12月22日,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。
据了解,阿里云发现了阿帕奇(Apache)Log4j2组件严重安全漏洞,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
频繁被爆出安全问题,很有可能让阿里云错失「政务云」这个在云计算领域最具增长潜力的细分市场。
在云计算市场,阿里云赢了“一晚上”,但很有可能最后一把全输进去。这还真不是危言耸听。
阿里云发现重大安全漏洞先报美国,未及时通报工信部,会带来什么后果?
1
最近阿里集团不太平……
看到一则新闻,说工信部网络安全管理局发出一项通报,要求阿里云进行为期六个月的整改。
这六个月内,阿里云被取消了工信部网络安全威胁信息共享平台合作单位资格。六个月后,工信部会根据整改情况,研究是否恢复其资格。
咋回事呢?
其实我记得不久前,还在夸阿里云,说阿里云立功了,发现了一个可能是计算机历史上最大的漏洞。
工信部一直被蒙在鼓里,直到后来奥地利和新西兰的计算机小组对这一漏洞发出了预警,工信部这才知道。
阿里云发现漏洞是在11月24日,而工信部得知情况,是在12月9日,中间已经过了15天。关键是工信部最后还是因为第四方满世界嚷嚷才知道的。
这十五天,中国的互联网简直是在裸奔。因为,已经有黑客掌握了这个漏洞,已经在利用这个漏洞进行网络攻击。
2
阿里云到底冤不冤?
这一次,阿里云到底冤不冤?
「冤!太冤了!处罚得太轻了。」这是很多网友对于这件事的评价。
据悉,11月24日,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j漏洞邮件。在12月7日,Apache官方发布了针对此漏洞的补丁版(log4j-2.15.0-rc1),但这个补丁版并没能起到多大的作用。12月9日,有程序员发现,网络中出现了大量利用此漏洞的攻击行为。
全世界都闹得沸沸扬扬了,工信部才知道这个漏洞,并立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。
有网友表示,阿里云早在半个月前就发现了这个「核弹级的漏洞」,但却一直没有上报给工信部。
在此之前,我国对网络漏洞的处理方式和流程已做出具体要求。《网络安全法》第二十五条规定:“网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。”
“国家对网络漏洞管理进行强监管的背景是,关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来,阿里云此次被罚并不冤,作为中国最大的云服务商,合规意识如此薄弱,的确不应该。
3
危害堪比“永恒之蓝”
“互联网破了个洞。”一家安全媒体对此次ApacheLog4j漏洞的影响如此定义。
根据工信部12月17日发布的《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》介绍,阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发,被发现的漏洞是远程代码执行漏洞,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。
阿帕奇软件基金会将这一漏洞的严重性列为最高,有专家表示,漏洞波及面和危害程度均堪比2017年的“永恒之蓝”漏洞。当年,黑客团体公布了大批包括“永恒之蓝”在内的网络攻击工具,之后又有黑客将“永恒之蓝”改造成wannacry勒索病毒,一旦用户进行网络连接,不需要做任何操作就可以令攻击者植入远程控制木马、勒索软件、虚拟货币挖矿机等恶意程序。“永恒之蓝”的发生,对全球大型企业、机构政府产生了灾难性的打击。
12月9日消息传出后,安全圈“地震”,据说有安全人员被连夜叫回公司加班开发解决方案。
与此同时,黑客集团也在和白帽子赛跑。据奇安信介绍,12月9日深夜,仅一小时便收到白帽子提交的百余条该漏洞信息,到第二天10日中午12点,已发现近1万次利用该漏洞的攻击行为。
4
究竟会错失什么?
千里之堤,毁于蚁穴。
凭借先发优势,阿里云在国内云计算市场处于绝对的领先地位。根据IDC发布的2021年第一季度中国公有云市场数据显示,季度内IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额继续在国内云市场遥遥领先。
而根据阿里巴巴2021年第一财季财报,当季阿里巴巴云业务收入160.5亿元人民币,已连续第三个季度实现盈利。12月17日,阿里巴巴投资者日上,阿里云智能总裁张建锋表示,阿里云付费用户超过400万,其中62%为A股上市公司。
在发展初期,互联网公司成为了云计算市场的主要用户,这些用户也成就了阿里云如今的地位。但随着云计算的普及,未来云计算市场的增长重心已经开始向政务云和传统大型企业偏移。
根据Frost&Sullivan的报告,2019年云计算市场,互联网行业客户的份额占比降到了三分之一,中国政务云近年来实现高增长,政务云规模占比约为29%。
国务院发展研究中心预计,至2023年,我国政府和大型企业上云率将超过60%。而艾瑞咨询发布的《2020年中国政务云行业研究报告》预测,2023年政务云市场规模将达到1114.4亿元,年复合增长率为20.6%。
如此大的一块蛋糕谁也不想错过。而且,阿里云已经在政务云市场获得了不小的发展红利,根据阿里财报的解释,在截至3月31日的2021财年,阿里云50%的高增长得益于互联网、公共部门、金融客户的合力推动。
与其他网络服务不同的是,云计算服务的客户粘性相对非常大,用户一旦选择了服务商,就几乎不会更改。因为,客户跨云数据迁移的成本是巨大的。
为了抢夺增量,今年云厂商对于政务云的争夺也进入白热化阶段。为了拿下客户的第一单,从而形成强绑定,云计算厂商甚至不惜报出「0元标」和「1元标」。
在同行不惜「赔本也要赚吆喝」的时候,阿里云要在旁边看上半年,这样的损失是巨大的。而这一切,在最开始发现漏洞的时候,他们将问题上报给工信部,就完全可以避免。