我叫阙安澜,业内同事更习惯叫我“Delta 队的安澜”。过去十年,我的工作标签一直有点神秘:网络威胁狩猎负责人、红蓝对抗顾问、应急响应总指挥。 “无名三角洲行动安澜”最早只是我内部项目的代号,用来指一套专门针对复杂攻击场景的联合防御演练方案,后来慢慢变成同行之间提起我工作方法时的一个符号。 点开这篇文章,多半说明你所在的团队正经历或即将面对这些场景: 我不打算讲故事,也不打算卖概念。这篇文章只围绕一件事展开: 如何把“无名三角洲行动安澜”这种行动思路,拆解成你可以落地执行的安全运营方法,让你的组织在混乱的网络环境里,真正安稳一点。 在咨询项目里,我问得最多的一个问题是:“你觉得贵公司算安全吗?” 答案往往带着一点尴尬的笑:“说不上安全,但也没出过什么大事。” 问题就卡在这里。 最近两年的攻击样态,已经完全不是“有没有出事”这么简单—— 也就是说: 现在的“没出事”,在统计意义上,很可能只是还没轮到你。 “无名三角洲行动安澜”这套方法,最初就是为解决这个焦虑: 让安全团队不要再被动盯着告警,而是有章法地去逼近一个问题—— 我们现在到底暴露在怎样的风险三角洲里? 我习惯把企业的整体风险,画成一个不太规整的三角形,内部充满“不起眼的小坑”。 在日常陪跑客户的时候,我发现 80% 的严重事件,几乎都可以归入这个三角形的三个角: 我给这块东西起名叫“无名三角洲”,不是为了文艺,而是有个残酷事实: 很多真正引爆事故的点,在企业里压根没名字、没归属、也没有清晰责任人。 过去三年,和我们合作进行“无名三角洲行动”的 40 多家客户里,有一些共同比较值得你对照: 如果你身在安全岗位,看到这些数据,心里会有一种熟悉的无奈:这些问题,谁都知道存在,却总有人说:“先挪挪,看完这波业务再说。” “无名三角洲行动安澜”这套方法,骨子里就是:承认这些现实,然后用尽量轻量、可复制的方式,一点点把三角洲里的危险收拢。 讲到这里,可能你已经在心里打问号:听起来像是在做标准化蓝队运营,那“行动安澜”到底有何不同? 我习惯用一句话来概括: 传统防御关注“堆能力”,行动安澜关注“验证行动”。 换成更直白的表述: 在我们设计“无名三角洲行动安澜”的框架时,会强行加进去几个看起来有点“烦”的约束: 这听起来有点像是给自己增加工作量,但实践下来,反而减轻了疲惫感。 因为安全团队终于有办法向管理层证明: “我们今天没出事,不是运气,是因为这几条路径已经被验证过。” 到 2024 年底,我们统计了 18 个持续两年以上执行“行动安澜”的客户数据: 这组数字背后,是行动习惯的变化,而不是某个爆款产品上线。 说点更落地的。 我用一个我们经常采用的流程骨架,拆给你看,不会讲细节战术,只谈对你有用的操作感受。 一、先让资产说真话,而不是表格好看 新项目启动那一周,管理层通常会问:“你们先做个资产清单吧。” 我一般会回答:“我们不做‘一次性的清单’,我们做‘会反驳你的清单’。” 做法上的差别在于: 这个过程中,有个经验数据: 如果前两周里,清单没有至少推翻你对资产规模 20% 以上的想象,那基本可以判断发现还不够深入。 二、别急着做“全套治理”,先堵住三条最容易被走通的路 很多团队习惯一上来就设计一个宏大的安全改造计划,时间跨度一年半起步。 从实战角度看,这种计划当然重要,但大多数攻击不会等你计划落地。 我们在“三角洲行动”里,会先抓“三条路”: 这三条路一旦被攻团队模拟走通,防守视角就会清晰很多: 你不再盯着无数孤立的漏洞,而是盯着“攻击是否还能顺畅地走完这条路径”。 三、让红蓝对抗变成一种“例行体检”,而不是一年一度的晚会 我见过太多把红蓝对抗搞成大型项目的客户:前期立项、过程保密、后期写厚厚的报告,所有人紧张一阵,然后生活恢复原样。 “行动安澜”的做法会粗糙一点: 一年看下来,内部安全人员的心态会有非常明显的变化: 从“希望不要出事”慢慢变成“希望问题早点暴露,我们有时间修”。 如果你不是安全咨询顾问,而是企业里真实干活的人,那你此刻最想知道的,大概是: “听起来有点道理,但我明天具体能做什么?” 我站在一个内部人的角度,给你几个不那么宏大的建议: 第一,把“无名资产”拉清单,哪怕只针对一个关键系统 不要打算一口吃掉全公司。 挑一个你最有把握的系统,比如支付、订单、核心业务后台,从这几个方向下手: 只要你坚持两三个迭代,这个小范围的“无名三角洲”,就会明显收缩。 你会发现,有些遗留系统其实没人敢动,只因为没有被叫出名字。 第二,为每一次重大变更留下一份“攻击者视角的注脚” 比如上线了新的微服务网关、开放了一组新 API、将某个系统从本地搬上云。 在变更记录里,多加一个栏目: 这个动作会让很多“临时开放、事后忘关”的风险,提前被看见。 也会让业务团队慢慢意识到:安全不是来看热闹的,而是在帮他们“预演不顺”。 第三,养成对告警质量“挑刺”的习惯 不是劝你去压缩告警数量,而是让你学会跟自己较劲。 举个我们常用的数据门槛:
那就别再忙着加新规则,先停下来,把最近 30 条重要告警拿出来复盘:
哪些是真有价值的?哪些只是“换个写法的噪音”?
很多时候,所谓“告警过载”,并不是攻击太多,而是我们还没认真训练告警系统“只在该叫的时候叫”。
2026 年了,行业里关于 AI 赋能安全、自动化运维、数据要素流通的讨论越来越热。
攻击者用到的工具在变,防守者的选择也在变,但有些基础的东西没那么快被替代:
- 资产到底在哪里,这个问题不回答清楚,任何高大上的方案都只能搭在“模糊的地基”上
- 身份与权限的边界,如果不下心思梳理,零信任只是一个好听的标签
- 运营习惯如果依旧是“出了事再找人”,所谓的“安澜”就只是安慰自己的话
“无名三角洲行动安澜”这个说法,对我本人来说既是工作方法,也是一个心态提醒:
我们不可能实现绝对安全,但可以让自己暴露在风险里的姿态更体面一点,不再全靠运气。
如果你现在身处一个资源有限、需求又一大把的安全团队,那种被需求和告警淹没的疲惫,我太熟悉。
你不需要一口气做到完美,也不需要一次性搭完一个庞大体系。
哪怕只是从这几件小事开始:
- 给“无名资产”写上名字
- 在重大变更上加一句“攻击者视角”的注脚
- 对告警质量动点“挑剔”的心思
- 每月和业务、运维一起,做一次小而真实的“突发演练”
一年之后回头看,你或许会发现:
那种“随时可能爆雷”的紧绷感,悄悄换成了对系统的熟悉和踏实。
这不是一个奇迹的故事,也不是某个产品的广告。
只是一名在“无名三角洲”里走了很多圈的安全从业者,把自己这些年的实战笔记,浓缩成一句送给同行的话:
让行动变得可被验证,让风险不再无名,这就是“安澜”的开始。
