阿里云回應(yīng)未及時上報漏洞被處罰
12月23日����,阿里云對“未及時上報 Log4j2 重大漏洞”作出回應(yīng)�����,稱因在早期未意識到該漏洞的嚴(yán)重性����,未及時共享漏洞信息�,將強(qiáng)化漏洞管理�����、提升合規(guī)意識��。此前��,工信部通報暫停阿里云作為工信部網(wǎng)絡(luò)安全威脅信息共享平臺合作單位6個月�。
阿里云稱,近日�����,阿里云一名研發(fā)工程師發(fā)現(xiàn)Log4j2 組件的一個安全bug��,遂按業(yè)界慣例以郵件方式向軟件開發(fā)方Apache開源社區(qū)報告這一問題請求幫助���。Apache開源社區(qū)確認(rèn)這是一個安全漏洞,并向全球發(fā)布修復(fù)補(bǔ)丁���。隨后����,該漏洞被外界證實(shí)為一個全球性的重大漏洞。
根據(jù)中研普華出版的《2022-2027年中國云安全服務(wù)行業(yè)市場全景調(diào)研及投資價值評估研究報告》顯示:
市場調(diào)研機(jī)構(gòu)Canalys數(shù)據(jù)顯示����,2021年第三季度,中國內(nèi)地市場的云計(jì)算基礎(chǔ)設(shè)施服務(wù)支出同比增長43%�����,達(dá)到72億美元�。其中,阿里云以38.3%的份額排名第一���。華為云是第二大供應(yīng)商����,占市場份額的17.0%�。同比增長49.1%。騰訊云位列第三����,占市場份額的16.6%,增長49.5%����。百度人工智能云以8%的份額位列第四�����,增長64.7%����。
阿里云公司被暫停與工信部網(wǎng)絡(luò)安全部門合作���,機(jī)構(gòu)認(rèn)為���,阿里云可能會被行業(yè)其他競爭對手侵蝕政企云服務(wù)市場份額。
云模式主要分為三種�,其中私有云模式其實(shí)類似于傳統(tǒng)IDC機(jī)房,公有云則是購買第三方的云服務(wù)商的服務(wù)���,還有一種混合云也是模式最為復(fù)雜的��,同時也是安全成本最高的,因?yàn)樗枰獙⒕€上一部分公有云服務(wù)商提供的在線安全服務(wù)或功能與用戶線下私有云準(zhǔn)備的安全措施相結(jié)合�����,往往這一塊是最難的����,組件���、框架、策略����、規(guī)則、兼容性方面都會出現(xiàn)各種各樣的問題�,如果操作不好,反倒會暴露出很大的安全問題�����。為了應(yīng)對這些問題��,你需要在部署混合云之前了解最佳的做法以及安全策略以此來保護(hù)你的環(huán)境��。
全球云安全服務(wù)漏洞重大事件
人們廣泛使用的網(wǎng)絡(luò)軟件中存在一種名為Log4j的漏洞�,令企業(yè)和政府官員競相應(yīng)對全球計(jì)算機(jī)網(wǎng)絡(luò)面臨的重大網(wǎng)絡(luò)安全威脅。
近日披露的這個漏洞可能引發(fā)跨越經(jīng)濟(jì)部門和國際邊境的破壞性網(wǎng)絡(luò)攻擊���。美國官員稱����,數(shù)億臺設(shè)備面臨風(fēng)險,而研究人員和大型技術(shù)公司警告稱�����,與外國政府和勒索軟件組織有關(guān)聯(lián)的黑客已經(jīng)在探索如何利用目標(biāo)計(jì)算機(jī)系統(tǒng)中的這一漏洞��。
軟件開發(fā)人員利用Log4j框架記錄用戶操作和應(yīng)用程序行為以供后續(xù)審查�。Log4j由非營利的阿帕奇軟件基金會免費(fèi)提供,已被下載數(shù)百萬次����,是一種從企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)、網(wǎng)站和應(yīng)用程序中收集信息的廣泛使用工具�����。該軟件由阿帕奇的志愿者維護(hù)���,其中5人為發(fā)布安全更新����,最近幾天一直在晝夜不停地工作�。
阿帕奇上周披露的Log4j漏洞讓攻擊者能在目標(biāo)計(jì)算機(jī)上遠(yuǎn)程執(zhí)行代碼,這意味著他們可以竊取數(shù)據(jù)���、安裝惡意軟件或者實(shí)施控制����。一些網(wǎng)絡(luò)犯罪分子安裝利用網(wǎng)絡(luò)系統(tǒng)開采加密幣的軟件��,還有一些人開發(fā)了惡意軟件�����,讓攻擊者能夠劫持計(jì)算機(jī)�����,對互聯(lián)網(wǎng)基礎(chǔ)設(shè)施發(fā)動大規(guī)模攻擊����。
安全專家尤其擔(dān)心,該漏洞可能會讓黑客得以在系統(tǒng)內(nèi)安裝勒索軟件��,即一種可以鎖定數(shù)據(jù)和系統(tǒng)的計(jì)算機(jī)病毒��,讓受害者向攻擊者支付贖金�?��!胺?安全”軟件公司表示,其分析人員觀察到�����,已經(jīng)有人通過該漏洞部署各種形式的勒索軟件和惡意軟件�。
想知道云安全服務(wù)行業(yè)詳情,可點(diǎn)擊中研普華《2022-2027年中國云安全服務(wù)行業(yè)市場全景調(diào)研及投資價值評估研究報告》���。報告對行業(yè)相關(guān)各種因素進(jìn)行具體調(diào)查��、研究�、分析��,洞察行業(yè)今后的發(fā)展方向���、行業(yè)競爭格局的演變趨勢以及技術(shù)標(biāo)準(zhǔn)���、市場規(guī)模、潛在問題與行業(yè)發(fā)展的癥結(jié)所在����,評估行業(yè)投資價值�����、效果效益程度,提出建設(shè)性意見建議��,為行業(yè)投資決策者和企業(yè)經(jīng)營者提供參考依據(jù)�����。
平臺能否用熔斷機(jī)制堵住薅羊毛漏洞 電商平臺行業(yè)發(fā)展現(xiàn)狀分析報告 
研究院服務(wù)號
中研網(wǎng)訂閱號