阿里云回应未及时上报漏洞被处罚 全球云安全服务漏洞重大事件

阿里云回应未及时上报漏洞被处罚

12月23日，阿里云对“未及时上报 Log4j2 重大漏洞”作出回应，称因在早期未意识到该漏洞的严重性，未及时共享漏洞信息，将强化漏洞管理、提升合规意识。此前，工信部通报暂停阿里云作为工信部网络安全威胁信息共享平台合作单位6个月。

阿里云称，近日，阿里云一名研发工程师发现Log4j2 组件的一个安全bug，遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞，并向全球发布修复补丁。随后，该漏洞被外界证实为一个全球性的重大漏洞。

根据中研普华出版的《2022-2027年中国云安全服务行业市场全景调研及投资价值评估研究报告》显示：

市场调研机构Canalys数据显示，2021年第三季度，中国内地市场的云计算基础设施服务支出同比增长43%，达到72亿美元。其中，阿里云以38.3%的份额排名第一。华为云是第二大供应商，占市场份额的17.0%。同比增长49.1%。腾讯云位列第三，占市场份额的16.6%，增长49.5%。百度人工智能云以8%的份额位列第四，增长64.7%。

阿里云公司被暂停与工信部网络安全部门合作，机构认为，阿里云可能会被行业其他竞争对手侵蚀政企云服务市场份额。

云模式主要分为三种，其中私有云模式其实类似于传统IDC机房，公有云则是购买第三方的云服务商的服务，还有一种混合云也是模式最为复杂的，同时也是安全成本最高的，因为他需要将线上一部分公有云服务商提供的在线安全服务或功能与用户线下私有云准备的安全措施相结合，往往这一块是最难的，组件、框架、策略、规则、兼容性方面都会出现各种各样的问题，如果操作不好，反倒会暴露出很大的安全问题。为了应对这些问题，你需要在部署混合云之前了解最佳的做法以及安全策略以此来保护你的环境。

全球云安全服务漏洞重大事件

人们广泛使用的网络软件中存在一种名为Log4j的漏洞，令企业和政府官员竞相应对全球计算机网络面临的重大网络安全威胁。

近日披露的这个漏洞可能引发跨越经济部门和国际边境的破坏性网络攻击。美国官员称，数亿台设备面临风险，而研究人员和大型技术公司警告称，与外国政府和勒索软件组织有关联的黑客已经在探索如何利用目标计算机系统中的这一漏洞。

软件开发人员利用Log4j框架记录用户操作和应用程序行为以供后续审查。Log4j由非营利的阿帕奇软件基金会免费提供，已被下载数百万次，是一种从企业计算机网络、网站和应用程序中收集信息的广泛使用工具。该软件由阿帕奇的志愿者维护，其中5人为发布安全更新，最近几天一直在昼夜不停地工作。

阿帕奇上周披露的Log4j漏洞让攻击者能在目标计算机上远程执行代码，这意味着他们可以窃取数据、安装恶意软件或者实施控制。一些网络犯罪分子安装利用网络系统开采加密币的软件，还有一些人开发了恶意软件，让攻击者能够劫持计算机，对互联网基础设施发动大规模攻击。

安全专家尤其担心，该漏洞可能会让黑客得以在系统内安装勒索软件，即一种可以锁定数据和系统的计算机病毒，让受害者向攻击者支付赎金。“芬-安全”软件公司表示，其分析人员观察到，已经有人通过该漏洞部署各种形式的勒索软件和恶意软件。

想知道云安全服务行业详情，可点击中研普华《2022-2027年中国云安全服务行业市场全景调研及投资价值评估研究报告》。报告对行业相关各种因素进行具体调查、研究、分析，洞察行业今后的发展方向、行业竞争格局的演变趋势以及技术标准、市场规模、潜在问题与行业发展的症结所在，评估行业投资价值、效果效益程度，提出建设性意见建议，为行业投资决策者和企业经营者提供参考依据。