在安全圈里,“无名三角洲行动”是我们内部给一种典型攻击链起的绰号:你在外网看到的是零星的钓鱼邮件,在日志里看到的是不引人注意的权限提升,在业务里感受到的是一点点性能下滑,三个看着都“不算事”的点,连在一起就是一场完整的入侵行动。

我叫褚云漠,在一家跨境电商集团做网络安全总监,混安全行业第十四年。过去三年,我们内部就按“无名三角洲行动”的模型,复盘了超过 40 起高危安全事件,包括自己踩过的坑,也包括帮合作方收拾的烂摊子。今天写这篇文章,不是给你讲玄乎的黑客故事,而是把这套模型拆开,让你知道:你到底容易哪里中招,怎么用有限预算,把最要命的那一截补上。

如果你是 CTO、安全负责人、运维主管,或者只是被老板临时拉来“顺便管管安全”的技术经理,这篇文章会站在“内部人”的立场,把话说明白,说透,但不吓你。

“三角洲”究竟指什么:攻击者真的没你想的那么着急

我先把“无名三角洲行动”这个概念捋清楚,不然后面全是空中楼阁。

我们在 2023 年底做了一次内部统计,把公司和合作方近两年的安全事件按 MITRE ATT&CK 来做标签,最后发现一个挺扎眼的规律:有将近 68% 的严重事件,都能被拆成三个阶段,而且每个阶段在日志里都是“看着不急”的那种级别:

  • 边缘触达:常见表现是鱼叉式钓鱼邮件、被拖库的员工密码撞库、暴露在互联网上的弱口令服务。它的特点是“太常见”:安全团队每天能看到一堆,容易审美疲劳。
  • 内部立足:攻击者拿到一个不高不低的权限账号,开始在局域网里扫服务、试探共享目录、测试横向移动。日志里就是一些“好像有点不对,但也说不清哪里不对”的访问。
  • 目标收割:要么是数据批量导出,要么是勒索落地,要么是关键业务被植入后门。真正出大事就在这一步,而这一步出现的时候,前两步往往已经过去了几天,甚至几周。

“三角洲”的含义就在这里:三个彼此独立、看上去“不太紧急”的安全信号,叠加在时间轴上,才构成一场真正的攻击行动。攻击者一点都不着急,他反而很享受你“这几条告警先压一压”的日常操作。

理解无名三角洲行动,从来不是去猜对方用了多高级的 0day,而是搞清楚:你的监控和流程,是如何一步步帮攻击者“打掩护”的。

一线视角:攻击者最爱抓住的三个薄弱瞬间

我给你拆三类在项目里重复率极高的“薄弱瞬间”,基本可以当成一份自查清单。

1.人人都知道有风险,却日常默认“算了”的入口

安全项目做得多了,有些场景几乎是“行业公认的隐患”,但依然每天在发生。

一个典型例子是共享账号。我们在 2024 年 Q2 帮一家公司做内网渗透测试,对方号称“所有生产机都启用了跳板机和多因素认证”。结果测试第三天,我们在一个运维群里看到一句话:“谁知道 testops 这个账号密码是不是没改?”后来顺着这个账号,我们在 2 小时内完成了从办公网到生产网的横向移动。

这种场景,不止一家公司。根据 Verizon 2023 DBIR 报告,约 74% 的安全事件与凭证相关问题有关(弱口令、重复使用、凭证泄露等)。数字听着有点泛,但对安全团队意味着:你最值得花时间的,往往不是多炫的 WAF 配置,而是一个个“懒得动”的共享账号、默认密码。

再举一个接地气的:项目紧急上线时,通过钉钉或微信临时发的数据库密码。事后没有任何系统化收回动作。这类“临时密码”在几乎所有被勒索过的企业里都能找到影子。

如果你正在管理一个技术团队,可以先问自己三个问题:

  • 公司有没有一份真实可用、每季度更新的“高权限账号清单”?
  • 有没有记录:哪些账号是多人共享,谁能批准继续共享?
  • 项目结束、员工离职、外包结束时,密码和权限回收是否有证据链,而不是一句“应该收了”。

这些看似“行政化”的问题,往往决定了无名三角洲行动的第一条边是否被削薄。

2.日志在,脑子不在:被忽略的中段信号

我很少遇到“完全没有日志”的公司,更常见的是“日志一大堆,没人真看”。这恰好给了攻击者在内网“慢慢逛”的空间。

2024 年 6 月,我们帮一支跨境物流企业复盘数据泄露。攻击者总共活动了 17 天,落地恶意脚本只有一次,其余全部是「看起来很像合法运维」的操作:远程登录、文件复制、数据库查询。SOC 平台其实捕捉到了不少异常行为,比如:

  • 新的 Office 终端在凌晨持续访问 ERP 未公开接口
  • 某普通员工账号连续在两地 IP 之间切换
  • 访问模式跟该账号过去 90 天完全不同

这些都被打成“低危”或“中危”告警,然后被值班工程师按下“忽略”。原因也很现实:告警量太大,团队人手有限,只能优先看“高危”。

无名三角洲行动的第二条边,通常就藏在这些“你知道不太对,但又没证据”的中段信号里。我的做法是要求团队至少做两件事:

  • 把“告警策略”与“资产价值”绑在一起。数据库、支付系统相关的中危行为,要比边缘系统的高危行为优先级更高。
  • 把“行为模式”引进来,不再只盯单一事件。比如同一个账号,在 48 小时内三次突破自己历史行为边界,这类就应该自动抬级。

现在不少企业都在谈 UEBA(用户与实体行为分析),听上去高大上,其实你哪怕用最基础的统计方式,先把“这个账号平时什么样”刻成画像,都比一条条孤立的告警有意义得多。

3.业务压力之下被“临时放行”的灰色区

还有一条边,更隐蔽也更现实:业务与安全之间的小妥协。

2024 年 3 月,我在内部评审一个新营销活动平台。方案本身没什么问题,但是上线时间被压得很紧。产品在会议里说了一句:“这个风控策略先宽一点,双十一前我们再收紧。”结果所有人都下意识点了头。半年后,这个平台成为攻击者导出用户数据的主要入口。

在至少三家企业中,我们都见过类似的过程:为了赶项目节点,一些安全规则被临时放宽,例如:

  • 临时开放生产数据库公网访问,只限白名单 IP
  • 暂时关闭 WAF 某些规则,方便调试
  • 强密码策略在某个子系统里被“暂缓执行”

问题不在于“放宽”本身,而在于:

  • 没有记录“谁批准”“放宽到什么程度”“计划回滚日期”
  • 没人真正负责“还原到安全状态”

无名三角洲行动偏偏就喜欢钻这种“临时放行”的缝。攻击者只需要在 Shodan 或类似资产搜索引擎里搜一搜开放端口,就有机会碰上你“暂时暴露”的服务。

我的经验是,只要团队内部存在“这次先别那么严格”的语境,就要有一套带时间戳的备案机制,比如:

  • 每个“临时放行”必须有明确的过期时间,比如 7 天
  • 到期未续签的策略自动回收,而不是靠人记得去关
  • 安全团队按月复盘“本月所有临时例外”,看是否已经僵尸化

这类流程看起来有点烦,但在真正的攻防演练和实战事件里,往往是决定你能否在第三条边被画完之前喊停的关键。

用一套“行动清单”,把无名三角洲拆穿在半路

说回现实问题:知道了无名三角洲行动的三条边,下一步该怎么做?安全预算有限、人手有限、遗留系统一堆,不可能什么都砍掉重练。我这几年在不同企业里踩出来的一套“行动清单”,更适合在资源受限的情况下用。

把“资产台账”做成你真正的底牌很多公司嘴上说“我们有 CMDB”,实际用起来就是“写给审计看的 Excel 表”。而攻击者对你的认识,往往比你对自己还清楚,这是最危险的地方。

我习惯先从三张台账开始:

  • 外网暴露资产台账:域名、子域名、开放端口、暴露服务软件版本,最好按月自动更新。免费或低成本的资产测绘工具就够用。
  • 高敏感数据流向台账:客户信息、支付数据、源代码在系统之间怎么流转,哪些地方有落地存储,哪里存在第三方供应商参与。
  • 高权限账号台账:包括人账号、机器账号、共享账号,每个账号挂在谁头上、多久未更改密码、是否启用多因子。

2024 年不少监管规范和合规框架(比如 GB/T 等国内标准更新)都在强调“资产识别与分级”。你不需要一开始就做得多漂亮,先让台账能帮你回答几个简单问题就够了:

  • 某个系统出问题时,我能在 5 分钟内找到它的所有上下游依赖?
  • 某个员工离职时,我可以明确知道他手上的所有账号和权限?
  • 某个 IP 在外网上暴露,谁有权决定它开着还是关掉?

当你对自己的系统有足够清晰的地图,无名三角洲的第一条边就没那么容易画出来,因为很多“入口”会被你提前发现并关掉。

从三类行为入手,做“便宜但有用”的检测很多团队谈到检测,脑子里先想到的是“上个大厂的 SOC 平台”。现实是,很多中型企业在预算压力下,更需要几件便宜却实用的“小东西”。

我一般会让团队集中盯住这三类行为:

  • 异常登录行为:例如在非常规时间、大跨度地理位置、异常设备指纹下的登录。多因素认证配合行为分析,会比单纯看 IP 有价值。
  • 大规模数据导出:数据库 query size、导出频率、压缩包体积、外连带宽突增,这四个维度监控起来成本不高,却对数据泄露很敏感。
  • 新进程与持久化尝试:在关键服务器上监控新启动的进程、计划任务、服务注册。很多勒索软件在落地阶段都会留下这种痕迹。

关键在于“阈值”和“上下文”。例如:

  • 某个研发在发布日凌晨导出一份数据库备份,未必异常
  • 一个财务账号在周末深夜导出 10 次客户数据报表,就值得聊聊

2024 年的行业趋势也在向“行为为中心”的检测倾斜,不仅是大厂,小型安全厂商也开始提供轻量级 UEBA 模块。你不一定要买齐所有功能,先用现有日志系统做几条简单的行为规则,往往就能捕捉到一部分三角洲行动的中段信号。

把“临时例外”变成可控的技术债,而不是暗雷前面提到的“临时放行”,其实可以被当成一种技术债来管理,而不是视若洪水猛兽。

我建议把所有“例外”都当成一个实体,给它设计完整生命周期:

  • 创建:谁提、为什么要例外、影响范围、多长时间
  • 审批:谁有权限批准;高风险例外需要多级审批
  • 监控:例外存在期间,有没有产生新的异常行为
  • 关闭:到期自动关闭,或者延长时必须重新写明原因

有些团队会直接用现有的变更管理系统做这件事,有的是在工单系统里加一个“安全例外”类型。重点是:让每一个“先放一放”的决定,都留下可追溯的记录,并且默认会过期。

有了这层机制,无名三角洲的第三条边就不容易画完,因为攻击者依赖的那个“长期半敞开的门”,会在你不太费劲的情况下悄悄关上。

写在把“行动”当成动词,而不是名词

“无名三角洲行动”这个说法,在我们内部开始只是一个方便的代号,用来描述那些看似零散、实际有关联的攻击链。时间久了,我越来越发现,它其实也在提醒安全团队:安全本身就是一个“行动”,不是一个“状态”。

你可以现在就马上做的,有这么几件很实际的事:

  • 打开你们现有的 CMDB 或资产表,随便点一个系统,看你能不能在 5 分钟内说清它暴露的端口和数据流向。
  • 找一次最近的临时上线或紧急补丁,看看有没有为此放宽过任何安全策略,问一句“现在收回了吗?”
  • 抽查一名普通员工的账号行为,看过去 30 天里,有没有哪几条访问日志是你解释不清的。

如果这三件事都让你有点心里没底,那其实已经是一个不错的起点——说明你真正开始意识到无名三角洲行动并不是安全厂商的营销术语,而是每天发生在你网段里的真实风险曲线。

我在做安全总监的时候,最常被问到的问题是:“怎么知道我们已经‘够安全’了?”我的回答往往有点反直觉——你永远不知道“够不够”,你只能知道“比上个月更清楚自己的薄弱点没”。

无名三角洲行动的价值,就在于帮你用一种可视化的方式看清楚三条边:哪一条你已经守得还行,哪一条还在裸奔。把问题画出来,哪怕很难看,也比对着完美的 PPT 自我安慰要有用得多。

如果你愿意,可以从给自己的团队提一个小目标开始:下个季度,选一个业务系统,落实一版“反三角洲”的实践——梳理入口、压缩例外、盯住行为,再回头对比一次演练结果。安全这个行当,爽点往往不在“绝对安全”,而在于你确实看到敌人的三角形越来越难画得完整。

无名三角洲行动:一名网络安全总监的实战笔记与风险清单