阿里云發(fā)現(xiàn)隱患后�����,沒有第一時間上報工信部���,而是選擇將這個漏洞先告訴了國外機構。
在云計算市場��,阿里云贏了一晚上�����,但很有可能最后一把全輸進去。這還真不是危言聳聽���。在同行不惜「賠本也要賺吆喝」的時候���,阿里云要在旁邊看上半年,這樣的損失是巨大的���。阿里云�,又出事兒了……
12月22日�,工業(yè)和信息化部網(wǎng)絡安全管理局通報稱,阿里云被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月���。
據(jù)了解�,阿里云發(fā)現(xiàn)了阿帕奇(Apache)Log4j2組件嚴重安全漏洞����,該漏洞可能導致設備遠程受控,進而引發(fā)敏感信息竊取�、設備服務中斷等嚴重危害,屬于高危漏洞����。然而���,阿里云發(fā)現(xiàn)隱患后,沒有第一時間上報工信部��,而是選擇將這個漏洞先告訴了國外機構����。
事實上,這已經(jīng)不是阿里云今年第一次出現(xiàn)「安全問題」���。今年8月����,一份浙江省通信管理局對投訴人的答復函自網(wǎng)絡流出��,稱此前阿里云計算有限公司未經(jīng)用戶同意�,擅自將用戶留存的注冊信息泄露給第三方合作公司。隨后�,浙江省通信管理局相關負責人向媒體確認了此事的真實性。頻繁被爆出安全問題����,很有可能讓阿里云錯失「政務云」這個在云計算領域最具增長潛力的細分市場。在云計算市場����,阿里云贏了“一晚上”,但很有可能最后一把全輸進去����。這還真不是危言聳聽。
01 阿里云到底冤不冤����?
這一次,阿里云到底冤不冤���?「冤����!太冤了����!處罰得太輕了?���!惯@是很多網(wǎng)友對于這件事的評價�����。據(jù)悉����,11月24日���,阿里云安全團隊于11月24日向阿帕奇軟件基金會提交了Log4j 漏洞郵件��。在12月7日�����,Apache官方發(fā)布了針對此漏洞的補丁版(log4j-2.15.0-rc1)���,但這個補丁版并沒能起到多大的作用。12月9日���,有程序員發(fā)現(xiàn)�,網(wǎng)絡中出現(xiàn)了大量利用此漏洞的攻擊行為���。全世界都鬧得沸沸揚揚了�,工信部才知道這個漏洞,并立即組織有關網(wǎng)絡安全專業(yè)機構開展漏洞風險分析����,召集阿里云����、網(wǎng)絡安全企業(yè)、網(wǎng)絡安全專業(yè)機構等開展研判�����,通報督促阿帕奇軟件基金會及時修補該漏洞�����,向行業(yè)單位進行風險預警��。有網(wǎng)友表示�,阿里云早在半個月前就發(fā)現(xiàn)了這個「核彈級的漏洞」,但卻一直沒有上報給工信部�。
半個月的時間,我們的互聯(lián)網(wǎng)幾乎處于不設防的狀態(tài)����。打個簡單的比喻就是���,家里的大門半個月沒關,隨便什么人一推就進來了�,想拿啥就拿啥。
這并非危言聳聽���,2020年12月���,美國SolarWinds公司的Orion軟件更新服務器上,存在一個被感染的更新程序��,導致美國財政部系統(tǒng)等約18000家關鍵基礎設施��、聯(lián)邦機構和企業(yè)受到影響����,部分受影響設備甚至可由攻擊者完全操控。此外��,工信部�、網(wǎng)信辦、公安部共同發(fā)布的《關于印發(fā)網(wǎng)絡產(chǎn)品安全漏洞管理規(guī)定的通知》中明確規(guī)定����,應當在2日內��,向工業(yè)和信息化部��、網(wǎng)絡安全威脅和漏洞信息共享平臺報送相關漏洞信息��。報送內容應當包括�����,存在網(wǎng)絡產(chǎn)品安全漏洞的產(chǎn)品名稱、型號��、版本�,以及漏洞的技術特點、危害和影響范圍等�。并及時進行修補,將修補方式告知可能受影響的產(chǎn)品用戶���。發(fā)現(xiàn)漏洞后�,阿里云第一時間選擇將信息同步給Apache無可厚非����,但同時也應該上報給工信部,以降低可能存在的風險�����。但不管是「別有用心」還是「粗心大意」,半個月都沒同步給國內�����,很不應該����。阿里云,很可能要為這個失誤付出巨大的代價���。
02究竟會錯失什么�����?
千里之堤�����,毀于蟻穴��。
憑借先發(fā)優(yōu)勢����,阿里云在國內云計算市場處于絕對的領先地位。根據(jù)IDC發(fā)布的2021年第一季度中國公有云市場數(shù)據(jù)顯示����,季度內IaaS+PaaS市場規(guī)模達46.32億美元,阿里云以40%的市場份額繼續(xù)在國內云市場遙遙領先��。
而根據(jù)阿里巴巴2021年第一財季財報�����,當季阿里巴巴云業(yè)務收入160.5億元人民幣��,已連續(xù)第三個季度實現(xiàn)盈利��。12月17日���,阿里巴巴投資者日上,阿里云智能總裁張建鋒表示���,阿里云付費用戶超過400萬�,其中62%為A股上市公司�。在發(fā)展初期,互聯(lián)網(wǎng)公司成為了云計算市場的主要用戶�����,這些用戶也成就了阿里云如今的地位。但隨著云計算的普及�,未來云計算市場的增長重心已經(jīng)開始向政務云和傳統(tǒng)大型企業(yè)偏移。根據(jù)Frost & Sullivan的報告���,2019年云計算市場����,互聯(lián)網(wǎng)行業(yè)客戶的份額占比降到了三分之一����,中國政務云近年來實現(xiàn)高增長,政務云規(guī)模占比約為29%�。
國務院發(fā)展研究中心預計,至2023年�,我國政府和大型企業(yè)上云率將超過60%。而艾瑞咨詢發(fā)布的《2020年中國政務云行業(yè)研究報告》預測���,2023年政務云市場規(guī)模將達到1114.4億元�,年復合增長率為20.6%���。
如此大的一塊蛋糕誰也不想錯過���。而且�,阿里云已經(jīng)在政務云市場獲得了不小的發(fā)展紅利��,根據(jù)阿里財報的解釋���,在截至3月31日的2021財年�,阿里云50%的高增長得益于互聯(lián)網(wǎng)�����、公共部門��、金融客戶的合力推動��。但就在這個關鍵時間節(jié)點����,阿里云被暫停工信部網(wǎng)絡安全威脅信息共享平臺合作單位6個月����,無疑會錯過政務云市場發(fā)展最為關鍵的半年。與其他網(wǎng)絡服務不同的是,云計算服務的客戶粘性相對非常大��,用戶一旦選擇了服務商��,就幾乎不會更改���。因為��,客戶跨云數(shù)據(jù)遷移的成本是巨大的����。為了搶奪增量�����,今年云廠商對于政務云的爭奪也進入白熱化階段�����。為了拿下客戶的第一單���,從而形成強綁定���,云計算廠商甚至不惜報出「0元標」和「1元標」�����。今年12月7日���,中海油采辦業(yè)務管理與交易系統(tǒng)發(fā)布的公告顯示,在「勘探開發(fā)數(shù)據(jù)管理與運營規(guī)劃」項目中�����,騰訊云以0元拿下該項目�����。同樣在這一天��,黑龍江政府采購網(wǎng)發(fā)布的公告顯示����,華為云中標「省級政務信息系統(tǒng)云服務」,服務時間為3年�����,中標金額僅為1元�。在同行不惜「賠本也要賺吆喝」的時候,阿里云要在旁邊看上半年����,這樣的損失是巨大的。而這一切���,在最開始發(fā)現(xiàn)漏洞的時候�����,他們將問題上報給工信部�����,就完全可以避免���。
