在安全圈里,“无名三角洲行动”是我们内部给一种典型攻击链起的绰号:你在外网看到的是零星的钓鱼邮件,在日志里看到的是不引人注意的权限提升,在业务里感受到的是一点点性能下滑,三个看着都“不算事”的点,连在一起就是一场完整的入侵行动。 我叫褚云漠,在一家跨境电商集团做网络安全总监,混安全行业第十四年。过去三年,我们内部就按“无名三角洲行动”的模型,复盘了超过 40 起高危安全事件,包括自己踩过的坑,也包括帮合作方收拾的烂摊子。今天写这篇文章,不是给你讲玄乎的黑客故事,而是把这套模型拆开,让你知道:你到底容易哪里中招,怎么用有限预算,把最要命的那一截补上。 如果你是 CTO、安全负责人、运维主管,或者只是被老板临时拉来“顺便管管安全”的技术经理,这篇文章会站在“内部人”的立场,把话说明白,说透,但不吓你。 我先把“无名三角洲行动”这个概念捋清楚,不然后面全是空中楼阁。 我们在 2023 年底做了一次内部统计,把公司和合作方近两年的安全事件按 MITRE ATT&CK 来做标签,最后发现一个挺扎眼的规律:有将近 68% 的严重事件,都能被拆成三个阶段,而且每个阶段在日志里都是“看着不急”的那种级别: “三角洲”的含义就在这里:三个彼此独立、看上去“不太紧急”的安全信号,叠加在时间轴上,才构成一场真正的攻击行动。攻击者一点都不着急,他反而很享受你“这几条告警先压一压”的日常操作。 理解无名三角洲行动,从来不是去猜对方用了多高级的 0day,而是搞清楚:你的监控和流程,是如何一步步帮攻击者“打掩护”的。 我给你拆三类在项目里重复率极高的“薄弱瞬间”,基本可以当成一份自查清单。 1.人人都知道有风险,却日常默认“算了”的入口 安全项目做得多了,有些场景几乎是“行业公认的隐患”,但依然每天在发生。 一个典型例子是共享账号。我们在 2024 年 Q2 帮一家公司做内网渗透测试,对方号称“所有生产机都启用了跳板机和多因素认证”。结果测试第三天,我们在一个运维群里看到一句话:“谁知道 testops 这个账号密码是不是没改?”后来顺着这个账号,我们在 2 小时内完成了从办公网到生产网的横向移动。 这种场景,不止一家公司。根据 Verizon 2023 DBIR 报告,约 74% 的安全事件与凭证相关问题有关(弱口令、重复使用、凭证泄露等)。数字听着有点泛,但对安全团队意味着:你最值得花时间的,往往不是多炫的 WAF 配置,而是一个个“懒得动”的共享账号、默认密码。 再举一个接地气的:项目紧急上线时,通过钉钉或微信临时发的数据库密码。事后没有任何系统化收回动作。这类“临时密码”在几乎所有被勒索过的企业里都能找到影子。 如果你正在管理一个技术团队,可以先问自己三个问题: 这些看似“行政化”的问题,往往决定了无名三角洲行动的第一条边是否被削薄。 2.日志在,脑子不在:被忽略的中段信号 我很少遇到“完全没有日志”的公司,更常见的是“日志一大堆,没人真看”。这恰好给了攻击者在内网“慢慢逛”的空间。 2024 年 6 月,我们帮一支跨境物流企业复盘数据泄露。攻击者总共活动了 17 天,落地恶意脚本只有一次,其余全部是「看起来很像合法运维」的操作:远程登录、文件复制、数据库查询。SOC 平台其实捕捉到了不少异常行为,比如: 这些都被打成“低危”或“中危”告警,然后被值班工程师按下“忽略”。原因也很现实:告警量太大,团队人手有限,只能优先看“高危”。 无名三角洲行动的第二条边,通常就藏在这些“你知道不太对,但又没证据”的中段信号里。我的做法是要求团队至少做两件事: 现在不少企业都在谈 UEBA(用户与实体行为分析),听上去高大上,其实你哪怕用最基础的统计方式,先把“这个账号平时什么样”刻成画像,都比一条条孤立的告警有意义得多。 3.业务压力之下被“临时放行”的灰色区 还有一条边,更隐蔽也更现实:业务与安全之间的小妥协。 2024 年 3 月,我在内部评审一个新营销活动平台。方案本身没什么问题,但是上线时间被压得很紧。产品在会议里说了一句:“这个风控策略先宽一点,双十一前我们再收紧。”结果所有人都下意识点了头。半年后,这个平台成为攻击者导出用户数据的主要入口。 在至少三家企业中,我们都见过类似的过程:为了赶项目节点,一些安全规则被临时放宽,例如: 问题不在于“放宽”本身,而在于: 无名三角洲行动偏偏就喜欢钻这种“临时放行”的缝。攻击者只需要在 Shodan 或类似资产搜索引擎里搜一搜开放端口,就有机会碰上你“暂时暴露”的服务。 我的经验是,只要团队内部存在“这次先别那么严格”的语境,就要有一套带时间戳的备案机制,比如: 这类流程看起来有点烦,但在真正的攻防演练和实战事件里,往往是决定你能否在第三条边被画完之前喊停的关键。 说回现实问题:知道了无名三角洲行动的三条边,下一步该怎么做?安全预算有限、人手有限、遗留系统一堆,不可能什么都砍掉重练。我这几年在不同企业里踩出来的一套“行动清单”,更适合在资源受限的情况下用。 把“资产台账”做成你真正的底牌很多公司嘴上说“我们有 CMDB”,实际用起来就是“写给审计看的 Excel 表”。而攻击者对你的认识,往往比你对自己还清楚,这是最危险的地方。 我习惯先从三张台账开始: 2024 年不少监管规范和合规框架(比如 GB/T 等国内标准更新)都在强调“资产识别与分级”。你不需要一开始就做得多漂亮,先让台账能帮你回答几个简单问题就够了: 当你对自己的系统有足够清晰的地图,无名三角洲的第一条边就没那么容易画出来,因为很多“入口”会被你提前发现并关掉。 从三类行为入手,做“便宜但有用”的检测很多团队谈到检测,脑子里先想到的是“上个大厂的 SOC 平台”。现实是,很多中型企业在预算压力下,更需要几件便宜却实用的“小东西”。 我一般会让团队集中盯住这三类行为: 关键在于“阈值”和“上下文”。例如: 2024 年的行业趋势也在向“行为为中心”的检测倾斜,不仅是大厂,小型安全厂商也开始提供轻量级 UEBA 模块。你不一定要买齐所有功能,先用现有日志系统做几条简单的行为规则,往往就能捕捉到一部分三角洲行动的中段信号。 把“临时例外”变成可控的技术债,而不是暗雷前面提到的“临时放行”,其实可以被当成一种技术债来管理,而不是视若洪水猛兽。 我建议把所有“例外”都当成一个实体,给它设计完整生命周期: 有些团队会直接用现有的变更管理系统做这件事,有的是在工单系统里加一个“安全例外”类型。重点是:让每一个“先放一放”的决定,都留下可追溯的记录,并且默认会过期。 有了这层机制,无名三角洲的第三条边就不容易画完,因为攻击者依赖的那个“长期半敞开的门”,会在你不太费劲的情况下悄悄关上。 “无名三角洲行动”这个说法,在我们内部开始只是一个方便的代号,用来描述那些看似零散、实际有关联的攻击链。时间久了,我越来越发现,它其实也在提醒安全团队:安全本身就是一个“行动”,不是一个“状态”。 你可以现在就马上做的,有这么几件很实际的事: 如果这三件事都让你有点心里没底,那其实已经是一个不错的起点——说明你真正开始意识到无名三角洲行动并不是安全厂商的营销术语,而是每天发生在你网段里的真实风险曲线。 我在做安全总监的时候,最常被问到的问题是:“怎么知道我们已经‘够安全’了?”我的回答往往有点反直觉——你永远不知道“够不够”,你只能知道“比上个月更清楚自己的薄弱点没”。 无名三角洲行动的价值,就在于帮你用一种可视化的方式看清楚三条边:哪一条你已经守得还行,哪一条还在裸奔。把问题画出来,哪怕很难看,也比对着完美的 PPT 自我安慰要有用得多。 如果你愿意,可以从给自己的团队提一个小目标开始:下个季度,选一个业务系统,落实一版“反三角洲”的实践——梳理入口、压缩例外、盯住行为,再回头对比一次演练结果。安全这个行当,爽点往往不在“绝对安全”,而在于你确实看到敌人的三角形越来越难画得完整。

