資安軟體
」追趕勁敵!Google母公司擬砸大錢收購資安新創公司Wiz
外媒引述消息報導,谷歌(Google)母公司Alphabet有意以230億美元收購資安新創公司Wiz,雙方正展開進一步協商。若談成交易的話,這將成為該科技巨擘史上最大宗收購案。此天價交易有助於谷歌在競爭激烈的雲端運算市場追趕勁敵微軟與亞馬遜。知情人士表示,雙方可能很快達成交易,但也不能排除談判未果的可能性。Wiz總部位於紐約,在美國與以色列皆設有據點。該公司由執行長拉帕帕波特(Assaf Rappaport)與多位同事2020年共同創立而成。Wiz專注於提供雲端運算的資安軟體,合作對象包括亞馬遜、微軟與谷歌等。Wiz於2024年5月成功募資10億美元,使其估值攀升至120億美元,金主包括紅杉資本(Sequoia Capital)、Andreessen Horowitz、Index Ventures與Lightspeed Venture Partners等創投巨頭。Wiz是今年少數AI領域以外成功募資並推升估值的初創企業之一。Wiz創立18個月後年度經常性收入便達到1億美元,2023年更攀升至3.5億美元。谷歌目前在雲端運算市佔排名第三,遠遠落後於亞馬遜與微軟。但谷歌近日加大對於該領域的投資力道,且這些努力逐漸顯現成果,該公司去年雲端業務營收暴增26%並首度實現營業獲利。
防詐仙拚仙2/全球一天40萬新網站 蔡祈岩:「抓偽冒網站不難,難在確認」訓練AI判讀圖片及關鍵字
「在一開始評估要切入的時候,就有看到國際上有相類似的產品,但多數不是專業的產品,僅是資安軟體中的其中一部份功能,應用在台灣市場多少會水土不服,雖然大家的方式都是利用系統爬蟲到處去偵測,但是國外產品因為設計理念等問題,會有漏洞,或是偵測速度過慢、時效不及的問題,因此公司還是決定自己來開發。」台灣大防詐專案小組主持人資訊長蔡祈岩。電信業為何最適合進行防詐?「因為這需要大量的算力跟網路頻寬,畢竟這是要即時偵測辨識全世界的網站是不是偽冒的?尤其每天新增的網站約有40萬個,這樣的成本其實很高的。」蔡祈岩說,偽冒網站通常會用圖片還有關鍵字來降低受害者的戒心,這些其實可以用AI來做初步判斷,所以就特別針對圖片及關鍵字來訓練AI。蔡祈岩說,圖像辨識一定要用AI,例如LOGO、照片,就要用AI去看照片、去認人,一般來說,目前的客戶以企業為主,通常的委託內容,除了偵測是否有偽冒的官網外,通常也會將該公司高層的照片是否被偽冒列入業務之一。透過訓練AI去辨識,雖然不能一定判斷就是偽冒,但是就可以讓AI去持續搜尋,至少知道某個網站有這些照片,讓AI判讀偽冒網站的可能性,如果達到一定程度,就會交給人工再去判讀。利用特有的5G、AI專長,台灣大積極開發防偽系統,主動出擊。(圖/報系資料照)AI怎麼判斷是偽冒網站?蔡祈岩說,一般來說,偽冒網站一定會有遭冒用的名人名字、照片、網站內容、關鍵字等不同的蛛絲馬跡,或是偽冒的網域名稱等等,會根據客戶需求,請客戶提供資料,透過不斷將資料餵給AI去學習判斷,只要給它越多的資料,AI就會越來越準。「如果被AI系統判斷是偽冒網站,就會交由人工進行確認,另外也還有漏網之魚的偽陰性網站,不過這種只能靠客戶回報,所以台灣大也建立了回報平台,由客戶回報,工程師除了協助處理該偽冒網站下架外,也會再次去確認,為何系統沒有發現。」蔡祈岩說。在決定成立專案小組後,蔡祈岩說,第一版做出來很快,大概花了一個月的時間就做出來了,因為詐騙的變化層出不窮,應該要快速反應,所以每1-2周就會有新的版本,持續滾動調整。因應詐騙盛行,為確保用戶權利,台灣大規劃了50人的專案小組。(圖/周志龍攝)「不過抓偽冒網站不難,但是要如何確認是真的偽冒網站。」蔡祈岩說,根據統計,一天全世界會出現40萬個新網站,這樣的數量,如果有千分之一被誤判,那就有400個網站需要人工來確認,因為不可能因為系統判定,就直接發警報,所以也有複審機制,畢竟以現在的AI,還是會需要人工來輔助確認,等到AI學習的越來越準確,需要人工確認的數量也會隨之減少。在偵測並確認是偽冒網站後,更重要的就是下架的速度。蔡祈岩說,因為不同國家有其獨特狀況,所以要根據不同的業者,建立快速的反應SOP。「常常看到新聞報導,民眾向社群軟體檢舉詐騙,最後都沒有成案。這主要是因為不同的單位有不同的審查機制,像是我們偵測到社群,就會通知社群媒體,將資料準備齊全,透過他們的審查機制,請他們來下架,專案小組早就熟知他們的規則,協助社群軟體確認是偽冒網站,再將其下架。」蔡祈岩說。「每個平台有不同的規定,才能進一步消滅這些偽冒網站。」
雇主在公司電腦裝監視軟體違法嗎? 他聽友揭1事:嚇我一跳
一名男網友指出,友人公司的主管在新進員工報到的時候,就已在辦公室的電腦安裝監視軟體,讓他聽聞後嚇了一跳,好奇詢問此行徑是否有觸法的疑慮。對此,勞動部曾解釋,企業擅自在員工電腦安裝側錄軟體,恐有違隱私權。原PO在Dcard發文指出「聽朋友說他的主管,在新人報到的時候電腦已經安裝好監視軟體,不是要看對方有無混水摸魚,而是看對方的能力」,讓他嚇了一跳。針對友人公司主管的行徑,原PO好奇詢問,「一來不會被員工發現嗎?二來這樣隨時監看是可以的吧?有無什麼法律上問題嗎?如果是用私人LINE也可以看嗎?好像怪怪的。」對於友人公司主管的行徑,原PO嚇了一跳。(圖/翻攝自Dcard)貼文一出引發討論,有網友表示「真的不要心存僥倖,想在上班時間做私人事情,資方要怎麼搞,招式很多,行的正就不怕遇到鬼」、「正常工作不必害怕被監視,愛看就看,反正都在工作」、「私人LINE為啥要在公用電腦登入」、「我還以為這是蠻正常的事情」、「公務電腦只能處理公務,不能用來做私人的事,除非電腦是你自己的不是公司資產」。同時,一名從事資安工作的女網友透露,「資安軟體或防毒軟體都有可能做到側錄你的電腦畫面,也有可以備份你在公司電腦使用通訊軟體的對話內容,所以建議各位真的不要用公司電腦登錄私人通訊軟體。」此外,據《518職場熊報》報導,企業監視員工的行為須具備「明確目的、公開性和公務相關」才沒有違法之虞;勞動部則解釋,老闆若未告知就在筆電加裝監視或側錄軟體,恐有違隱私權,而台灣過往曾有公司為了防止機密資料外洩,擅自在員工電腦安裝側錄軟體,最後雇主因違反《通訊保障及監察法》並涉及妨害秘密罪,遭判處有期徒刑3個月。
搶占PC市場 高通攜手微軟推Windows on Snapdragon PC開發者套件
在手機晶片市場已經占有一席之位的高通(Qualcomm),如今把目標瞄準個人電腦市場,宣布為搶攻個人為Windows on Snapdragon PC 推出開發者套件(Snapdragon Developer Kit),打開對獨立軟體供應商的大門,未來搭載Snapdragon晶片的個人電腦的,將具備常時啟動、常時連網的使用體驗。目前包括宏碁、華碩、惠普、聯想、微軟和三星等品牌,已經在旗下個人電腦產品中推出搭載Snapdragon運算平台的機種,為了讓用戶能有跟傳統英特爾(Intel)x86架構一樣豐富的軟體應用,高通聯手微軟推出Snapdragon 開發者套件,以加速開發工作。目前包括資安軟體賽門鐵克和通訊平台Zoom都已經開始使用這套開發者套件。高通表示,開發套件內建原生的ARM64 Windows 10和Windows 11應用程式,在Snapdragon運算平台的專用架構下實現優化的功耗和效能,並協助後端開發人員移植應用程式,應用程式開發人員可使用這款超小型迷你PC,為使用者提升產品最佳化或打造全新PC體驗。Snapdragon開發者套件目前已經在美國透過Microsoft Store銷售,產品售價 219美元(約新台幣6132元),提供開發人員能夠針對搭載從入門級到頂級的Snapdragon運算平台的Windows裝置進行測試和最佳化的解決方案。微軟補充表示,Snapdragon 開發者套件出貨時將支援Windows 10,並同時符合Windows 11升級條件。市場上,與Snapdragon採用相同ARM架構的蘋果M1處理器,則已成功的取代Intel處理器,成為蘋果Mac個人電腦的配備,在全球PC市場占有一片天地。
趨勢科技助攻MIH聯盟 以安全為設計基礎為電動車打底資安
研究指出,至2035年時全球銷售的汽車中,聯網智能汽車佔比預計高達80%,為兼顧汽車安全及資訊安全,MIH聯盟與趨勢科技合作,在MIH EVKit開發套件上,共同合作電動車以安全為設計基礎 的開放平台資訊安全。這項合作中,趨勢科技首度以安全為設計基礎 (Secure by Design) 概念制定並實作EVKit軟體的安全架構以及介面,除了提供一個安全的軟體執行環境,並可讓各項資料與數據得以安全的傳輸與存取,且在EVKit中提供車廠及第三方應用開發者方便、安全且具備認證機制的開發環境。MIH聯盟指出,未來的電動車主流是透過軟體定義,應用人工智慧,大數據及車聯網,以提供各式各樣創新的個人化駕駛體驗。MIH 技術長魏國章表示,「為有效縮短開發周期和降低進入門檻,MIH正透過軟體定義車輛的方式替開發者創建電動車開放平台 此平台 由硬體和軟體組成,應用範圍涵蓋了完整的電動車開發與測試的生命週期,並提供開發者一個 電動車開放市集。」魏國章表示,趨勢科技是MIH在車輛安全上最重要的夥伴之一,協助MIH定義屬於電動車的通用安全框架,不但全面支援車載網路的入侵檢測、系統保護以及網路威脅防護等,更統一了開發者介面,幫助全球從事資安解決方案的合作夥伴,大幅降低參與建構MIH安全生態系統的門檻。趨勢科技核心技術執行副總裁兼首席資訊長鄭奕立表示,2030年時行車數據所帶來的年增值可望達到4,000億美元、2035年時聯網智能汽車佔比預計高達80%,資訊安全勢必將成為聯網汽車最關鍵的要素之一。目前傳統汽車業常採用的外掛資安方案對未來的資安威脅並不是最有效的方式。解決連網智能汽車資訊安全的最有效方式就是直接在軟體架構上採用以安全為設計基礎、具備資安防護機制的開發平台,才能有效提升未來汽車的資安。這套以安全為設計基礎的EVKit資安軟體架構包括 協助制定EVKit平台的安全架構與介面,提供安全的車端軟體安全執行環境,保護車端到雲端的資料傳輸、存取與身分驗證機制;提供具身份認証的雲端大數據管理及存取功能,車廠可以很容易的建立各種 AI 及大數據應用,如遠端監測,預測型維護及 虛擬安全管理中心(VSOC)等;EVKiT平台的資安功能存取介面,以便車廠軟體及第三方應用軟體可以直接融入以安全為設計的開放平台架構中;遠端全車韌體升級引擎(Secure OTA engine)及包含入侵主動偵測,人工智慧主動異常偵測,通訊異常偵測等主動安全防護機制。
NCC檢測手機安全 有1支有安全漏洞仍在賣
國家通訊傳播委員會(NCC)針對2019年第一季市場熱銷10款不同品牌智慧型手機進行內建軟體資通安全檢測,經過第一階段初測僅有1支品牌手機通過,最後經過複測及改善,仍有1支手機沒有通過檢測。NCC為保障消費者權益、提升消費者資安意識及帶動智慧型手機製造商重視內建軟體資通安全, 在去年下半年抽測了市場上銷售量較高之10款不同品牌智慧型手機,進行初測及2個月改善期的複測及第二次複測,最後10款智慧型手機中共通過9款,仍有1款未通過測試。在2019年10月初測就通過的是Apple iPhone XR;經過2個月改善期後,在2020年2月第一次複測通過的有HTC U12、三星Galaxy A7 2018、NOKIA 8.1、SONY XPERIA L2、ASUS Zenfone MAX M1、SUGAR P1、華為Y9 2019等7款;2020年4月第二次複測通過的有OPPO AX5。仍有1支品牌智慧型手機未通過檢測,對此,NCC表示,未通過之型號,因考量內建軟體尚有漏洞,則不公布,並已請廠商修補妥處,以避免駭客乘機入侵,造成既有使用者的個資及隱私安全受到威脅。NCC指出,依據2017年3月3日公告「智慧型手機系統內建軟體資通安全檢測技術規範」檢測包括「未將敏感性資料(如:個人資料)加密或儲存於作業系統保護區」、「具付費功能之內建軟體加密強度不足」、「與付費功能伺服器間傳輸,未使用安全之加密演算法」、「預設開啟不必要之權限」、「初次存取使用者綁定裝置之帳戶未先認證使用者身分及權限」……等10個項目。NCC提醒,民眾對於「自行安裝」App須提高對資安風險意識及警覺性,不強行取得根管理者(root)權限或越獄(JB)、不瀏覽可疑網站、不連接可疑Wi-Fi接取點。定期更新密碼、更新軟體程式及備份資料、關閉未使用的Wi-Fi/藍牙/NFC等介面、連接的Wi-Fi接取點要開啟加密防護、手機廢置前要刪除機敏資料。