工信部重罰阿里云!安全漏洞先報美國,阿里第二大發動機熄火
點擊: 作者:飛翔的月月鳥 來源:科技每日推送 微信號 發布時間:2021-12-25 10:13:44
阿里云發現的核彈級漏洞,第一反應報給了國外。過了半個月,工信部看新聞才知道......
12月22日,工業和信息化部網絡安全管理局通報稱,阿里云公司發現阿帕奇(Apache)Log4j2組件嚴重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網絡安全威脅和漏洞管理。
經研究,現暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據阿里云公司整改情況,研究恢復其上述合作單位。
簡單來說,阿里云技術非常好,率先發現了個核彈級的Log4j2漏洞,并且第一時間上報到國外Apache。
美國確實有有數千枚核彈,但不一定有數千個這樣的漏洞!
而我們國家,要通過公開新聞,才知道上述漏洞。而那時候,距離阿里云首次發現漏洞,已過去了15天。
01
阿里云發現了個核彈
11月24日,阿里云安全團隊,向Apache報告了Apache Log4j2遠程代碼執行(RCE)漏洞。
一時間,這個高危漏洞,引發全球網絡安全震蕩!
美國國家安全局、德國電信CERT、中國國家互聯網應急中心(CERT/CC)等,多國安全機構,相繼發出警告。
目前,包括蘋果、亞馬遜、特斯拉、谷歌、百度、騰訊、網易、京東、Twitter、 Steam等平臺服務器,都證實了,有被攻擊的風險。
已經有網友證實,更改iPhone名稱,就可以觸發漏洞。。。
有關報道顯示,黑客在72小時內利用Log4j2漏洞,向全球發起了超過84萬次的攻擊。
利用這個漏洞,攻擊者幾乎可以獲得無限的權利。
比如他們可以提取敏感數據、將文件上傳到服務器、刪除數據、安裝勒索軟件、或進一步散播到其它服務器。
有業內人士戲稱,這個漏洞可以參選:“計算機歷史上最大的漏洞”。
02
為什么阿里云先報告給國外?
卻遺忘了,上報給工信部?
根據工信部這次重錘阿里云的通報,有兩個重點:
1、并沒有禁止阿里云,向產品供應方Apache通報漏洞。
2、對阿里云未及時向電信主管部門報告。
工信部在意的是太遲報告了!阿里云報告給了apache,反饋給開源社區沒問題,但是只反饋給開源社區那問題就大了。
網絡安全漏洞,打的就是時間差。我們順下時間,大家知道問題有多嚴重。
11月24日,阿里云安全團隊發現漏洞,報告給了Apache。
12月7日,Apache官方發布了安全補丁,可并沒有多大作用。
12月9日,漏洞已經“完全武器化”,網絡上出現大量利用漏洞的攻擊行為。
到了這時候,工信部才知道,立即組織有關網絡安全專業機構開展漏洞風險分析,召集阿里云、網絡安全企業、網絡安全專業機構等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業單位進行風險預警。
直到12月10日凌晨,斗魚、京東、網易等企業才相繼發出了公告。
中間足足17天時間,我們的某些科研院所,或者核心位置,是否一直暴露在危險范圍內呢?
這17天,如果利用漏洞發起攻擊,影響的范圍將堪比2017年“永恒之藍”病毒。
當年的WannaCry勒索病毒,致使美國、英國、俄羅斯、中國等至少150個國家,30萬名用戶中招。
有心人,完全可以利用這個公布漏洞的時間差,來做很多以前做不到,或難以做到的事,后果不堪設想。
作為阿里云,有沒有責任?
03
阿里云
讓人失望的合作方
阿里云和國家信安部是合作方,乙方發現了個漏洞,可能會危害甲方,第一時間提醒下甲方,這要求不過份吧?
而這次,阿里云似乎忘了。
要知道,這不單是工程倫理問題,也是個國家安全問題。
根據工業和信息化部 、網信辦、公安部《關于印發網絡產品安全漏洞管理規定的通知》,明確規定。
關于漏洞的規定是:應立即通知產品提供者,應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。
也就是說,發現漏洞,你當然可以通知Apache,但同時也應該要通報給工信部。
成年人能不做選擇,兩個都上報啊,中間完全沒有難度。
但阿里這次半個月都不上報,漏洞還得工信部自己看新聞發現,也難怪工信部,重錘處罰阿里云了。
阿里巴巴美股股價,盤前跳水,跌約3.81%。
04
海外擴張中的阿里云
阿里2021投資者日上,董事會主席兼首席執行官張勇表示,海外市場潛力巨大,海外業務增長迅速,并將其確定為阿里未來幾年的主要增長動力之一。
張勇認為,全球市場的拓展離不開數字基礎設施建設,阿里云在海外市場的產業數字化探索、螞蟻在海外支付的多年投入,這些都將長期支持未來全球化戰略的發展。
阿里云智能總裁張建鋒表示:阿里云正在加速拓展海外市場,東南亞市場的營收增長超60%。
張建鋒透露:
我們的服務團隊、解決方案團隊在逐漸實現本地化,這是我們在國際化過程中非常重要的一步。
這阿里云通報漏洞,或許也應該是本地化的一部分吧?
據公開數據,阿里云在馬來西亞、新加坡、印尼、菲律賓、日本、德國、迪拜、美國等25個地域建立了數百座云數據中心,付費客戶數量超過400萬。
05
阿里的第二個新引擎
根據阿里發布財報顯示,2021財年,阿里云營收達601.2億元,比上一財年400億元收入大幅增長50%。
對比歷史數據,2015財年,阿里巴巴首次披露云計算營收,當年阿里云全年收入為12.71億元,到2021財年營收601.2億元,7年間增長46倍。
其中,阿里云深耕政企服務市場,政企行業收入占比持續上升。
據IDC數據,阿里云在工業云市場、數字政府市場、金融云市場均排名市場第一。
此前 Canalys 發布中國云計算市場 2021 年第三季度報告顯示,阿里云、華為云、騰訊云和百度智能云依舊占據市場第一梯隊,其中阿里云市場份額排名第一。
06
一鯨落,萬物生。
而顯然,此次被工信部暫停信息共享平臺合作,顯然會對阿里云的營收和市場份額,造成一定的影響。
我們無法知道阿里云怎么想的,但是他至少可以看看他怎么做的。雖然截稿前,月月鳥還沒看到,阿里云的回應。
犯錯要認罰,認罰要誠懇。
云服務,看來注定是個分散的市場,需要隨時有隨時替補的廠商。互聯網野蠻生長的終點近在眼前。一鯨落,萬物生。
華為云、騰訊云、電信都是有力的候選,云市場的競爭將不斷升級。
綜合自中國日報
來源:科技每日推送微信號
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 我為中國夢獻一策 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
圖片新聞
