阿里云发现隐患后,没有第一时间上报工信部,而是选择将这个漏洞先告诉了国外机构。
在云计算市场,阿里云赢了一晚上,但很有可能最后一把全输进去。这还真不是危言耸听。在同行不惜「赔本也要赚吆喝」的时候,阿里云要在旁边看上半年,这样的损失是巨大的。阿里云,又出事儿了……
12月22日,工业和信息化部网络安全管理局通报称,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月。
据了解,阿里云发现了阿帕奇(Apache)Log4j2组件严重安全漏洞,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。然而,阿里云发现隐患后,没有第一时间上报工信部,而是选择将这个漏洞先告诉了国外机构。
事实上,这已经不是阿里云今年第一次出现「安全问题」。今年8月,一份浙江省通信管理局对投诉人的答复函自网络流出,称此前阿里云计算有限公司未经用户同意,擅自将用户留存的注册信息泄露给第三方合作公司。随后,浙江省通信管理局相关负责人向媒体确认了此事的真实性。频繁被爆出安全问题,很有可能让阿里云错失「政务云」这个在云计算领域最具增长潜力的细分市场。在云计算市场,阿里云赢了“一晚上”,但很有可能最后一把全输进去。这还真不是危言耸听。
01 阿里云到底冤不冤?
这一次,阿里云到底冤不冤?「冤!太冤了!处罚得太轻了。」这是很多网友对于这件事的评价。据悉,11月24日,阿里云安全团队于11月24日向阿帕奇软件基金会提交了Log4j 漏洞邮件。在12月7日,Apache官方发布了针对此漏洞的补丁版(log4j-2.15.0-rc1),但这个补丁版并没能起到多大的作用。12月9日,有程序员发现,网络中出现了大量利用此漏洞的攻击行为。全世界都闹得沸沸扬扬了,工信部才知道这个漏洞,并立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。有网友表示,阿里云早在半个月前就发现了这个「核弹级的漏洞」,但却一直没有上报给工信部。
半个月的时间,我们的互联网几乎处于不设防的状态。打个简单的比喻就是,家里的大门半个月没关,随便什么人一推就进来了,想拿啥就拿啥。
这并非危言耸听,2020年12月,美国SolarWinds公司的Orion软件更新服务器上,存在一个被感染的更新程序,导致美国财政部系统等约18000家关键基础设施、联邦机构和企业受到影响,部分受影响设备甚至可由攻击者完全操控。此外,工信部、网信办、公安部共同发布的《关于印发网络产品安全漏洞管理规定的通知》中明确规定,应当在2日内,向工业和信息化部、网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括,存在网络产品安全漏洞的产品名称、型号、版本,以及漏洞的技术特点、危害和影响范围等。并及时进行修补,将修补方式告知可能受影响的产品用户。发现漏洞后,阿里云第一时间选择将信息同步给Apache无可厚非,但同时也应该上报给工信部,以降低可能存在的风险。但不管是「别有用心」还是「粗心大意」,半个月都没同步给国内,很不应该。阿里云,很可能要为这个失误付出巨大的代价。
02究竟会错失什么?
千里之堤,毁于蚁穴。
凭借先发优势,阿里云在国内云计算市场处于绝对的领先地位。根据IDC发布的2021年第一季度中国公有云市场数据显示,季度内IaaS+PaaS市场规模达46.32亿美元,阿里云以40%的市场份额继续在国内云市场遥遥领先。
而根据阿里巴巴2021年第一财季财报,当季阿里巴巴云业务收入160.5亿元人民币,已连续第三个季度实现盈利。12月17日,阿里巴巴投资者日上,阿里云智能总裁张建锋表示,阿里云付费用户超过400万,其中62%为A股上市公司。在发展初期,互联网公司成为了云计算市场的主要用户,这些用户也成就了阿里云如今的地位。但随着云计算的普及,未来云计算市场的增长重心已经开始向政务云和传统大型企业偏移。根据Frost & Sullivan的报告,2019年云计算市场,互联网行业客户的份额占比降到了三分之一,中国政务云近年来实现高增长,政务云规模占比约为29%。
国务院发展研究中心预计,至2023年,我国政府和大型企业上云率将超过60%。而艾瑞咨询发布的《2020年中国政务云行业研究报告》预测,2023年政务云市场规模将达到1114.4亿元,年复合增长率为20.6%。
如此大的一块蛋糕谁也不想错过。而且,阿里云已经在政务云市场获得了不小的发展红利,根据阿里财报的解释,在截至3月31日的2021财年,阿里云50%的高增长得益于互联网、公共部门、金融客户的合力推动。但就在这个关键时间节点,阿里云被暂停工信部网络安全威胁信息共享平台合作单位6个月,无疑会错过政务云市场发展最为关键的半年。与其他网络服务不同的是,云计算服务的客户粘性相对非常大,用户一旦选择了服务商,就几乎不会更改。因为,客户跨云数据迁移的成本是巨大的。为了抢夺增量,今年云厂商对于政务云的争夺也进入白热化阶段。为了拿下客户的第一单,从而形成强绑定,云计算厂商甚至不惜报出「0元标」和「1元标」。今年12月7日,中海油采办业务管理与交易系统发布的公告显示,在「勘探开发数据管理与运营规划」项目中,腾讯云以0元拿下该项目。同样在这一天,黑龙江政府采购网发布的公告显示,华为云中标「省级政务信息系统云服务」,服务时间为3年,中标金额仅为1元。在同行不惜「赔本也要赚吆喝」的时候,阿里云要在旁边看上半年,这样的损失是巨大的。而这一切,在最开始发现漏洞的时候,他们将问题上报给工信部,就完全可以避免。
