公司网盘外链泄露预警的排查经验

我之前在一次 SaaS 公司安全巡检里踩过这个坑：DLP 告警显示有人把客户名单放到了公开分享链接里，但告警只给了文件名和操作者。当时如果只按最明显的表象处理，短期好像能过，后面一定会反复。 后来我把问题拆成"哪里出错、谁受影响、还能不能回滚"三块。我先冻结链接权限，没有直接删文件；随后查 audit log、下载记录和共享范围，确认只有内部 IP 访问后再要求 owner 改成组权限。真正的经验是，安全事件最怕一上来把证据清掉，先止血、留日志、再沟通业务影响，而且取证和权限边界一定要留下记录，不然下一次还是从零开始。 我的建议是企业网盘最好默认禁止公开链接，例外需要过期时间和审批记录。同行之间交流这种细节很有用，因为课本和 SOP 往往不会写到那么细。你们公司处理外链告警时，是安全团队直接改权限，还是先找文件 owner？