阿里云發(fā)現(xiàn)隱患后,沒(méi)有第一時(shí)間上報(bào)工信部�,而是選擇將這個(gè)漏洞先告訴了國(guó)外機(jī)構(gòu)。
在云計(jì)算市場(chǎng)���,阿里云贏了一晚上��,但很有可能最后一把全輸進(jìn)去����。這還真不是危言聳聽(tīng)。在同行不惜「賠本也要賺吆喝」的時(shí)候���,阿里云要在旁邊看上半年�����,這樣的損失是巨大的��。阿里云�����,又出事兒了……
12月22日�,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱(chēng)�,阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月。
據(jù)了解�����,阿里云發(fā)現(xiàn)了阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞�����,該漏洞可能導(dǎo)致設(shè)備遠(yuǎn)程受控,進(jìn)而引發(fā)敏感信息竊取�����、設(shè)備服務(wù)中斷等嚴(yán)重危害����,屬于高危漏洞。然而����,阿里云發(fā)現(xiàn)隱患后���,沒(méi)有第一時(shí)間上報(bào)工信部�����,而是選擇將這個(gè)漏洞先告訴了國(guó)外機(jī)構(gòu)��。
事實(shí)上�����,這已經(jīng)不是阿里云今年第一次出現(xiàn)「安全問(wèn)題」�����。今年8月�����,一份浙江省通信管理局對(duì)投訴人的答復(fù)函自網(wǎng)絡(luò)流出��,稱(chēng)此前阿里云計(jì)算有限公司未經(jīng)用戶同意�,擅自將用戶留存的注冊(cè)信息泄露給第三方合作公司。隨后����,浙江省通信管理局相關(guān)負(fù)責(zé)人向媒體確認(rèn)了此事的真實(shí)性。頻繁被爆出安全問(wèn)題��,很有可能讓阿里云錯(cuò)失「政務(wù)云」這個(gè)在云計(jì)算領(lǐng)域最具增長(zhǎng)潛力的細(xì)分市場(chǎng)��。在云計(jì)算市場(chǎng)�����,阿里云贏了“一晚上”�����,但很有可能最后一把全輸進(jìn)去。這還真不是危言聳聽(tīng)��。
01 阿里云到底冤不冤��?
這一次����,阿里云到底冤不冤?「冤����!太冤了!處罰得太輕了�����?��!惯@是很多網(wǎng)友對(duì)于這件事的評(píng)價(jià)。據(jù)悉���,11月24日��,阿里云安全團(tuán)隊(duì)于11月24日向阿帕奇軟件基金會(huì)提交了Log4j 漏洞郵件���。在12月7日��,Apache官方發(fā)布了針對(duì)此漏洞的補(bǔ)丁版(log4j-2.15.0-rc1)�,但這個(gè)補(bǔ)丁版并沒(méi)能起到多大的作用�����。12月9日��,有程序員發(fā)現(xiàn)�,網(wǎng)絡(luò)中出現(xiàn)了大量利用此漏洞的攻擊行為。全世界都鬧得沸沸揚(yáng)揚(yáng)了����,工信部才知道這個(gè)漏洞,并立即組織有關(guān)網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)開(kāi)展漏洞風(fēng)險(xiǎn)分析�,召集阿里云、網(wǎng)絡(luò)安全企業(yè)����、網(wǎng)絡(luò)安全專(zhuān)業(yè)機(jī)構(gòu)等開(kāi)展研判,通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞���,向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警�。有網(wǎng)友表示,阿里云早在半個(gè)月前就發(fā)現(xiàn)了這個(gè)「核彈級(jí)的漏洞」����,但卻一直沒(méi)有上報(bào)給工信部。
半個(gè)月的時(shí)間��,我們的互聯(lián)網(wǎng)幾乎處于不設(shè)防的狀態(tài)�����。打個(gè)簡(jiǎn)單的比喻就是�,家里的大門(mén)半個(gè)月沒(méi)關(guān),隨便什么人一推就進(jìn)來(lái)了�,想拿啥就拿啥。
這并非危言聳聽(tīng)��,2020年12月�����,美國(guó)SolarWinds公司的Orion軟件更新服務(wù)器上�����,存在一個(gè)被感染的更新程序�,導(dǎo)致美國(guó)財(cái)政部系統(tǒng)等約18000家關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦機(jī)構(gòu)和企業(yè)受到影響����,部分受影響設(shè)備甚至可由攻擊者完全操控。此外�����,工信部��、網(wǎng)信辦���、公安部共同發(fā)布的《關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》中明確規(guī)定���,應(yīng)當(dāng)在2日內(nèi),向工業(yè)和信息化部���、網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)報(bào)送相關(guān)漏洞信息����。報(bào)送內(nèi)容應(yīng)當(dāng)包括�,存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱(chēng)、型號(hào)��、版本,以及漏洞的技術(shù)特點(diǎn)����、危害和影響范圍等。并及時(shí)進(jìn)行修補(bǔ)�,將修補(bǔ)方式告知可能受影響的產(chǎn)品用戶。發(fā)現(xiàn)漏洞后����,阿里云第一時(shí)間選擇將信息同步給Apache無(wú)可厚非,但同時(shí)也應(yīng)該上報(bào)給工信部�,以降低可能存在的風(fēng)險(xiǎn)。但不管是「別有用心」還是「粗心大意」����,半個(gè)月都沒(méi)同步給國(guó)內(nèi),很不應(yīng)該���。阿里云���,很可能要為這個(gè)失誤付出巨大的代價(jià)��。
02究竟會(huì)錯(cuò)失什么����?
千里之堤����,毀于蟻穴����。
憑借先發(fā)優(yōu)勢(shì),阿里云在國(guó)內(nèi)云計(jì)算市場(chǎng)處于絕對(duì)的領(lǐng)先地位�����。根據(jù)IDC發(fā)布的2021年第一季度中國(guó)公有云市場(chǎng)數(shù)據(jù)顯示��,季度內(nèi)IaaS+PaaS市場(chǎng)規(guī)模達(dá)46.32億美元�,阿里云以40%的市場(chǎng)份額繼續(xù)在國(guó)內(nèi)云市場(chǎng)遙遙領(lǐng)先。
而根據(jù)阿里巴巴2021年第一財(cái)季財(cái)報(bào)����,當(dāng)季阿里巴巴云業(yè)務(wù)收入160.5億元人民幣,已連續(xù)第三個(gè)季度實(shí)現(xiàn)盈利�����。12月17日�,阿里巴巴投資者日上�����,阿里云智能總裁張建鋒表示�����,阿里云付費(fèi)用戶超過(guò)400萬(wàn)�,其中62%為A股上市公司���。在發(fā)展初期�����,互聯(lián)網(wǎng)公司成為了云計(jì)算市場(chǎng)的主要用戶�,這些用戶也成就了阿里云如今的地位���。但隨著云計(jì)算的普及���,未來(lái)云計(jì)算市場(chǎng)的增長(zhǎng)重心已經(jīng)開(kāi)始向政務(wù)云和傳統(tǒng)大型企業(yè)偏移。根據(jù)Frost & Sullivan的報(bào)告���,2019年云計(jì)算市場(chǎng)��,互聯(lián)網(wǎng)行業(yè)客戶的份額占比降到了三分之一�,中國(guó)政務(wù)云近年來(lái)實(shí)現(xiàn)高增長(zhǎng)�����,政務(wù)云規(guī)模占比約為29%�����。
國(guó)務(wù)院發(fā)展研究中心預(yù)計(jì)�����,至2023年����,我國(guó)政府和大型企業(yè)上云率將超過(guò)60%。而艾瑞咨詢發(fā)布的《2020年中國(guó)政務(wù)云行業(yè)研究報(bào)告》預(yù)測(cè)�����,2023年政務(wù)云市場(chǎng)規(guī)模將達(dá)到1114.4億元�����,年復(fù)合增長(zhǎng)率為20.6%。
如此大的一塊蛋糕誰(shuí)也不想錯(cuò)過(guò)�。而且,阿里云已經(jīng)在政務(wù)云市場(chǎng)獲得了不小的發(fā)展紅利��,根據(jù)阿里財(cái)報(bào)的解釋?zhuān)诮刂?月31日的2021財(cái)年����,阿里云50%的高增長(zhǎng)得益于互聯(lián)網(wǎng)、公共部門(mén)����、金融客戶的合力推動(dòng)。但就在這個(gè)關(guān)鍵時(shí)間節(jié)點(diǎn)����,阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位6個(gè)月,無(wú)疑會(huì)錯(cuò)過(guò)政務(wù)云市場(chǎng)發(fā)展最為關(guān)鍵的半年�����。與其他網(wǎng)絡(luò)服務(wù)不同的是��,云計(jì)算服務(wù)的客戶粘性相對(duì)非常大���,用戶一旦選擇了服務(wù)商�,就幾乎不會(huì)更改。因?yàn)?����,客戶跨云?shù)據(jù)遷移的成本是巨大的����。為了搶奪增量�����,今年云廠商對(duì)于政務(wù)云的爭(zhēng)奪也進(jìn)入白熱化階段���。為了拿下客戶的第一單����,從而形成強(qiáng)綁定�����,云計(jì)算廠商甚至不惜報(bào)出「0元標(biāo)」和「1元標(biāo)」��。今年12月7日,中海油采辦業(yè)務(wù)管理與交易系統(tǒng)發(fā)布的公告顯示�,在「勘探開(kāi)發(fā)數(shù)據(jù)管理與運(yùn)營(yíng)規(guī)劃」項(xiàng)目中,騰訊云以0元拿下該項(xiàng)目����。同樣在這一天,黑龍江政府采購(gòu)網(wǎng)發(fā)布的公告顯示�����,華為云中標(biāo)「省級(jí)政務(wù)信息系統(tǒng)云服務(wù)」�,服務(wù)時(shí)間為3年,中標(biāo)金額僅為1元����。在同行不惜「賠本也要賺吆喝」的時(shí)候,阿里云要在旁邊看上半年�,這樣的損失是巨大的。而這一切���,在最開(kāi)始發(fā)現(xiàn)漏洞的時(shí)候�,他們將問(wèn)題上報(bào)給工信部����,就完全可以避免����。
