亚色在线观看_亚洲人成a片高清在线观看不卡_亚洲中文无码亚洲人成频_免费在线黄片,69精品视频九九精品视频,美女大黄三级,人人干人人g,全新av网站每日更新播放,亚洲三及片,wwww无码视频,亚洲中文字幕无码一区在线

首頁(yè) 500強(qiáng) 活動(dòng) 榜單 商業(yè) 科技 領(lǐng)導(dǎo)力 視頻 專題 品牌中心
雜志訂閱

阿里云被暫停工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位

2021-12-22 16:30
文本設(shè)置
小號(hào)
默認(rèn)
大號(hào)
Plus(0條)
近期,,工業(yè)和信息化部網(wǎng)絡(luò)安全管理局通報(bào)稱,,阿里云計(jì)算有限公司是工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)合作單位,。近日,阿里云公司發(fā)現(xiàn)阿帕奇(Apache)Log4j2組件嚴(yán)重安全漏洞隱患后,,未及時(shí)向電信主管部門報(bào)告,,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理。經(jīng)研究,,現(xiàn)暫停阿里云公司作為上述合作單位6個(gè)月,。暫停期滿后,根據(jù)阿里云公司整改情況,,研究恢復(fù)其上述合作單位,。 | 相關(guān)閱讀(21財(cái)經(jīng))
55
江瀚視野

江瀚視野

盤古智庫(kù)高級(jí)研究員,金融學(xué)碩導(dǎo)

漏洞砸中阿里云:一次行業(yè)警示

近日,,有媒體報(bào)道,,阿里云發(fā)現(xiàn)阿帕奇Log4j2組件有安全漏洞,但未及時(shí)向電信主管部門報(bào)告,,未有效支撐工信部開展網(wǎng)絡(luò)安全威脅和漏洞管理,。因此,暫停阿里云作為上述合作單位 6 個(gè)月,。

原本一個(gè)技術(shù)圈子的事情因此成為社會(huì)熱議話題,。一時(shí)間網(wǎng)友分化為了兩個(gè)圈子——
非技術(shù)圈的人說(shuō):感覺阿里云只報(bào)給阿帕奇這個(gè)技術(shù)社區(qū),不上報(bào)組織,,是沒把國(guó)家安全放心上,。

技術(shù)圈層說(shuō):當(dāng)然是誰(shuí)寫的bug報(bào)給誰(shuí),阿帕奇的安全漏洞,,報(bào)給阿帕奇是應(yīng)該的,,不能上綱上線。

23日晚間,,阿里云就log4j2漏洞發(fā)布了說(shuō)明,,誠(chéng)懇認(rèn)錯(cuò),表示要強(qiáng)化漏洞報(bào)告管理,、提升合規(guī)意識(shí),,積極協(xié)同各方共同做好網(wǎng)絡(luò)安全防范工作。

回顧這個(gè)非常技術(shù)的話題,,有諸多事實(shí)需要厘清,。

首先,阿帕奇開源社區(qū)是什么?Log4j2組件是什么,?

阿帕奇是國(guó)際上比較有影響力的一個(gè)開源社區(qū),。官網(wǎng)上顯示,華為,、騰訊,、阿里等中國(guó)公司是這個(gè)開源社區(qū)的主要貢獻(xiàn)者,另外也包括谷歌,、微軟等美國(guó)企業(yè),。全球的軟件工程師,在這里共建一些基礎(chǔ)的軟件部件,,相互迭代,、提高公共效率,是軟件產(chǎn)業(yè)的一個(gè)特有現(xiàn)象,。

本次發(fā)現(xiàn)漏洞的Log4j2 就是開源社區(qū)阿帕奇旗下的開源日志組件,,很多企業(yè)都會(huì)會(huì)用這個(gè)組件來(lái)開發(fā)自己的系統(tǒng)。在阿里云的工程師發(fā)現(xiàn)這個(gè)組件有問題的時(shí)候,,就郵件詢問了阿帕奇,,請(qǐng)社區(qū)確認(rèn)這是否是一個(gè)漏洞、評(píng)估影響范圍,。

而后阿帕奇確認(rèn)這是一個(gè)漏洞,,并通知開發(fā)者們修補(bǔ)這個(gè)漏洞。于是,,出現(xiàn)了天涯共此時(shí),,一起改漏洞的局面。

但阿里云遺漏了不久前上線的一個(gè)官方上報(bào)平臺(tái),,僅僅按業(yè)界的慣例向以郵件方式向軟件開發(fā)方Apache開源社區(qū)報(bào)告這一問題請(qǐng)求幫助,。

其次,工信部暫停阿里云6個(gè)月合作單位資格,,意味著什么,?

據(jù)工信微報(bào)——「12月9日,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)收到有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)報(bào)告,,阿帕奇Log4j2組件存在嚴(yán)重安全漏洞,。工業(yè)和信息化部立即組織有關(guān)網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)開展漏洞風(fēng)險(xiǎn)分析,召集阿里云,、網(wǎng)絡(luò)安全企業(yè),、網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)等開展研判,通報(bào)督促阿帕奇軟件基金會(huì)及時(shí)修補(bǔ)該漏洞,,向行業(yè)單位進(jìn)行風(fēng)險(xiǎn)預(yù)警,?!?br />
媒體報(bào)道的暫停6個(gè)月合作單位資格,,并未出現(xiàn)在公開渠道,。據(jù)業(yè)內(nèi)人士分析,這并不是一個(gè)嚴(yán)格意義上的“處罰”,,否則不可能不公開通報(bào),。其次,網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺(tái)是一個(gè)收集,、通報(bào)網(wǎng)絡(luò)安全漏洞的平臺(tái),,暫停這個(gè)平臺(tái)的合作資質(zhì)并不對(duì)業(yè)務(wù)造成影響。

但此次事件,,從側(cè)面體現(xiàn)了計(jì)算機(jī)行業(yè)中普遍存在的意識(shí)疏漏,。在國(guó)內(nèi)計(jì)算機(jī)行業(yè)幾十年的發(fā)展過程中,大量從業(yè)人員,、組織養(yǎng)成了與開源社區(qū)合作的工作習(xí)慣,,但對(duì)更高層面的安全意識(shí)、合規(guī)意識(shí),,在思想上,、制度上都有所不足。阿里云的漏報(bào)行為,,也是這一意識(shí)疏漏的一次具體體現(xiàn),。

整體而言,此次事件對(duì)行業(yè)的影響是正面的,,這是一次警示,、也是一次示范。阿里云是行業(yè)領(lǐng)先的IT企業(yè),,這也是能夠率先發(fā)現(xiàn)全球重大安全漏洞的原因,,而此次事件的發(fā)生,無(wú)疑將會(huì)增強(qiáng)計(jì)算機(jī)行業(yè)的安全合規(guī)意識(shí),,可以想見,,無(wú)論是阿里云、還是其他諸多科技企業(yè),,都將在企業(yè)和組織內(nèi)部增強(qiáng)合規(guī)培訓(xùn)和流程規(guī)范,。

52
華神

華神

軟件工程師

信息共享平臺(tái)的意義本來(lái)就是你知道有漏洞了上報(bào),平臺(tái)分享給其他成員,,大家都能及時(shí)得到通知,。這次問題是,一方面在那收別人的信息,,自己發(fā)現(xiàn)的反而沒報(bào)告,,這就出問題了,暫停自然就是為這個(gè)事情的警告。
安全漏洞這種事情為什么需要有信息共享平臺(tái),,因?yàn)榘踩畔⒌乃瓦_(dá)是分秒必爭(zhēng)的,,如果安全漏洞在被發(fā)現(xiàn)之后先被攻擊者知曉,就會(huì)造成不可挽回的損失,,所以有必要有專門的通知渠道,,保證在漏洞被廣泛揭曉之前,先給關(guān)鍵服務(wù)提供商修復(fù)的機(jī)會(huì),,國(guó)家主導(dǎo)的平臺(tái)就是為了確保有個(gè)盡量可信的送達(dá)機(jī)制能讓這樣的信息在盡可能保密的情況下盡快送達(dá)各個(gè)合作方,。
阿里云因?yàn)樽陨硎韬鰶]好好配合,那不就是沒有盡到合作方義務(wù)嗎,?安全漏洞研究是必須要遵循工作流程規(guī)范的,,如果工作沒做好,反而會(huì)讓攻擊者有可乘之機(jī),。

23
朱墨竹

朱墨竹

因?yàn)閘og4j2作為java生態(tài)軟件基礎(chǔ)組件,,所以這次漏洞的影響是核彈級(jí)的,堪稱web漏洞屆的永恒之藍(lán),。
首先,,我們先來(lái)梳理一下log4j2漏洞從發(fā)現(xiàn)到爆發(fā)的時(shí)間線:
2021年11月24日: 阿里云安全團(tuán)隊(duì)向Apache 官方提交ApacheLog4j2遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-44228)
2021年12月8日: Apache Log4j2官方發(fā)布安全更新log4j2-2.15.0-rc1,
2021年12月9日: 天融信阿爾法實(shí)驗(yàn)室晚間監(jiān)測(cè)到poc大量傳播并被利用攻擊
2021年12月10日: 天融信阿爾法實(shí)驗(yàn)室于10日凌晨發(fā)布Apache Log4j2 遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警,,并于當(dāng)日發(fā)布Apache Log4j2 漏洞處置方案
2021年12月10日: 同一天內(nèi),,網(wǎng)絡(luò)傳出log4j2-2.15.0-rc1安全更新被繞過,天融信阿爾法實(shí)驗(yàn)室第一時(shí)間進(jìn)行驗(yàn)證,,發(fā)現(xiàn)繞過存在,,并將處置方案內(nèi)的升級(jí)方案修改為log4j2-2.15.0-rc2
2021年12月15日:天融信阿爾法實(shí)驗(yàn)室對(duì)該漏洞進(jìn)行了深入分析并更新修復(fù)建議。

從時(shí)間線來(lái)看,,阿里云工程師是遵從國(guó)際通行的安全漏洞上報(bào)流程第一時(shí)間上報(bào)的,,并且取得了CVE的ID編號(hào)。
這里需要簡(jiǎn)單介紹一下CVE,。CVE 的英文全稱是“Common Vulnerabilities & Exposures”通用漏洞披露,。CVE就好像是一個(gè)字典表,為廣泛認(rèn)同的信息安全漏洞或者已經(jīng)暴露出來(lái)的弱點(diǎn)給出一個(gè)公共的名稱,。而CVE背后是一套國(guó)際上運(yùn)行了二十多年的成熟而有效的標(biāo)準(zhǔn)管理組織和機(jī)制,。所以安全漏洞從發(fā)現(xiàn),到提交,,審核,,評(píng)估,命名,,到公開,,正式發(fā)布,,再評(píng)估,撤銷等都有完整的運(yùn)行流程,。
至于公開漏洞會(huì)不會(huì)被攻擊者利用,,安全專家們也是有過充分討論的。我們直接聽結(jié)論,,就是公布的益處遠(yuǎn)大于弊端,。其實(shí)這可以理解,,因?yàn)槭澜缟洗蟛糠周浖?duì)于外人來(lái)說(shuō)都是個(gè)黑盒子,,只有開發(fā)者自己最清楚項(xiàng)目里用了哪些技術(shù)和組件。只有把漏洞和解決方法公之于眾,,開發(fā)者們才好展開自查,。而且即便不公布,黑客們也未必就不知道,,可能正在哪個(gè)角落運(yùn)用這個(gè)漏洞探測(cè)哪些項(xiàng)目有可乘之機(jī)呢,。

當(dāng)然我相信作為國(guó)內(nèi)最權(quán)威的網(wǎng)絡(luò)安全共享平臺(tái),他們不可能在Apache發(fā)布了漏洞之后還視若罔聞而貽誤了修補(bǔ)應(yīng)對(duì),。只是阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺(tái)的成員,,有義務(wù)按平臺(tái)的規(guī)定上報(bào)工信部,去履行一個(gè)組織的規(guī)章流程,。
所以從這個(gè)角度來(lái)看,,受罰并不冤枉。只是我查了一下,,我們工信部這個(gè)網(wǎng)絡(luò)安全威脅和漏洞信息平臺(tái)始建于今年八月份,,成員還不足四十家企業(yè)。我覺得暫停阿里云的合作單位資格,,從這個(gè)平臺(tái)組織的完善和發(fā)展來(lái)看,,是不太有利的。

評(píng)論

撰寫或查看更多評(píng)論

請(qǐng)打開財(cái)富Plus APP

前往打開
熱讀文章