一、【重要資安併購消息:2019.6.11-2019.7.10】
1.購併大鱷再出手!博通擬以150億美元收購賽門鐵克
全球科技業購併大鱷博通(Broadcom)近幾年動作頻頻,繼之前收購行動晶片大廠高通(Qualcomm)受阻,轉向收購企業軟體廠商組合國際(CA Technologies)之後,如今根據包括路透社在內的多家外媒報導表示,為了進一步提高公司的軟體業務獲利能力,博通計劃以150億美元(約新台幣4,700億元)收購資訊安全軟體公司賽門鐵克(Symantec)。相關報導指出,賽門鐵克目前是全球最大資訊安全軟體公司,但過去一年,由於CEO離職,消費者對安全軟體需求減弱,再加上公司接受金融調查等一系列問題,公司正面臨著營運上巨大的挑戰。報導引用知情人士的消息指出,博通可能會在未來幾週與賽門鐵克達成收購協議。但是,目前因為依然存在諸多未知因素,使得博通尚未正式公開與確認該項收購案。如果收購案達成,這將是博通繼 2018 年以189億美元收購組合國際後之後,第二次在軟體領域進行大規模投資。(詳見:https://pse.is/GJ72W)
二、【重要資安獲投事件:2019.6.11-2019.7.10】
然而近一個月(2019.6.11-2019.7.10)全球資安的獲投事件中,共有4件獲投金額在5,000萬美元以上的案件,分述如下:
1. KnowBe4#企業員工資安意識培訓#D輪3.0億美元
根據Datapro Research Corporation的資安調查,約有5成的資安事件是由人為失誤所造成,加上離職員工或內部犯罪所佔1成,人為因素造成資安事件所佔的比例高達6成。因此,如何訓練員工防範可能的資安陷阱,或建立資安評估機制,進而建立「真人防火牆」是相當重要的事項。
KnowBe4成立於2010年,總部位於佛羅里達,是一家快速發展的資訊安全意識及培訓平台廠商,為企業培訓員工的安全意識,教員工識別並遏阻潛在網路釣魚攻擊和其他安全威脅。KnowBe4的特色是課程範圍非常廣泛,內容涵蓋:郵件欺騙、信用卡詐欺、敏感資訊處理、勒索軟體防範、社會工程學攻擊、安全設置密碼、USB攻擊訓練。
KnowBe4資安評估與訓練課程實施分為四個步驟,首先是底線測試,通過免費的類比網路釣魚攻擊來評估員工遭到網路釣魚攻擊的比重。接著,企業進行安全意識的訓練,KnowBe4提供交互型的訓練方式,包括視頻、遊戲、海報和電子信推送。第三步是對用戶進行釣魚。KnowBe4提供全自動類比網路釣魚攻擊的服務,會向企業提供數百個無限使用的釣魚範本和來自社群的範本。最後一步是對釣魚測試的結果進行評估,KnowBe4會展示訓練和釣魚測試過程中的統計資訊和圖表,讓企業直觀感受到培訓帶來的效果。
2019年6月13日獲得由KKR領投的3億美元投資,現有投資者Elephant和TenEleven Ventures參投。2019年3月 KnowBe4才獲得KKR領投的5000萬美元C輪投資,本輪募資後,該公司的募資總額達3.93億美元。(詳見:https://pse.is/HT7VP)
(圖片來源:KnowBe4官網)
2. Druva#雲端SaaS資料安全、備份和管理解決方案#G輪1.3億美元#獨角獸
近年來,市場上數據外洩和惡意竊取數據的事件頻傳,使得數據安全產業飛速發展,IDC預測,截止2020年,企業在儲存和管理數據備份方面將投入550億美元,同時數據安全市場營收將達到80億美元。越來越多的企業將數據和計算轉移至雲端,催生多家雲端數據安全管理的新創企業,Druva就是其中一個抓住了風口,憑藉管理、保護IT資產在眾多競爭者脫穎而出者。
Druvas成立於2008年,總部位於美國加州,是一家提供SaaS數據安全、備份和管理解決方案的公司。在2019年6月19日宣布獲得了一筆1.3億美元G輪投資,由對沖基金公司Viking Global Investors領投,Neuberger Berman、Atreides Capital、Riverwood Capital、Tenaya Capital 、Nexus Venture Partners跟投,後三者曾於2017年投資Druv。本輪獲投後Druva的市值已經超過10億美元,年收入已經達到1億美元,公司下一步計劃是IPO。Druva也宣布將收購雲端數據管理公司CloudLanes,繼續加強其雲業務的服務能力。雲端數據安全的競爭對手相當多,Druva能獲得1.3億美元的融資,成為獨角獸公司,主要歸功於其管理層合理的運營模式和善於抓住市場機會。(詳見:https://pse.is/JDUUN)
(圖片來源:Druvas 官網)
3. Menlo Security #新一代網路隔離技術#D輪7,500萬美元
Menlo Security 成立於 2013 年的新創美國科技公司,總部位於加州Palo Alto,以獨創的 Isolation Platform 隔離平台技術,讓每個需要訪問的網頁瀏覽都是在雲端的容器中運作,完全的與本地系統隔離,協助企業阻絕各種威脅入侵的主要方法,提供100%安全的網路瀏覽,電子郵件和檔案下載,而且完全不會影響使用者上網體驗,讓終端使用者不需改變上網行為與操作習慣,就可以達到最高的安全等級,Gartner連續兩年將網路隔離定義為頂級安全技術。
Menlo Security在2019年7月9日宣布獲得D輪7,500萬美元投資,投資人有Sutter Hill Ventures、OUP (Osage University Partners) 、HSBC、American Express Ventures、Engineering Capital、General Catalyst與J.P. Morgan Asset Management,陣容堅強。成立迄今,歷經6輪投資,總募資金額1.6億美元。(詳見:https://pse.is/F5TVP)
(圖片來源:Menlo Security 官網)
4. SecurityScorecard #智慧雲端威脅偵測與反擊服務#E輪1.0億美元
SecurityScoreCard是一家網路風險評估監控平台,2013年成立於美國紐約,其能從一個駭客的角度去辨識企業雲端系統的薄弱點,幫助組織監控主要的網路風險。同時,該平台也會尋找客戶合作的第三方供應商,從它們的角度尋找系統的薄弱點。SecurityScorecard利用A到F的評級幫助客戶瞭解哪些是最緊急的薄弱點,並評估他們和供應商的合作關係。如果一家公司的供應商獲得的評價是F,這就意味著它的系統很容易被攻破,所以公司最好考慮換一家合作伙伴。SecurityScoreCard是目前唯一一家為超過100萬家公司提供網路安全評級的提供商,服務的客戶遍及業界。
SecurityScoreCard在2019年6月13日宣布獲得D輪5,000萬美元投資,由Riverwood Capital領投,Evolution Equity Partners、AXA Venture Partners、Intel Capital、Two Sigma Ventures與Accomplice跟投(詳見:https://pse.is/HLXNV、http://tinyurl.com/y4q4vc2a)
(圖片來源:Vectra AI官網、John Breeden II/IDG)
三、【重要資安攻擊事件:2019.5.11-2019.6.10】
以下以iThome、科技新報、Techorange的新聞與報導為參考來源,整理全球最近一個月重要資安事件與消息。
1.銓敘部遭駭?超過20萬名中央及地方公務官員個資外洩
掌理全國公務人員人事制度的銓敘部,在其官方網站上發出個資外洩通知公告。在6月22日接獲外部情資,進而得知有國外網站揭露了銓敘部所掌理擁有的59萬筆個人資料。從影響範圍來看,目前銓敘部已經公布個資外洩範圍,包括2005年到2012年6月底的中央及地方機關公務人員送審人員歷史資料,實際影響人數的資料為243,376筆,其中的資訊包含身分證字號、姓名、服務機關、職務編號與職稱。目前,銓敘部也已經依照資通安全管理法,向行政院國家資通安全會報技術服務中心進行資安事件通報。(詳見:https://pse.is/JNYUC)
2.視訊軟體 Zoom 被爆能讓不相干人等開鏡頭偷聽
不少家公司靠 Zoom 開視訊會議,打破距離透過網路開會溝通。如今傳出 Zoom Mac 程式有零時差漏洞,有高達 400 萬隻 Webcam 能被遠端開啟,共 750,000 家 Zoom 的企業用戶受到影響。資安專家 Jonathan Leitschuh 在 Medium 發文警告 CVE-2019–13449 漏洞,指出該漏洞能允許人不斷進來視訊會議,進行 DDoS 攻擊,更糟的是移除 Mac 程式,由於仍留有 localhost,能夠在不知不覺之下,重新安裝 Zoom。前者的漏洞已修復,但後者仍然沒有。(詳見:https://pse.is/J387B)
3.中國製無人機遭美國會盯上,擬禁軍方採購
華爾街日報7月7日報導,美國參議院上週通過的「國防授權法案」(National Defense Authorization Act,簡稱 NDAA),將禁止美軍使用中國製無人機,而這項法案的眾議院版本則會禁止軍方採用外國的無人機,預計7月稍晚投票表決。議員擔憂,這些無人機可能會將敏感資訊傳給中國政府或駭客,以利他們進行網路攻擊。中國大疆創新科技(SZ DJI Technology Co Ltd)靠著低價優勢、無人機市占率持續擴大。位於馬里蘭州的安德魯斯空軍基地,6月26日才剛公布了大疆無人機採購案。消費者用無人機製造商 Skydio Inc. 執行長 Adam Bry 說,美國製造的競爭力並未落後太多,只要敲定合適的供應鏈、原材料及零組件,對其他業者而言,拷貝的難度將非常高。(詳見:https://pse.is/JK6W5)
4.GDPR上路後最嚴厲處分!英航遭重罰年營收1.5%高達1.8億英鎊
去年9月發生網站和行動app遭駭導致大批旅客信用卡及個資外洩的英國航空,周一因違反歐盟個資法GDPR,遭英國主管機關重罰1.83億英鎊(約64億元)。比先前Google遭重罰5千萬歐元(約台幣7億元)高了好幾倍。(詳見:https://pse.is/J4ZJZ)
參考來源:科技新報、iThome(林秀英摘要整理)