Article / 文章中心

美规定漏洞公布需审查:现在才发现阿里云曾经犯的错误确实严重

发布时间:2022-06-21 点击数:3424

  对于任何一个软件系统来说,安全毫无疑问都是第一要素,一个系统哪怕处理速度再快、并发性再高,如果不能提供可靠的服务,那么再强的性能也将变得毫无意义。

 

 

前一段时间阿里云发生的瞒报事件想必大家都有所耳闻。12月9日突然曝出log4j2组件存在一个高危漏洞(漏洞编号:CVE-2021-44228),通过这一漏洞将可以对目标计算机实施远程控制并窃取上面的机密文件,因此对包括金融、医疗、公共事务在内的诸多领域产生了极为重大的威胁。

 

 

在漏洞曝出一天后的12月10日12点就已经发生了1万多起利用这个漏洞进行黑客攻击的行为。从造成的影响以及危害程度来说,这个漏洞可以说是有史以来最为严重的漏洞之一。威胁到了超过6万多个软件以及70%以上的线上业务系统。

 

阿里云瞒报LOG4J2漏洞

 

经过调查后发现,阿里云早在漏洞爆发前的11月24日就发现了这一高危漏洞,并将相关信息提交给美国阿帕奇软件基金会,但是却没有按照规定上报给国内工信部网络安全威胁和漏洞信息共享平台,因此也导致国内相关安全部门直到漏洞爆发之后才得到相关信息,使得大量的关键系统暴露在风险之下。

 

LOG4J2组件

 

作为国内云计算市场份额第一,全球市场份额第三的阿里云犯下这个错误无疑十分不应该。要知道云计算厂商的第一条准则就是遵守当地的法规,而阿里云作为一家国内厂商连自己国家的法规都无法遵守,那么在全球市场竞争的时候又如何去和亚马逊AWS、微软Azure进行竞争?

 

阿里云被暂停合作单位身份6个月

 

作为惩罚阿里云也遭到了暂停网络安全威胁信息共享平台合作单位资格6个月的惩罚。阿里云的问题在于明明身为合作单位却没有足够的安全意识和责任心,这种发现漏洞却不报告的行为无疑让阿里已经失去了作为网络安全威胁信息共享平台合作单位的资格。

 

 

当时在阿里遭到惩罚之后,很多人还为阿里鸣不平,认为对阿里的惩罚太重了。但是最近发生的一件事情却让人发现原来对于阿里云的惩罚很有先见之明。

 

出口管制规定名单

 

美国商务部工业和安全局(BIS)在近期正式发布了针对网络安全领域的最新的出口管制规定,这份规定按照限制的程度将全球国家分为A、B、C、D、E五类,中国就被划分至D类——在国家安全、生化、导弹技术、武器禁运等相关领域,美企在发送相关漏洞的信息情报之前必须提前申请,在获得批准之后才能够发送漏洞等相关信息。

 

 

这项规定对于我们的信息安全无疑将构成巨大的威胁。例如log4j2组件的高危漏洞影响范围很大,如果按照最新的出口管制规定,那么很有可能需要经过长时间的申请之后才能获准披露,甚至也有申请失败的可能性。这样就会导致我们很多的关键领域暴露在漏洞之下,存在着消息丢失和被窃取的风险。

 

美商务部

 

此时才发现对于阿里云的重罚确实有意义,也为其他企业划定了底线。随着漏洞情报也成为管制内容的一环,对于我们的国家安全信息也必须提出更高的要求。一旦发现漏洞应该先向国内的安全平台报告,然后再着手分享和修复等事宜,这样才能防止部分漏洞被控制而造成进一步的损失。

 

 

当然阿里云的功绩也不能否定,但功劳是功劳,过错是过错。也希望在这一次的安全事件以及美发布最新的出口管制规定之后,阿里能够迷途知返,为国家的信息安全系统做出更多的贡献。