频繁被爆出安全问题,很有可能让阿里云错失在云计算领域最具增长潜力的细分市场。

 

阿里云未按规定上报漏洞被罚

 

7月13日,工信部、国家网信办、公安部印发《网络产品安全漏洞管理规定》,要求任何组织或者个人设立的网络产品安全漏洞收集平台,应当在两日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。该规定自2021年9月1日起施行。

 

之前发现这样的漏洞都是直接通知软件开发方,这确实属于行业惯例,但是《网络产品安全漏洞管理规定》出台后,要求漏洞要同时通报给国家主管部门。

 

阿里云员工在11月24 日发现了Apache Log4j系统漏洞,按照惯例反馈给了软件开发商阿帕奇软件基金没有什么问题;问题出现在没有按照今年九月份工信部和阿里云、腾讯云等厂家签署的《网络产品安全漏洞管理规定》,在两日内将发现的网络危害漏洞上报给相关部门进行预警处理。

 

11月24日,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。

 

在12月7日,Apache官方发布了针对此漏洞的补丁版(log4j-2.15.0-rc1),但这个补丁版并没能起到多大的作用。

 

一直到12月9日相关部门才得知这一高危漏洞存在,意味着在这十几天时间内,外国公司是知晓漏洞存在,而咱们不知道,只是咱们处于被海外企业窃取信息的风险中。

 

12月22日,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。

 

 

在云计算市场或全输进去

 

阿里云发现隐患后,没有第一时间上报工信部,而是选择将这个漏洞先告诉了国外机构。

 

具体有没有造成危害不清楚,由于阿里云未按规定上报漏洞,工信部对其处以了暂停合作六个月的处罚,后续是否恢复合作要看阿里云整改情况所定。

 

阿里云早期未意识到问题的严重性,没及时共享漏洞。后续阿里云会加强漏洞管理,提高合规意识,协助各方做好防护工作。

 

其次,现阶段正在合作的项目可能也会暂停。

 

最后,阿里云名声大跌,后续企业寻找合作对象,阿里云可能会被排除在外,一些续约客户可能也不会再合作。

 

千里之堤,毁于蚁穴

 

凭借先发优势,阿里云在国内云计算市场处于绝对的领先地位。

 

根据IDC发布的2021年第一季度中国公有云市场数据显示,季度内IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额继续在国内云市场遥遥领先。

 

而根据阿里巴巴2021年第一财季财报,当季阿里巴巴云业务收入160.5亿元人民币,已连续第三个季度实现盈利。

 

而在阿里云之前的企业,分别是亚马逊云和微软云。由此也能得出,阿里云在国内是排名第一的。

 

但与其他网络服务不同的是,云计算服务的客户粘性相对非常大,用户一旦选择了服务商,就几乎不会更改。

 

就在这个关键时间节点,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月,无疑会错过政务云市场发展最为关键的半年。

 

 

Apache Log4j RCE漏洞潜在危害性极大

 

log4j漏洞发现者恐怕发现漏洞时对这个漏洞认识不足,这个应用的范围以及漏洞触发路径。

 

一直到阿里云上报完漏洞,恐怕漏洞发现者都没完全明白这个漏洞的真正严重性,有可能当成了Apache下一个普通插件的一个漏洞。

 

业界的开源条例遵循的是《负责任的安全漏洞披露流程》,这份文件将漏洞披露分为5个阶段,依次是发现、通告、确认、修复和发布。

 

据悉,Log4j2是开源社区阿帕奇旗下的开源日志组件,被全世界企业和组织广泛应用于各种业务系统开发。

 

Log4j2组件出现安全漏洞主要有两方面影响:

一是Log4j2本身在Java类系统中应用极其广泛,全球Java框架几乎都有使用。

二是漏洞细节被公开,由于利用条件极低几乎没有技术门槛。

 

简单来说,就是这一漏洞可以让网络攻击者无需密码就能访问网络服务器,这一漏洞可能是近年来发现的最严重的计算机漏洞。

 

结尾:

 

阿里的的确确在这两年时间里存在着很多的问题,但好在他们的认错态度非常的好,在问题发现之后他们都积极参与改正。

 

而云计算业务作为未来的主体方向,有了阿里云这次的事件之后,后续也能够制定更好的漏洞报告机制,也能够为国内的网络安全威胁信息共享平台做出相应的调整。

 

 

作者 | 方文

 

部分资料参考:

功夫财经:《发现问题先报美国,阿里云捅了一个天大的篓子!》

新京报:《导致阿里云被暂停合作的漏洞 究竟是什么?》

智在财经科技:《中国第一、全球第三,阿里云却出现安全漏洞,被工信部暂停合作》

财经网:《阿里云被处罚,到底冤不冤》