北京
你正在調查一個可疑IP,瀏覽器開著威脅情報平臺、IP查詢網站、漏洞數據庫、VPN檢測工具——第7個標簽頁突然崩潰,剛才的線索全丟了。這種場景,Securonix今天宣布的合作就是沖著解決的。
這場合作到底在解決什么問題
Securonix與AI SPERA的聯手,核心是把Criminal IP的實時威脅數據塞進ThreatQ平臺。不是簡單的API調用,而是深度集成到調查工作流里。
安全團隊現在能直接在ThreatQ里看到:這個IP的惡意評分多少、是不是VPN出口、有沒有暴露遠程訪問端口、關聯哪些漏洞。以前需要切出去查的,現在鼠標懸停就能看到。
Securonix首席營收官Scott Sampson說得很直接:「這讓安全團隊在調查和決策的關鍵節點獲得更強的IP情報能力。」
翻譯一下:減少上下文切換,降低認知負荷,讓分析師把注意力放在判斷威脅上,而不是找數據。
自動化不是噱頭,是剛需
ThreatQ的編排引擎現在可以配置自動工作流:新來的IP指標自動過一遍Criminal IP的數據庫,惡意評分、VPN檢測、端口暴露、漏洞關聯——全部實時更新。
這意味著什么?指標上下文不會過期。昨天查過的IP,今天如果Criminal IP更新了情報,ThreatQ里的數據同步刷新,不需要分析師手動重新查詢。
更實際的是優先級排序。一堆告警涌進來,系統先幫你按風險分層,高分的進快速通道,低分的排隊處理。不是取代判斷,是把分析師的注意力導向真正需要人的地方。
一鍵查詢的設計細節
除了自動化,集成還支持手動觸發。分析師在指標詳情頁或調查看板上,點一下就能調出Criminal IP的「惡意信息」和「擴展數據」端點。
關鍵是「不離開平臺」。調查中途發現新IP,不用新開窗口、不用復制粘貼、不用擔心格式錯亂。上下文留在原地,線索鏈保持完整。
這對溯源調查特別重要。攻擊路徑往往是跳板式展開的,每個中間節點都需要快速驗證。切來切去,思路就斷了。
為什么選Criminal IP
AI SPERA的Criminal IP專注實時IP威脅情報,覆蓋幾個硬需求:
? 惡意評分:量化指標,方便排序
? VPN檢測:識別代理跳板,區分真實來源
? 遠程訪問暴露:發現RDP/SSH等高風險入口
? 開放端口與漏洞關聯:把網絡暴露面和安全弱點連起來
這些數據單獨看都有替代來源,但實時性、覆蓋度、結構化程度是差異點。Securonix賭的是:把高質量數據源嵌進工作流,比讓分析師自己拼湊更高效。
ThreatQ的開放生態邏輯
Securonix一直在推ThreatQ的「開放可擴展」定位。這次合作是延續:不試圖自建所有情報能力,而是接入專業供應商,讓用戶按需組合。
對甲方安全團隊,這降低了供應商鎖定風險。今天用Criminal IP,明天如果發現更好的IP情報源,理論上可以替換。平臺層保持相對穩定,數據層靈活切換。
對AI SPERA這類垂直情報商,這是觸達企業客戶的捷徑。不用自己賣平臺,嵌入成熟工作流就能產生價值。
行業背景:告警疲勞沒有緩解
Securonix在聲明里點出了一個老問題:告警量持續增長,威脅數據越來越碎片化。安全團隊需要「集成情報」來提速、提信心。
這不是新痛點。Gartner、Forrester過去幾年的報告反復提:SOAR、TIP、XDR的興起,本質上都是在解決「數據多、 actionable insight少」的矛盾。
ThreatQ的定位是威脅情報平臺(TIP),核心是聚合、關聯、分發情報。這次集成Criminal IP,是把「聚合」往「深度」走了一步——不只是拉數據,是讓數據在正確的時間、正確的界面出現。
競品在做什么
Mandiant(Google Cloud)、Recorded Future、Anomali都在類似賽道。差異化點通常在于:
? 情報源的獨家性(Mandiant的APT追蹤)
? 自動化編排的深度(Anomali與SOAR的集成)
? 用戶界面的流暢度(Recorded Future的瀏覽器插件)
Securonix的選擇是:強化工作流內的實時上下文,減少跳出。不是比誰的情報更多,而是比誰的情報用起來更順。
對安全架構的啟示
這次合作反映了一個趨勢:威脅情報正在從「數據訂閱」轉向「能力嵌入」。甲方不再滿足于拿到CSV或API,要的是情報直接驅動決策、觸發響應。
對安全團隊負責人,選型TIP時需要問:這個平臺和我的主要數據源集成到什么程度?情報是「能查」還是「自動用」?分析師日常 workflow 里,情報出現的頻率和深度如何?
對情報供應商,純數據銷售的空間在壓縮。客戶要的是「情報即服務」——不是原始數據,是嵌入上下文的可行動洞察。
落地挑戰
集成再深,也有邊界。Criminal IP覆蓋的是IP層情報,域名、文件哈希、用戶行為等其他指標類型,還需要其他數據源補充。
自動化評分也有誤報風險。惡意評分高的IP,可能是被濫用的合法CDN節點;VPN檢測可能把企業合規的遠程辦公流量標紅。系統給的是優先級建議,最終判斷還得靠人。
另外,實時更新的前提是網絡連通和API穩定性。Criminal IP的服務中斷,會直接影響ThreatQ里的指標上下文。多供應商架構下,故障排查的復雜度也在上升。
一個值得觀察的信號
Securonix強調這次合作「擴展了ThreatQ的開放生態系統」。措辭很標準,但背后的押注是:平臺層競爭越來越激烈,差異化來自生態深度,而非功能清單的長度。
AI SPERA是韓國公司,Criminal IP在亞洲市場有一定基礎。Securonix通過這次合作,可能也在補強區域情報覆蓋——雖然聲明里沒提這點,但地理維度通常是IP情報的隱性差異。
接下來可以關注的:集成后的客戶反饋,特別是自動化工作流的實際節省工時;Criminal IP數據質量與競品的對比評測;以及Securonix是否會繼續引入其他垂直情報商,完善指標類型的覆蓋。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
