阿里云發(fā)現(xiàn)隱患后,沒有第一時間上報工信部,而是選擇將這個漏洞先告訴了國外機構(gòu)。
在云計算市場,阿里云贏了一晚上,但很有可能最后一把全輸進去。這還真不是危言聳聽。在同行不惜「賠本也要賺吆喝」的時候,阿里云要在旁邊看上半年,這樣的損失是巨大的。阿里云,又出事兒了……
12月22日,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報稱,阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月。
據(jù)了解,阿里云發(fā)現(xiàn)了阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞,該漏洞可能導(dǎo)致設(shè)備遠程受控,進而引發(fā)敏感信息竊取、設(shè)備服務(wù)中斷等嚴(yán)重危害,屬于高危漏洞。然而,阿里云發(fā)現(xiàn)隱患后,沒有第一時間上報工信部,而是選擇將這個漏洞先告訴了國外機構(gòu)。
事實上,這已經(jīng)不是阿里云今年第一次出現(xiàn)「安全問題」。今年8月,一份浙江省通信管理局對投訴人的答復(fù)函自網(wǎng)絡(luò)流出,稱此前阿里云計算有限公司未經(jīng)用戶同意,擅自將用戶留存的注冊信息泄露給第三方合作公司。隨后,浙江省通信管理局相關(guān)負(fù)責(zé)人向媒體確認(rèn)了此事的真實性。頻繁被爆出安全問題,很有可能讓阿里云錯失「政務(wù)云」這個在云計算領(lǐng)域最具增長潛力的細(xì)分市場。在云計算市場,阿里云贏了“一晚上”,但很有可能最后一把全輸進去。這還真不是危言聳聽。
01 阿里云到底冤不冤?
這一次,阿里云到底冤不冤?「冤!太冤了!處罰得太輕了?!惯@是很多網(wǎng)友對于這件事的評價。據(jù)悉,11月24日,阿里云安全團隊于11月24日向阿帕奇軟件基金會提交了Log4j 漏洞郵件。在12月7日,Apache官方發(fā)布了針對此漏洞的補丁版(log4j-2.15.0-rc1),但這個補丁版并沒能起到多大的作用。12月9日,有程序員發(fā)現(xiàn),網(wǎng)絡(luò)中出現(xiàn)了大量利用此漏洞的攻擊行為。全世界都鬧得沸沸揚揚了,工信部才知道這個漏洞,并立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機構(gòu)開展漏洞風(fēng)險分析,召集阿里云、網(wǎng)絡(luò)安全企業(yè)、網(wǎng)絡(luò)安全專業(yè)機構(gòu)等開展研判,通報督促阿帕奇軟件基金會及時修補該漏洞,向行業(yè)單位進行風(fēng)險預(yù)警。有網(wǎng)友表示,阿里云早在半個月前就發(fā)現(xiàn)了這個「核彈級的漏洞」,但卻一直沒有上報給工信部。
半個月的時間,我們的互聯(lián)網(wǎng)幾乎處于不設(shè)防的狀態(tài)。打個簡單的比喻就是,家里的大門半個月沒關(guān),隨便什么人一推就進來了,想拿啥就拿啥。
這并非危言聳聽,2020年12月,美國SolarWinds公司的Orion軟件更新服務(wù)器上,存在一個被感染的更新程序,導(dǎo)致美國財政部系統(tǒng)等約18000家關(guān)鍵基礎(chǔ)設(shè)施、聯(lián)邦機構(gòu)和企業(yè)受到影響,部分受影響設(shè)備甚至可由攻擊者完全操控。此外,工信部、網(wǎng)信辦、公安部共同發(fā)布的《關(guān)于印發(fā)網(wǎng)絡(luò)產(chǎn)品安全漏洞管理規(guī)定的通知》中明確規(guī)定,應(yīng)當(dāng)在2日內(nèi),向工業(yè)和信息化部、網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺報送相關(guān)漏洞信息。報送內(nèi)容應(yīng)當(dāng)包括,存在網(wǎng)絡(luò)產(chǎn)品安全漏洞的產(chǎn)品名稱、型號、版本,以及漏洞的技術(shù)特點、危害和影響范圍等。并及時進行修補,將修補方式告知可能受影響的產(chǎn)品用戶。發(fā)現(xiàn)漏洞后,阿里云第一時間選擇將信息同步給Apache無可厚非,但同時也應(yīng)該上報給工信部,以降低可能存在的風(fēng)險。但不管是「別有用心」還是「粗心大意」,半個月都沒同步給國內(nèi),很不應(yīng)該。阿里云,很可能要為這個失誤付出巨大的代價。
02究竟會錯失什么?
千里之堤,毀于蟻穴。
憑借先發(fā)優(yōu)勢,阿里云在國內(nèi)云計算市場處于絕對的領(lǐng)先地位。根據(jù)IDC發(fā)布的2021年第一季度中國公有云市場數(shù)據(jù)顯示,季度內(nèi)IaaS+PaaS市場規(guī)模達46.32億美元,阿里云以40%的市場份額繼續(xù)在國內(nèi)云市場遙遙領(lǐng)先。
而根據(jù)阿里巴巴2021年第一財季財報,當(dāng)季阿里巴巴云業(yè)務(wù)收入160.5億元人民幣,已連續(xù)第三個季度實現(xiàn)盈利。12月17日,阿里巴巴投資者日上,阿里云智能總裁張建鋒表示,阿里云付費用戶超過400萬,其中62%為A股上市公司。在發(fā)展初期,互聯(lián)網(wǎng)公司成為了云計算市場的主要用戶,這些用戶也成就了阿里云如今的地位。但隨著云計算的普及,未來云計算市場的增長重心已經(jīng)開始向政務(wù)云和傳統(tǒng)大型企業(yè)偏移。根據(jù)Frost & Sullivan的報告,2019年云計算市場,互聯(lián)網(wǎng)行業(yè)客戶的份額占比降到了三分之一,中國政務(wù)云近年來實現(xiàn)高增長,政務(wù)云規(guī)模占比約為29%。
國務(wù)院發(fā)展研究中心預(yù)計,至2023年,我國政府和大型企業(yè)上云率將超過60%。而艾瑞咨詢發(fā)布的《2020年中國政務(wù)云行業(yè)研究報告》預(yù)測,2023年政務(wù)云市場規(guī)模將達到1114.4億元,年復(fù)合增長率為20.6%。
如此大的一塊蛋糕誰也不想錯過。而且,阿里云已經(jīng)在政務(wù)云市場獲得了不小的發(fā)展紅利,根據(jù)阿里財報的解釋,在截至3月31日的2021財年,阿里云50%的高增長得益于互聯(lián)網(wǎng)、公共部門、金融客戶的合力推動。但就在這個關(guān)鍵時間節(jié)點,阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月,無疑會錯過政務(wù)云市場發(fā)展最為關(guān)鍵的半年。與其他網(wǎng)絡(luò)服務(wù)不同的是,云計算服務(wù)的客戶粘性相對非常大,用戶一旦選擇了服務(wù)商,就幾乎不會更改。因為,客戶跨云數(shù)據(jù)遷移的成本是巨大的。為了搶奪增量,今年云廠商對于政務(wù)云的爭奪也進入白熱化階段。為了拿下客戶的第一單,從而形成強綁定,云計算廠商甚至不惜報出「0元標(biāo)」和「1元標(biāo)」。今年12月7日,中海油采辦業(yè)務(wù)管理與交易系統(tǒng)發(fā)布的公告顯示,在「勘探開發(fā)數(shù)據(jù)管理與運營規(guī)劃」項目中,騰訊云以0元拿下該項目。同樣在這一天,黑龍江政府采購網(wǎng)發(fā)布的公告顯示,華為云中標(biāo)「省級政務(wù)信息系統(tǒng)云服務(wù)」,服務(wù)時間為3年,中標(biāo)金額僅為1元。在同行不惜「賠本也要賺吆喝」的時候,阿里云要在旁邊看上半年,這樣的損失是巨大的。而這一切,在最開始發(fā)現(xiàn)漏洞的時候,他們將問題上報給工信部,就完全可以避免。