阿里云未及時上報漏洞被工信部處罰 阿里云提示漏洞需要修復(fù)嗎
2023-08-25
更新時間:2023-08-25 18:03:05作者:佚名
工信部明文規(guī)定,不知道阿里云是忽略了還是無視掉了,在發(fā)現(xiàn)重大漏洞后未按照明確要求上報給上級主管部門,直接報給了外國開源組織基金會,就沒有然后了,半個月后,行業(yè)組織公布了安全報告,我們的主管部門才知道,漏洞危機(jī)下,全國裸奔2周。
最終,阿里云被管理部門重罰,暫停網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。
今天和大家聊一下,這個事到底咋回事?是什么性質(zhì)?對阿里云會產(chǎn)生什么影響。
如果是從事網(wǎng)絡(luò)安全相關(guān)的工作,一定在知道前段時間爆出的一個重大漏洞,阿帕奇(Apache)Log4j2組件安全漏洞,因為它的使用范圍太大了,漏洞被利用的后果也非常嚴(yán)重。
然而,真正的問題在于,這個漏洞是阿里云的一名安全工程師發(fā)現(xiàn)的。但阿里云直接將漏洞上報給了行業(yè)組織,應(yīng)不應(yīng)該上報?應(yīng)該。
但是,先不說你未按流程上報,你至少也得和主管部門通個氣吧?作為共享平臺合作單位,也應(yīng)該及時上報給國家的網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺,何況主管部門有明文規(guī)定,今年9月1日才開始實施的新政策。
要不然,我們國家建設(shè)這個平臺干嘛?阿里云作為合作單位,明明最早發(fā)現(xiàn),卻不說,這相當(dāng)于是對兄弟們的背刺,因為漏洞有除阿里云之外的其他人得知了。也就是說,在漏洞被修復(fù)前,很可能被其他人利用,況且還是個外國組織。那么同作為共享平臺合作單位的兄弟們裸奔了兩周,你至少告知一下嘛。
阿里云作為中國網(wǎng)絡(luò)安全威脅信息共享平臺合作單位,而且是重量級的,又是國內(nèi)遙遙領(lǐng)先的云公司,說它不知道有這個規(guī)定,我想是不可能的,但是卻直接無視掉了。
什么性質(zhì)呢?往小了說是阿里云員工疏忽了。往大了說,就是公司不重視上級管理部門的規(guī)定,同時也是阿里云內(nèi)部的管理問題,并非技術(shù)問題。反而,技術(shù)團(tuán)隊能首先發(fā)現(xiàn)嚴(yán)重漏洞,恰恰證明研發(fā)能力強(qiáng)。
上級管理部門的處罰內(nèi)容中,點(diǎn)名批評了直接向國外CVE報送的Log4j2漏洞的那個安全專家,卻沒有對安全研發(fā)人員做任何點(diǎn)名和批評,就可以看出來問題在哪。
阿里云的漏洞管理流程和上報機(jī)制是存在問題的,我并不清楚其內(nèi)部的具體規(guī)定,但是,阿里云這么大的企業(yè),應(yīng)該是有相應(yīng)評價體系的,也許就是發(fā)現(xiàn)的漏洞獲得某些組織的確認(rèn),便可以獲得某些激勵。
這叫什么?不重視,不當(dāng)回事。
對于阿里來說,這次的處罰還是會造成一定影響的。首要的就是客戶或者是意向客戶的流失,當(dāng)前的云市場競爭已經(jīng)非常激烈,阿里云雖然遙遙領(lǐng)先,但是華為云、騰訊云等其他云公司也在迅速增長。況且,當(dāng)前正處于逐步加強(qiáng)信息安全的敏感時期,國資云逐步成立。
阿里云被上級主管部門公開處罰,點(diǎn)名批評。一定會影響客戶的采購決策。
不過,因為這次漏洞影響范圍巨大,阿里云也是被當(dāng)作典型被通報了,剛剛實施了新政策,就往槍口上撞,正好也整頓一下國內(nèi)網(wǎng)絡(luò)安全方面的相關(guān)意識和流程。