阿里云回应未及时上报漏洞被处罚闭门思过六个月(3)

小大

用微信扫描二维码
分享至好友和朋友圈

关键词：

2021-12-24 11:19:14 大众网

《IT时报》记者从国家互联网应急中心发布的一则公告上则看到，12月10日，国家信息安全漏洞共享平台（CNVD）收录了Apache Log4j2远程代码执行漏洞（CNVD-2021-95914），目前，漏洞利用细节已公开，阿帕奇官方已发布补丁修复该漏洞。CNVD建议受影响用户立即更新至最新版本，同时采取防范性措施避免漏洞攻击威胁。

然而，此时距离第一次发现漏洞已经过去半个月。

03 “挖”漏洞合规更重要

“国家对网络漏洞管理进行强监管的背景是，关于网络安全的黑白之争越来越激烈。”在一位安全界人士看来，阿里云此次被罚并不冤，作为中国最大的云服务商，合规意识如此薄弱，的确不应该。

近两年来，发生在安全领域的攻击事件呈直线上升的态势，甚至在全球范围内出现几个规模化、组织化的黑客勒索组织。

今年5月，迫使美国最大的成品油管道运营商Colonial Pipeline关闭了一条关键的运输管道的勒索病毒袭击，便来自一家名为“暗面”（DarkSide）的组织。

这些黑客组织嗅觉灵敏，不但研发软件、培训“下线”，甚至还将勒索袭击当做一门生意运营，专门针对一些重要公司进行定向、高索赔额的病毒攻击。

Apache Log4j2漏洞被公开后，网络安全公司Crowdstrike高级副主席迈耶斯（Adam Meyers）便曾表示，截至美国时间12月10日，黑客已经将漏洞“完全武器化”，还开发出利用该漏洞的攻击工具向外分发。

据上述安全界人士介绍，网络安全公司报告漏洞的传统做法是先通知厂商，然后等厂商打好补丁后，再向社区公开，让所有使用该产品的企业及时修复漏洞。

但从发现漏洞到打好补丁之间毕竟有时间差，很容易被黑客借此打个“闪电战”。

尤其是开源软件，有些程序员习惯性地在开源社区内讨论一些细节，也有可能在不知不觉中被黑客找到机会。

尤其像Log4j2组件漏洞这样的普遍性问题，由于涉及面太广，很难确保这条传统路径可以将信息传递给所有客户。

阿里云回应未及时上报漏洞被处罚

近两年来，各个国家对于网络、数据安全越发重视，各种相关法规条例相继出台。

和《规定》一样在今年9月1日实施的《数据安全法》第29条也规定：数据处理者发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。

“无论是安全公司还是云服务商，都应该将这些法规细化为可执行的操作规范，固定下来，但这种合规性要求，对于不少‘草莽’起家的民营白帽子公司是个全新领域，需要好好琢磨。”一位白帽子透露，阿里云被处罚后，公司一直在讨论如何在合规前提下，为客户提供及时有效的安全服务，甚至在考虑转型做一些相对模式较“重”的安全防御，在发现漏洞并上报的时间差里，先第一时间阻断攻击路径，“只是成本肯定会因此上升。”

首页上一页 1 23共 3 页

(责任编辑：周晶晶 CN032)

关闭

阿里云回应未及时上报漏洞被处罚 闭门思过六个月(3)

相关新闻

今日热点

频道热点

阿里云回应未及时上报漏洞被处罚闭门思过六个月(3)