Josh Picolet 在 Team Cymru 的办公室里,对着一群安全工程师说了句话:"指标列表的时代结束了。"这句话背后,是一家老牌威胁情报公司押注的全新技术路线——用机器可读的评分系统,替代人工审核的黑名单。
为什么传统黑名单不够用了
Team Cymru 今天发布的 Total Insights Feed,核心就一件事:解决传统威胁情报的结构性崩溃。
2026 年的攻击者已经不吃这套了。他们会在几小时内轮换基础设施,同时操控数千万 IP 地址,在数亿域名上铺开钓鱼活动。传统的信誉反馈列表(Reputation Feed)根本追不上这个速度——等你把某个 IP 加入黑名单,对方早就换了一批。
Josh Picolet 说得直接:「没有上下文的覆盖是噪音,没有覆盖的上下文是盲区。」
这话点出了安全运营中心(安全运营中心)的日常困境。分析师每天被海量告警淹没,却不知道该先处理哪个。Total Insights Feed 的解法是给每个指标打分:0 到 100 的加权风险评分,加上衰减模型,让机器自动决策阻断策略,无需人工逐条审核。
平台每天处理的数据量级
具体数字很能说明问题。
平台每天评估超过 5700 万个 IP 地址和无类别域间路由块,用加权风险评分和衰减模型输出结果。同时每天评估超过 4 亿个域名,其中 350 万个被标记为恶意——覆盖钓鱼基础设施、算法生成域名和恶意托管。
每个指标附带超过 2000 个上下文标签。包括恶意软件家族、命令与控制框架、僵尸网络成员身份、MITRE ATT&CK 映射、杀伤链阶段,以及可用的攻击者归属信息。
这些数据打包成单一 JSON 流,兼容安全信息和事件管理、安全编排自动化与响应、扩展检测与响应,以及威胁情报平台。
Team Cymru 的底气来自其全球网络可见性——覆盖超过 700 家互联网服务提供商和运营商。
三层定价与迁移路径
产品分三个层级。
第一层是风险评分层,提供 IP 和域名信誉。第二层是标签与分析层,提供更深入的上下文情报。第三层是完整层,将所有能力整合为单一数据流。
现有客户使用 Controller Feed、Reputation Feed 和 BARS 架构的,Total Insights Feed 已内置支持,原有情报保留并扩展。迁移可通过客户经理进行,产品即日起可用。
这件事为什么重要
威胁情报行业正在经历一次范式转移。从"发现威胁→人工分析→更新列表"的慢节奏,转向"实时评分→机器自动响应"的闭环。
Team Cymru 不是第一家这么做的,但它是少有的把覆盖规模做到互联网全表面级别、同时保持上下文密度的玩家。5700 万 IP 加 4 亿域名的日处理量,意味着它的评分系统有足够的数据密度来支撑自动化决策。
对于安全团队来说,这减少了一个关键瓶颈:分析师的审核队列。当阻断策略可以基于分数自动执行,响应时间从小时级压缩到分钟级——这在面对快速轮换基础设施的攻击者时,是生存级的差异。
当然,风险也很明显。评分模型的准确性、衰减参数的调优、误报的累积效应,这些都需要在实际部署中验证。但 Team Cymru 选择了一条更激进的路:先解决覆盖和速度问题,再逐步精调模型——而不是反过来。
Josh Picolet 那句"指标列表的时代结束了",与其说是宣言,不如说是对行业现状的无奈总结。当攻击者的自动化水平已经远超防御方的手工流程,继续堆人力审黑名单,本质上是在用 20 世纪的工具打 21 世纪的战争。
至于那些还在维护自家黑名单的安全团队,现在有个选择:继续和攻击者比手速,或者让机器来比算法。
热门跟贴