网络安全战场有个长期被忽视的盲区:攻击者的基础设施本身。

周三,网络安全初创公司Infrawatch宣布完成300万美元种子前轮融资,由Outward VC与TriplePoint Ventures联合领投,Portfolio Ventures及多位金融科技与网络安全领域的天使投资人跟投。这家公司要做的事,是把"追着攻击跑"变成"提前堵门"。

打开网易新闻 查看精彩图片

传统安全架构的核心逻辑是盯紧边界——防火墙、规则、策略,以及机器层面的网络活动。哪里即将造成损失,就往哪里堆资源。这种反应式架构的问题在于,攻击者每天都在换战术、绕防御,企业疲于奔命。

Infrawatch创始人、CEO Lloyd Davies的观察是:战术会变,但攻击者的基础设施相对静态,且会留下持续痕迹。"这些基础设施可以被识别、阻断和缓解,在大规模使用之前就将其扼杀,"Davies表示,"这是一层被严重低估的主动防御。"

Davies并非纸上谈兵。他曾在CrowdStrike、Recorded Future、Intel 471等头部安全公司任职,团队核心成员也来自这些机构。他们亲眼见过攻击者如何利用互联网基础设施运作,也深知现有工具在理解现代威胁向量方面的乏力。

"基础设施情报的现状是破碎的:数据分散、噪音泛滥、工作流程东拼西凑,所谓的'实时'检测往往只是静态的每日更新,"Davies直言,"企业无法靠拼凑狭窄的情报源来跟上互联网的变化。"

Infrawatch的解决路径是实时分类数据的规模化采集。目前平台每日处理数百亿级事件,将原始噪音转化为可操作情报,并提供超过1000条开箱即用的检测规则,同时支持企业自定义检测机制。

这家公司还保持着对恶意基础设施的深入研究习惯。近期,其安全团队曝光了一家位于白俄罗斯的"SIM农场即服务"提供商,该基础设施与17个国家的攻击者运营网络存在关联。

Davies对公司定位的描述很直接:为防御者提供关键一层能力,让他们在威胁触及客户、用户或系统之前就掌握情报并采取行动。从追着日志跑到提前知道门往哪开,这可能是安全运营思路的一次关键转向。