我是纪苍野,网络安全咨询公司的一线技术合伙人,过去八年几乎都在给大型企业和机构做“红蓝对抗”与实战攻防演练。圈子里有个词,这两年被提到的频率越来越高——“三角洲行动”。

在外界看来,它听上去像一部电影的名字,带点神秘和刺激;对我们这些干网络安全的人来说,它更像是一个标志,代表一种从“演习”走向“实战级对抗”的新模式:攻防不再只是打靶,而是以真实攻击团伙为模板,模拟整套渗透链路、情报链路乃至业务打击链路。

这篇文章,我想做的事情很简单:把我们内部看待“三角洲行动”这一类实战攻防项目的逻辑、风险和价值,用通俗但不敷衍的方式说清楚,让你在听到相关项目时,不再只是觉得“很高大上”,而是能判断:这东西到底值不值得投入,风险在哪里,如何避免踩坑。

时间是2026年1月,此刻你担心的勒索攻击、供应链漏洞、AIGC 生成钓鱼邮件,我们也每天在现场对着这些东西掉头发。

“三角洲行动”到底在做什么,而不只是一个酷名字

如果把传统安全测试比作体检,那“三角洲行动”这种实战攻防,更接近一次“模拟真实遭遇战”。

通常项目会有三个关键特征:

  1. 攻击视角高度贴近现实团伙

    三角洲行动:一名安全顾问眼中的“网络战实战化”真相

    不是随便扫一圈端口这么简单,而是基于真实威胁情报来定制攻击路径。

    2025–2026年间,多家安全厂商披露的勒索组织在入侵中频繁利用的组合:

    • 利用公开漏洞的 VPN 入口
    • 针对财务和人力邮箱定制化钓鱼
    • 入侵后横向移动到 AD 控制器

      三角洲行动会把这些资料拆成步骤,在你的环境里“复刻”一次,看看能走到哪一步被你发现,或者根本没被发现。

  2. 目标从“有没有洞”变成“业务能撑多久”

    普通渗透测试喜欢给你列一个洞的清单:XXSQL 注入、XX弱口令。

    三角洲行动更关心的是:

    • 如果攻击者拿下你一个核心系统,需要多长时间能影响生产?
    • 业务连续性从“看上去运转正常”到“关键指标明显异常”,中间的时间差有多少?
    • 监控体系能不能捕捉到这个过程?

      有些项目甚至会设定“业务失守指标”,例如:核心订单成功率跌破 60%,视为“攻方胜利”。

  3. 过程不止技术,还包含组织与流程的检验

    2025年底,我们帮一家大型制造集团做类似行动。技术层面他们防得还算不错,EDR 部署率 92%,VPN 多因素认证覆盖核心员工。

    可一轮演练下来,暴露的问题却是组织层面的:

    • 安全告警到 SOC 平均响应时间在 32 分钟
    • 中间权限审批环节又多拖了 20 分钟

      结果是:攻方有 50 多分钟可以从跳板机自由横向扩散。

      这就是三角洲行动想刺穿的一层幻觉:工具买得很高级,不代表协作链路跟得上。

2026年的攻击者在升级,“三角洲行动”也被迫跟着进化

很多人以为三角洲行动只是“攻防演习的高配版”。从我在项目里的体感来说,到了2026年,这个“高配”不再只体现在工具,而是攻击逻辑本身的变化。

这里说几个对你决策有影响的真实趋势:

  1. AIGC 加持的社会工程,已经看不出水印了

    到2026年,市面上不少攻击团伙已经在使用生成式模型来批量产出多语言钓鱼邮件、仿真企业内部通知、甚至伪造语音留言。

    很多客户直观感受是:以前员工还能凭“措辞奇怪、排版粗糙”判断邮件有问题,现在这些线索越来越不可靠。

    在三角洲行动里,我们会引入这一维度,比如:

    • 用生成模型模拟你们高管语气,打给财务确认“紧急付款”
    • 生成高度贴合行业行话的培训通知,引导员工点开恶意链接

      这类测试里,传统“安全意识培训打卡课”的效果,会被暴露得非常明显。

  2. 供应链攻击从“新闻热词”变成常规选项

    2025–2026年间,围绕开源组件、第三方 SaaS 的供应链事件一直在增长,很多企业已经意识到:

    • 自己的代码审得挺勤
    • CI/CD 也有基本防护

      真正的短板却在“引进来的东西”上。

      三角洲行动在新的项目设计中,会刻意把“供应链”纳入攻击路径,比如:

    • 模拟被攻陷的第三方运维账号
    • 模拟带后门的内部工具升级包

      目的只有一个:检验你是不是只信任“自己熟悉的入口”,而忽略了系统周边那一圈被默认放行的环节。

  3. 勒索逻辑从“加密就跑”变成“数据双重敲诈”

    现在的主流勒索模式已经更倾向于:先隐蔽窃取、再加密打击,然后以“泄露敏感数据”做二次要挟。

    在三角洲行动中,我们 thường设定这样的规则:

    • 以能否成功打包并“模拟外传”关键数据为胜负判断
    • 记录从进入内网到数据集齐所花的时间

      很多企业惊讶地发现:自己对“流量出口”的关心远远低于对“防进来”的重视,而真正掏空他们信誉的,往往是流出去的那部分。

企业真正在意的三个问题:值不值、风险多大、能拿到什么变化

多说技术名词没意义,你可能更在乎这三件事:预算能不能说服自己和老板、会不会玩火、做完之后有没有实在改变。

我按我们近两年参与过的项目,总结出比较实际的观察。

预算和回报:不是越贵越“高端”,而是看目标是否对得上项目费用区间的现实

在国内,2025–2026年的实战攻防项目(包括以“三角洲行动”命名的专项)价格差异挺大:

  • 中型企业、单区域环境,项目周期 3–4 周,费用多在几十万级别
  • 多业务线的集团、跨区域数据中心,周期拉到 2–3 个月,金额就可以上到百万级

    价差更大的,是服务内容和评估深度,而不是“名字好听不好听”。

回报怎么衡量更实际

我们内部常用三种标尺,推荐你也用类似的方式评估:

  1. 关键业务“被打停”的路径数量是否下降

    项目前后对比:能直接导致业务中断的攻击路径是否减少,以及减少了多少条。

  2. 平均“发现–处置”时间的变化

    从告警产生到实际封堵攻击链路,这个时间差往往决定是否会出现大规模损失。

  3. 能否推动预算和制度落地

    一份绕来绕去的技术报告,不如一份能被写进《信息安全管理制度》《应急预案》的整改建议。

    真正好的三角洲行动,会有专门阶段对接管理层,用“听得懂”的语言帮你争取资源。

如果供应商只强调“有多难、有多酷”,却说不清楚上述三点,你就要保持一点点警惕了。

风险和边界:别把实战演练做成“自残”

很多安全负责人对三角洲行动的最大担心是:

“你们在我环境里模拟攻击,会不会真的搞出事故?”

这种担心一点都不矫情,反而是成熟的出发点。

在项目设计阶段,下面这些边界需要拉得非常清楚:

  1. 攻击范围和“不碰区域”要写死在纸面上

    比如金融、医疗、能源企业,往往会划出明确的“禁区”:

    • 医疗机构的实时诊疗系统
    • 金融机构的生产核心账务系统

      作战计划里要标明:

    • 允许做只读探测、被动监控
    • 不执行可能影响可用性的操作

      我在一个区域银行项目中见过反例:攻方团队为了追求“真实感”,擅自扩大攻击范围,差点影响到线上结算。那次项目结束后,他们就被列入了客户的黑名单。

  2. “可逆”和“可控”是两条生命线

    所有动手操作,都应满足两个条件:

    • 可逆:能在约定时间内恢复到原状
    • 可控:执行前能评估影响范围,并有预案

      实际操作里,常见的做法是:

    • 使用仿真勒索样本,只做加密行为演示,不对真实业务库动手
    • 在非生产环境进行 destructive 测试,在生产环境只保留到“证明可以做到”的阶段

      这类设计听起来保守,却是保障项目“不会越界”的底线。

  3. 信息披露与保密协议别当走流程

    三角洲行动往往会暴露大量真实问题,包括弱口令账号、业务绕过路径、甚至内部流程漏洞。

    如果事前保密约定含糊,后续这些信息的使用、共享,就可能成为新的风险点。

    需要在合同中写清楚:

    • 验证数据如何脱敏、留存多久
    • 参与人员在项目结束后对细节的披露限制

      长远看,这对保护攻防双方都有意义。

真正有用的,是“演习后”的那三个月

很多企业会在演练结束后松一口气,报告拿到手、项目算是收尾。但从安全顾问的角度,三角洲行动的价值,大部分其实体现在之后的三个月整改期。

我想重点讲讲这段往往被忽略的过程。

报告不是重点,“共识化”才是报告再详细,如果只是技术部门自己看,能推动的改变有限。

我比较认可的一种做法是:

  • 在项目收尾阶段,针对不同角色做多场分享:
    • 给高管:用业务语言讲清楚“哪条攻击路径可能导致营收、声誉的实际损失”
    • 给IT与安全团队:拆解具体漏洞、配置问题和操作流程
    • 给关键业务负责人:强调人与流程环节中的风险点

      这种“多场景解读”,看起来费事,却往往能帮企业打通“安全只在技术部门焦虑”的困局。

真正能落地的,是几个“安全习惯”的改变根据我们对多个项目的追踪数据,三角洲行动后,能留下来且长期有效的,往往是一些小而扎实的调整:

  • 员工安全意识培训从 PPT+考试,变成带有真实案例的短场景演练
  • 开发上线前的安全检查,不再只是签字,而是引入自动化扫描 + 必要的手工确认
  • SOC 值班策略做了调整,关键时段有人真正盯着高级别告警

    这些变化本身并不“炫技”,也不适合拿去做公关稿,却是抵御下一个真实攻击时最有用的东西。

用数据追踪“复发率”,比一次性评分更有意义有些企业喜欢问:“我们这次演练得几分?”

从专业角度看,一次整体评分的意义其实有限,复发率更值得关注。

更实在的衡量方式是:

  • 对演练中暴露的关键问题建立清单
  • 每隔一段时间做一次复盘:
    • 同类问题是否再次出现
    • 是否在其他系统里有类似模式

      在我们服务的一家互联网公司,2025年做完三角洲行动以后,安全团队用这种方式追踪了一年。

      结果很有趣:

  • 演练中发现的“第三方账号管理不规范”问题,在之后的三月内出现了两次类似事件
  • 这成为推动他们重建客服和运营账号体系的直接理由

    这种“用自己的数据打醒自己”的方式,比任何外部评级都扎心,也更有推动力。

什么时候适合做“三角洲行动”,什么时候不必跟风

最后聊一个现实点的问题:不是所有企业、所有阶段,都适合上这样的项目。

以我站在一线顾问的视角,给你几个参考坐标:

更适合做三角洲行动的情况:

  • 已经有基础安全建设(防火墙、EDR、日志平台、应急预案),但对“抵御高阶攻击”的信心不强
  • 过去两年发生过一两起较严重的安全事件,希望通过一次系统性的实战检视,倒推制度和架构调整
  • 管理层对安全投入持观望态度,需要一个足够“贴近真实威胁”的案例来决策

不太建议急着上的情况:

  • 基础安全能力几乎空白,连资产清单、账号管理、基本漏洞修补都做不稳
  • 关键系统已经在“勉强维持”,对任何外部干预都极度敏感
  • 内部缺少专人负责跟进整改,只想“买个项目当护身符”

对这类处于早期阶段的企业,更务实的路径是:

先把“看得见”的底层问题解决掉,用一到两年的时间把基础打稳,再考虑用三角洲行动来做一次“高压体检”。

站在一个常年带队执行三角洲行动项目的安全顾问视角,我更希望你把它看成一种工具,而不是一个“神话级解决方案”。

它确实能帮你看清:

  • 真实攻击者会怎样利用你的组织结构缺陷
  • 哪些安全投入只是“安慰剂”,哪些能在关键时刻挡刀
  • 你和“被写进新闻稿的受害者”之间,到底差了多少道防线

但它做不到替你“永绝后患”。

真正决定你未来几年风险水平的,往往是项目结束后,那些看起来琐碎、无聊,却日复一日贯彻下去的调整。

如果你正在评估要不要做一场“三角洲行动”,不妨先问自己三个问题:

  • 我们有没有准备好面对真实的“难看结果”?
  • 有没有计划好,用这些结果去推动哪些具体改变?
  • 有没有一个人,愿意为这件事持续盯上半年?

如果这三点里至少有两点是肯定的,那这场“网络战实战化”的行动,对你来说,往往就值得一试。