侵權(quán)投訴
訂閱
糾錯
加入自媒體

被工信部“處罰”,阿里云做錯了什么?

來源 | 零壹財經(jīng)

作者 | 沈拙言

12月22日,一條“阿里云被暫停其工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位身份”的消息突如其來,在網(wǎng)絡(luò)安全早已成為國家戰(zhàn)略的背景下,此事引發(fā)諸多熱議。

據(jù)工信部網(wǎng)絡(luò)安全局通報,阿里云計算有限公司(以下簡稱“阿里云”)作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位,在發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,未及時向電信主管部門報告,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,現(xiàn)暫停阿里云公司作為上述合作單位6個月。暫停期滿后,根據(jù)阿里云公司整改情況,研究恢復(fù)其上述合作單位。

log4j 2是一款基于 Java 研發(fā)的開源日志監(jiān)控組件,是全球范圍內(nèi)Java全生態(tài)的基礎(chǔ)組件之一,一旦出現(xiàn)嚴(yán)重安全漏洞隱患,對全球網(wǎng)絡(luò)安全的危害巨大。阿里云作為該漏洞的發(fā)現(xiàn)者,顯示了其強大的技術(shù)能力,將漏洞情況告知阿帕奇官方,也是網(wǎng)絡(luò)安全與漏洞管理工作中的巨大貢獻(xiàn)。但在網(wǎng)絡(luò)安全問題升級,國內(nèi)《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》已經(jīng)施行的背景下,卻未及時將此上報電信主管部門,以致工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺通過公開渠道,收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告后,才得知這一漏洞,故而有此“暫停相關(guān)合作單位”的處罰。

23日,阿里云做出情況說明:阿里云早期未意識到該漏洞的嚴(yán)重性,未及時共享漏洞信息。阿里云將強化漏洞管理、提升合規(guī)意識、積極協(xié)同各方做好網(wǎng)絡(luò)安全風(fēng)險防范工作。

log4j 2組件因其通用性、簡易型和強功能性,被廣泛用于各類JAVA開源系統(tǒng)中,這一組件上的漏洞被稱為“核彈級漏洞”,引發(fā)全球范圍內(nèi)科技企業(yè)的自查與修補。

一句老生常談的話不得不再次提及:安全無小事,信息時代的網(wǎng)絡(luò)安全更甚。

“處罰事件”的來龍去脈

先來梳理一下本次安全漏洞時間及解決方案響應(yīng)的時間線。

2021年11月24日,阿里云安全團隊發(fā)現(xiàn)阿帕奇log4j 2遠(yuǎn)程代碼執(zhí)行漏洞,該組件中某些功能存在遞歸解析,攻擊者可直接構(gòu)造惡意請求,觸發(fā)遠(yuǎn)程代碼執(zhí)行漏洞,并向阿帕奇官方報告了這一漏洞。

12月9日,工信部網(wǎng)絡(luò)安全管理局通告,工信部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)報告,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞。召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業(yè)單位進(jìn)行風(fēng)險預(yù)警。

從漏洞的發(fā)現(xiàn)到工信部的獲悉,中間有漫長的十五天,作為電信主管部門的工信部才得知這一基于Java生態(tài)開源系統(tǒng)中的巨大漏洞。

同日,阿帕奇官方發(fā)布Log4j 2.15.0-rc1版本的緊急更新。這意味著,軟件廠商經(jīng)過測試、評估、解決方案的設(shè)計等流程,依舊用了十五天時間發(fā)布了緊急安全更新。

隨后,關(guān)于阿帕奇Log4j2組件漏洞的補丁修復(fù)問題,引發(fā)全球技術(shù)領(lǐng)域的熱議。

次日,中國國家信息安全漏洞共享平臺收錄Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞。阿里云在官網(wǎng)公告披露,安全團隊發(fā)現(xiàn)Apache Log4j 2.15.0-rc1版本存在漏洞繞過,要求用戶及時更新版本,并向用戶介紹該漏洞的具體背景及相應(yīng)的修復(fù)方案。

12月14日,中國國家信息安全漏洞共享平臺發(fā)布《Apache Log4j2遠(yuǎn)程代碼執(zhí)行漏洞排查及修復(fù)手冊》,供相關(guān)單位、企業(yè)及個人參考。

12月17日,工信部發(fā)布《關(guān)于阿帕奇Log4j2組件重大安全漏洞的網(wǎng)絡(luò)安全風(fēng)險提示》。

12月22日,工信部通報暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。

至此,時間線收束,技術(shù)問題成功出圈,引發(fā)巨大關(guān)注。監(jiān)管層面,阿里云受到處罰,而技術(shù)層面的全球風(fēng)暴仍在肆虐。

阿里云為什么受到“處罰”?

根據(jù)9月1日施行的《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》第五條規(guī)定,網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運營者和網(wǎng)絡(luò)產(chǎn)品安全漏洞收集平臺應(yīng)當(dāng)建立健全網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道并保持暢通。

第七條規(guī)定,網(wǎng)絡(luò)產(chǎn)品提供者應(yīng)當(dāng)履行下列網(wǎng)絡(luò)產(chǎn)品安全漏洞管理義務(wù),確保其產(chǎn)品安全漏洞得到及時修補和合理發(fā)布,并指導(dǎo)支持產(chǎn)品用戶采取防范措施:

(一)發(fā)現(xiàn)或者獲知所提供網(wǎng)絡(luò)產(chǎn)品存在安全漏洞后,應(yīng)當(dāng)立即采取措施并組織對安全漏洞進(jìn)行驗證,評估安全漏洞的危害程度和影響范圍;對屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者。

(二)應(yīng)當(dāng)在2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。報送內(nèi)容應(yīng)當(dāng)包括存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本以及漏洞的技術(shù)特點、危害和影響范圍等。

(三)應(yīng)當(dāng)及時組織對網(wǎng)絡(luò)產(chǎn)品安全漏洞進(jìn)行修補,對于需要產(chǎn)品用戶(含下游廠商)采取軟件、固件升級等措施的,應(yīng)當(dāng)及時將網(wǎng)絡(luò)產(chǎn)品安全漏洞風(fēng)險及修補方式告知可能受影響的產(chǎn)品用戶,并提供必要的技術(shù)支持。

工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺同步向國家網(wǎng)絡(luò)與信息安全信息通報中心、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心通報相關(guān)漏洞信息。

《網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定》明確了網(wǎng)絡(luò)產(chǎn)品提供者、網(wǎng)絡(luò)運營者,以及從事漏洞發(fā)現(xiàn)、收集、發(fā)布等活動的組織或個人等各類主體的責(zé)任和義務(wù),也鼓勵各類主體發(fā)揮各自技術(shù)和機制優(yōu)勢開展漏洞發(fā)現(xiàn)、收集、發(fā)布等相關(guān)工作。

而阿里云在發(fā)現(xiàn)Log4j2組件的漏洞后,及時告知了阿帕奇官方,符合了“對屬于其上游產(chǎn)品或者組件存在的安全漏洞,應(yīng)當(dāng)立即通知相關(guān)產(chǎn)品提供者”的要求,卻沒有在規(guī)定的2日內(nèi)向工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息,以致后者通過公開渠道才得知漏洞信息。

至于處罰為什么是暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月?所懲戒的顯然是阿里云作為網(wǎng)絡(luò)安全威脅信息共享平臺合作單位的失職。網(wǎng)絡(luò)安全威脅信息共享平臺合作單位,顧名思義,意為實現(xiàn)網(wǎng)絡(luò)安全威脅的及時共享功能而存在,可保持網(wǎng)絡(luò)產(chǎn)品安全漏洞信息接收渠道的暢通無阻。而阿里云在此次事件中沒有利用起這份共享和溝通機制。

此外,網(wǎng)絡(luò)安全威脅信息共享平臺也是維持相關(guān)企業(yè)良性發(fā)展的重要平衡點。健康生態(tài)與暢通交流機制主導(dǎo)下,相關(guān)企業(yè)理應(yīng)主動報告、主動共享漏洞信息,杜絕以漏洞獲利、漏報乃至刻意隱瞞等惡劣行為的出現(xiàn)。

底層組件漏洞引發(fā)全球網(wǎng)絡(luò)安全地震

事態(tài)的失控程度,遠(yuǎn)超所有人的想象。

據(jù)報道,前 Log4j 開發(fā)者、現(xiàn)阿帕奇基金會副總裁Christian Grobmeier 表示,當(dāng)他第一次得知這一消息時非常震驚:“蘋果參與其中、Twitter 也會受到影響,然后我才意識到居然有這么多人在使用它:基本上是半個世界,甚至更多,這太瘋狂了!

Java作為取C++精華、棄C++弊端的編程頂級語言,在企業(yè)級軟件開發(fā)領(lǐng)域活躍了26年,其基礎(chǔ)組件出現(xiàn)漏洞,無外乎外媒稱其為“核彈級”。

據(jù)以色列網(wǎng)絡(luò)安全解決方案提供商 Check Point統(tǒng)計,在 Apache Log4j 2 漏洞發(fā)現(xiàn)早期的 12 月 10 日,黑客嘗試?yán)迷撀┒催M(jìn)行攻擊的次數(shù)僅有幾千次,但這一數(shù)據(jù)在隔天卻增至 4 萬次。而截至 Check Point 發(fā)布該報告,即漏洞爆發(fā) 72 小時后,僅 CPR 傳感器捕捉到利用該漏洞嘗試攻擊的行為就已超過 83 萬次。令人震驚的遠(yuǎn)不止攻擊頻率,攻擊方式也在發(fā)生著變化:基于該漏洞的新變種也在短時間內(nèi)迅速衍生,截至統(tǒng)計之時,攻擊變種已超過60種。

Check Point 認(rèn)為此次 Apache Log4j 2 漏洞具備“網(wǎng)絡(luò)流行病”的特征——迅速傳播毀滅性攻擊。Check Point 表示:“它顯然是近年來互聯(lián)網(wǎng)上最嚴(yán)重的漏洞之一,其潛在危害是無法估量的。

一個漏洞的公布背后,是開發(fā)者補丁更新與黑客漏洞攻擊的時間賽跑。全球范圍內(nèi)受攻擊的單位級別也迎來新高。

據(jù)比利時 VRT 新聞報導(dǎo),比利時國防部承認(rèn)他們遭受了嚴(yán)重的網(wǎng)絡(luò)攻擊,該攻擊基于Apache Log4j 相關(guān)漏洞。強烈的網(wǎng)絡(luò)攻擊導(dǎo)致比利時國防部的一些活動癱瘓,如電子郵件系統(tǒng)就已經(jīng)停機數(shù)日。

綜合相關(guān)報道,各國均對Apache Log4j漏洞采取措施:美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)命令所有聯(lián)邦民事機構(gòu)“必須在圣誕節(jié)前修補好與 Log4j 相關(guān)的系統(tǒng)”。新加坡網(wǎng)絡(luò)安全局 (CSA) 也與關(guān)鍵信息基礎(chǔ)設(shè)施 (CII) 部門針對 Log4j 漏洞舉行緊急會議,并發(fā)布漏洞的警示公告,密切關(guān)注漏洞發(fā)展。

視線回到國內(nèi),根據(jù)Check Point數(shù)據(jù),相對其他國家而言,中國受 Apache Log4j 2 漏洞影響相對較小:即便在漏洞爆發(fā)高峰期,也只有近 34% 的企業(yè)受到波及。但占比少的背后是我國龐大的企業(yè)基數(shù),再小占比的安全影響也不可忽視。

據(jù)GitHub統(tǒng)計,2020年新增了1600萬開發(fā)者用戶,預(yù)計2025年開發(fā)者用戶數(shù)將達(dá)到1億,而中國開發(fā)者數(shù)量及貢獻(xiàn)度增長已成為全球最快,預(yù)測到2030年,中國開發(fā)者將成為全球最大的開源群體。

而log4j 2這款開源日志監(jiān)控組件的漏洞,會對全球最大的開源群體研發(fā)的軟件造成毀滅性打擊,除了黑客,沒有人希望看到大規(guī)模的軟件劫持和勒索病毒的出現(xiàn)。

開源意為開放源代碼,最大的特點在于開放,開放帶來巨大便利的同時也能帶來巨大的風(fēng)險。log4j 2漏洞的出現(xiàn),給全球軟件開發(fā)者、使用者敲響警鐘,理應(yīng)充分認(rèn)識任何漏洞尤其是底層組件漏洞所隱含的巨大安全威脅,引以為戒。

安全漏洞不可能最后一次出現(xiàn),人在常規(guī)情況下也不應(yīng)該掉到同一個坑里。

聲明: 本文由入駐維科號的作者撰寫,觀點僅代表作者本人,不代表OFweek立場。如有侵權(quán)或其他問題,請聯(lián)系舉報。

發(fā)表評論

0條評論,0人參與

請輸入評論內(nèi)容...

請輸入評論/評論長度6~500個字

您提交的評論過于頻繁,請輸入驗證碼繼續(xù)

暫無評論

暫無評論

    安防 獵頭職位 更多
    文章糾錯
    x
    *文字標(biāo)題:
    *糾錯內(nèi)容:
    聯(lián)系郵箱:
    *驗 證 碼:

    粵公網(wǎng)安備 44030502002758號