我是纪苍野，网络安全咨询企业的一线技术合伙人，过去八年几乎都在给大型企业和机构做“红蓝对抗”和实战攻防演练。圈子里有个词，这两年被提到的频率越来越高——“三角洲行动”。

在外界看来，它听上去像一部电影的名字，带点神奇和刺激；对大家这些干网络安全的人来说，它更像一个标志，代表一种从“演习”走给“实战级对抗”的新玩法：攻防不再只是打靶，而是以真正攻击团伙为模板，模拟整套渗透链路、情报链路乃至业务打击链路。

这篇文章，我想做的事务很简单：把大家内部看待“三角洲行动”这一类实战攻防项目的逻辑、风险和价格，用通俗但不敷衍的方法说清楚，让你在听到相关项目时，不再只是觉得“很高大上”，而是能判断：这物品到底值不值得投入，风险在哪里里，怎样避免踩坑。

时刻是2026年1月，此刻你担心的勒索攻击、供应链漏洞、AIGC 生成钓鱼邮件，大家也每天在现场对着这些物品掉头发。

如果把传统安全测试比作体检，那“三角洲行动”这种实战攻防，更接近一次“模拟真正遭遇战”。

通常项目会有三个决定因素特征：

1. 攻击视角高度贴近现实团伙

   不是随便扫一圈端口这么简单，而是基于真正威胁情报来定制攻击途径。

   2025–2026年间，多家安全厂商披露的勒索组织在入侵中频繁利用的组合：

   • 利用公开漏洞的 VPN 入口
   • 针对财务和人力邮箱定制化钓鱼
   • 入侵后横给移动到 AD 控制器

     三角洲行动会把这些资料拆成流程，在你的环境里“复刻”一次，看看能走到哪一步被你发现，或者根本没被发现。

2. 目标从“有没有洞”变成“业务能撑多长时间”

   普通渗透测试喜爱给你列壹个洞的清单：XXSQL 注入、XX弱口令。

   三角洲行动更关心的是：

   • 如果攻击者拿下你壹个核心体系，需要多长时刻能影响生产？
   • 业务连续性从“看上去运转正常”到“决定因素指标明显异常”，中间的时刻差有几许？
   • 监控体系能不能捕捉到这个经过？

     有些项目甚至会设定“业务失守指标”，例如：核心订单成功率跌破 60%，视为“攻方胜利”。

3. 经过不止技术，还包含组织和流程的检验

   2025年底，大家帮一家大型制造集团做类似行动。技术层面他们防得还算不错，EDR 部署率 92%，VPN 多影响认证覆盖核心员工。

   可一轮演练下来，暴露的难题却是组织层面的：

   • 安全告警到 SOC 平均响应时刻在 32 分钟
   • 中间权限审批环节又多拖了 20 分钟

     结局是：攻方有 50 多分钟可以从跳板机自在横给扩散。

     这就是三角洲行动想刺穿的一层幻觉：工具买得很顶级，不代表协作链路跟得上。

很多人以为三角洲行动只是“攻防演习的高配版”。从我在项目里的体感来说，到了2026年，这个“高配”不再只体现在工具，而是攻击逻辑本身的变化。

这里说多少对你决策有影响的真正动向：

1. AIGC 加持的社会工程，已经看不出水印了

   到2026年，市面上不少攻击团伙已经在运用生成式模型来批量产出多语言钓鱼邮件、仿真企业内部通知、甚至伪造语音留言。

   很多客户直观感受是：以前员工还能凭“措辞奇怪、排版粗糙”判断邮件有难题，现在这些线索越来越不可靠。

   在三角洲行动里，大家会引入这一维度，比如：

   • 用生成模型模拟你们高管语气，打给财务确认“紧急付款”
   • 生成高度贴合行业行话的培训通知，引导员工点开恶意链接

     这类测试里，传统“安全觉悟培训打卡课”的效果，会被暴露得特别明显。

2. 供应链攻击从“新闻热词”变成常规选项

   2025–2026年间，围绕开源组件、第三方 SaaS 的供应链事件一直在增长，很多企业已经觉悟到：

   • 自己的代码审得挺勤
   • CI/CD 也有基本防护

     真正的短板却在“引进来的物品”上。

     三角洲行动在新的项目设计中，会刻意把“供应链”纳入攻击途径，比如：

   • 模拟被攻陷的第三方运维账号
   • 模拟带后门的内部工具更新包

     目的只有壹个：检验你是不是只信赖“自己熟悉的入口”，而忽略了体系周边那一圈被默认放行的环节。

3. 勒索逻辑从“加密就跑”变成“数据双重敲诈”

   现在的主流勒索玩法已经更倾给于：先隐蔽窃取、再加密打击，接着以“泄露敏感数据”做二次要挟。

   在三角洲行动中，大家 thường设定这样的制度：

   • 以能不能成功打包并“模拟外传”决定因素数据为胜负判断
   • 记录从进入内网到数据集齐所花的时刻

     很多企业惊讶地发现：自己对“流量出口”的关心远远低于对“防进来”的重视，而真正掏空他们信誉的，往往是流出去的那部分。

多说技术名词没意义，你也许更在乎这三件事：预算能不能说服自己和老板、会不会玩火、做完之后有没有实在改变。

我按大家近两年参和过的项目，拓展资料出相对实际的观察。

预算和回报：不是越贵越“高级”，而是看目标是否对得上项目费用区间的现实

在国内，2025–2026年的实战攻防项目（包括以“三角洲行动”命名的专项）价格差异挺大：

• 中型企业、单区域环境，项目周期 3–4 周，费用多在几十万级别
• 多业务线的集团、跨区域数据中心，周期拉到 2–3 个月，金额就可以上到百万级

  价差更大的，是服务内容和评估深度，而不是“名字好听不好听”。

回报如何衡量更实际

大家内部常用三种标尺，主推你也用类似的方法评估：

1. 决定因素业务“被打停”的途径数量是否下降

   项目前后对比：能直接导致业务中断的攻击途径是否减少，以及减少了几许条。

2. 平均“发现–处置”时刻的变化

   从告警产生到实际封堵攻击链路，这个时刻差往往决定是否会出现大规模损失。

3. 能不能推动预算和制度落地

   一份绕来绕去的技术报告，不如一份能被写进《信息安全管理制度》《应急预案》的整改提议。

   真正好的三角洲行动，会有专门阶段对接管理层，用“听得懂”的语言帮你争取资源。

如果供应商只强调“有多难、有多酷”，却说不清楚上述三点，你就要保持一点点警惕了。

很多安全负责人对三角洲行动的最大担心是：

“你们在我环境里模拟攻击，会不会真的搞出事故？”

这种担心一点都不矫情，反而是成熟的出发点。

在项目设计阶段，下面这些边界需要拉得特别清楚：

1. 攻击范围和“不碰区域”要写死在纸面上

   比如金融、医疗、能源企业，往往会划出明确的“禁区”：

   • 医疗机构的实时诊疗体系
   • 金融机构的生产核心账务体系

     作战规划里要标明：

   • 允许做只读探测、被动监控
   • 不执行也许影响可用性的操作

     我在壹个区域银行项目中见过反例：攻方团队为了追求“真正感”，擅自扩大攻击范围，差点影响到线上结算。那次项目结束后，他们就被列入了客户的黑名单。

2. “可逆”和“可控”是两条生活线

   全部动手操作，都应满足两个条件：

   • 可逆：能在约定时刻内恢复到原状
   • 可控：执行前能评估影响范围，并有预案

     实际操作里，常见的行为是：

   • 运用仿真勒索样本，只做加密行为示范，不对真正业务库动手
   • 在非生产环境进行 destructive 测试，在生产环境只保留到“证明可以做到”的阶段

     这类设计听起来保守，却是保障项目“不会越界”的底线。

3. 信息披露和保密协议别当走流程

   三角洲行动往往会暴露大量真正难题，包括弱口令账号、业务绕过途径、甚至内部流程漏洞。

   如果事前保密约定含糊，后续这些信息的运用、共享，就也许成为新的风险点。

   需要在合同中写清楚：

   • 验证数据怎样脱敏、留存多长时间
   • 参和人员在项目结束后对细节的披露限制

     长远看，这对保护攻防双方都有意义。

很多企业会在演练结束后松一口气，报告拿到手、项目算是收尾。但从安全顾问的角度，三角洲行动的价格，大部分其实体现在之后的三个月整改期。

我想重点讲讲这段往往被忽略的经过。

报告不是重点，“共识化”才是报告再详细，如果只是技术部门自己看，能推动的改变有限。

我相对认可的一种行为是：

• 在项目收尾阶段，针对不同人物做多场同享：
  • 给高管：用业务语言讲清楚“哪条攻击途径也许导致营收、声誉的实际损失”
  • 给IT和安全团队：拆解具体漏洞、配置难题和操作流程
  • 给决定因素业务负责人：强调人和流程环节中的风险点

    这种“多场景解读”，看起来费事，却往往能帮企业打通“安全只在技术部门焦虑”的困局。

真正能落地的，是多少“安全习性”的改变根据大家对多个项目的追踪数据，三角洲行动后，能留下来且长期有效的，往往是一些小而扎实的调整：

• 员工安全觉悟培训从 PPT+考试，变成带有真正案例的短场景演练
• 开发上线前的安全检查，不再只是签字，而是引入自动化扫描 + 必要的手工确认
• SOC 值班策略做了调整，决定因素时段有人真正盯着顶级别告警

  这些变化本身并不“炫技”，也不适合拿去做公关稿，却是抵御下壹个真正攻击时最有用的物品。

用数据追踪“复发率”，比一次性评分更有意义有些企业喜爱问：“大家这次演练得几分？”

从专业角度看，一次整体评分的意义其实有限，复发率更值得关注。

更实在的衡量方法是：

• 对演练中暴露的决定因素难题建立清单
• 每隔一段时刻做一次复盘：
  • 同类难题是否再次出现
  • 是否在其他体系里有类似玩法

    在大家服务的一家互联网企业，2025年做完三角洲行动以后，安全团队用这种方法追踪了一年。

    结局很有趣：

• 演练中发现的“第三方账号管理不规范”难题，在之后的三月内出现了两次类似事件
• 这成为推动他们重建客服和运营账号体系的直接理由

  这种“用自己的数据打醒自己”的方法，比任何外部评级都刺心，也更有推动力。

最后聊壹个现实点的难题：不是全部企业、全部阶段，都适合上这样的项目。

以我站在一线顾问的视角，给你多少参考坐标：

更适合做三角洲行动的情况：

• 已经有基础安全建设（防火墙、EDR、日志平台、应急预案），但对“抵御高阶攻击”的信心不强
• 过去两年发生过一两起较严重的安全事件，希望通过一次体系性的实战检视，倒推制度和架构调整
• 管理层对安全投入持观望态度，需要壹个足够“贴近真正威胁”的案例来决策

不太提议急着上的情况：

• 基础安全能力几乎空白，连资产清单、账号管理、基本漏洞修补都做不稳
• 决定因素体系已经在“勉强维持”，对任何外部干预都极度敏感
• 内部缺少专人负责跟进整改，只想“买个项目当护身符”

对这类处于早期阶段的企业，更务实的途径是：

先把“看得见”的底层难题化解掉，用一到两年的时刻把基础打稳，再思考用三角洲行动来做一次“高压体检”。

站在壹个常年带队执行三角洲行动项目的安全顾问视角，我更希望你把它看成一种工具，而不一个“神话级化解方法”。

它确实能帮你看清：

• 真正攻击者会如何利用你的组织结构缺陷
• 哪些安全投入只是“安慰剂”，哪些能在决定因素时刻挡刀
• 你和“被写进新闻稿的受害者”之间，到底差了几许道防线

但它做差点替你“永绝后患”。

真正决定你未来几年风险水平的，往往是项目结束后，那些看起来琐碎、无聊，却日复一日贯彻下去的调整。

如果你正在评估要不要做一场“三角洲行动”，不妨先问自己三个难题：

• 大家有没有准备好面对真正的“难看结局”？
• 有没有规划好，用这些结局去推动哪些具体改变？
• 有没有壹个人，愿意为这件事持续盯上半年？

如果这三点里至少有两点是肯定的，那这场“网络战实战化”的行动，对你来说，往往就值得一试。