完事情就水落石出了,其实不是这样。技术证据只能告诉你系统层面发生了什么,但背后的动机、背景、同伙这些信息必须通过访谈来获取。访谈有几个要点。一是顺序,先访谈外围人员,最后访谈核心嫌疑人。二是方式,不要上来就给人定罪,采取开放式提问,让被访谈者多讲。三是交叉验证,用不同人说的同一件事来互相印证。我经手过一个案子,技术证据指向一个运维工程师,但访谈后发现他那个时间段在地球另一端出差,时间对不上,最后实际是一个冒用了他账号的内部人员。
第五阶段是结论形成与处置建议。调查不能无限期地进行下去,需要设定一个调查时限。一般泄密事件的内部调查应该在五到十个工作日内完成,复杂案件可以适当延长但不超过三十天。结论报告要包含几个要素:事件基本事实、泄密原因分析、损失评估、责任认定、整改建议。处置建议则根据事件性质来定,内部违规按公司制度处理,违法行为要移送公安机关。有一点很重要——处置建议要慎重,不能只盯着人处理,更要看制度上的漏洞。很多企业查完一件事处理一个人就觉得完事了,结果半年后同样的漏洞被另一个人利用,根本原因从来没人去修复。
我特别想强调一点。内部调查不是刑讯逼供也不是内部批斗,它的目的是搞清楚事实、堵住漏洞、防止再犯。调查过程中的信息保密同样重要,泄密事件的调查信息如果被泄露出去,对企业声誉的二次伤害有时候比事件本身还大。
