阿帕奇:罗Sir说—合规 | 安全漏洞砸中, 阿里云再遭点名!

|罗Sir说原创出品?|

2021年12月22日,工信部网络安全管理局通报称,阿里云计算有限公司发现阿帕奇Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。阿里云系工信部网络安全威胁信息共享平台合作单位,工信部网络安全管理局决定暂停阿里云作为上述合作单位6个月。暂停期满后,根据阿里云整改情况,研究恢复其上述合作单位。通报当天,阿里股价应声而降。

早在2021年12月17日,工信部网络安全管理局曾发布一则关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示,指出2021年12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台收到有关网络安全专业机构报告,阿帕奇Log4j2组件存在严重安全漏洞。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会。

数据:过去六个月超过5年的比特币UTXO占比增加17%:2月1日消息,由Unchain Capital创建并由Glassnode跟踪的比特币HODL Waves指标显示,在过去六个月里,超过五年的未花费交易输出(UTXO)的百分比增加了17%。HODL Waves指标跟踪UTXO年龄分布。因此,5年以上的UTXO百分比最近急剧上升,表明未花费的输出老化,这表明一些投资者在市场低迷期间仍在保留他们的持仓。

Blockware Solutions的首席分析师Joe Brunett在回应Capriole首席执行官Charles Edwards的推文时称,UTXO的老化是一个看涨的发展,他将UTXO的数据称为长期持有者以八年来最快的速度积累比特币的证据。[2023/2/1 11:41:01]

什么是阿帕奇Log4j2组件漏洞?

元宇宙聚合平台Beacon Global完成100万美元融资,GD Capital等参投:9月13日消息,一站式元宇宙聚合平台Beacon Global宣布完成100万美元融资,Candaq、RNGX、GD Capital、7 O'Clock Capital、Linden等机构参投。Beacon Global是一个将公会、玩家、游戏开发商、媒体、KOL汇聚在一起的元宇宙流量聚合平台,其业务范围涵盖媒体报道、项目服务、区块链知识教育培训等,涉及GameFi、DeFi、NFT、元宇宙等多个垂直赛道。[2022/9/13 13:25:59]

阿帕奇Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。该组件存在的远程代码漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。

星辉娱乐:公司全资子公司星辉天拓已成为元宇宙产业委员会常务委员:7月8日,A股上市公司星辉娱乐在互动平台表示,元宇宙游戏将原本割裂的现实世界与虚拟世界深度融合,对游戏装备及技术有较高的要求。目前公司全资子公司星辉天拓已成为元宇宙产业委员会常务委员,未来将进一步了解行业相关动态,探寻相关技术与游戏的有机结合,努力为玩家提供沉浸式的游戏产品体验。(财联社)[2022/7/10 2:02:58]

在收到阿帕奇Log4j2组件安全报告后,工业和信息化部已立即组织有关网络安全专业机构开展漏洞风险分析,召集阿里云、网络安全企业、网络安全专业机构等开展研判,通报督促阿帕奇软件基金会及时修补该漏洞,向行业单位进行风险预警。该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞。为降低网络安全风险,工业和信息化部提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞补丁发布,排查自有相关系统阿帕奇Log4j2组件使用情况,及时升级组件版本。

蚂蚁集团数字科技AIoT石易:区块链+IoT构建源头可信的物理世界链接:金色财经报道,6月23日,链上新能源在线研讨会举办。蚂蚁集团数字科技AIoT石易指出,蚂蚁链沉淀多项可信科技的技术优势,包括端云结合可信上链、跨多平台数据隐私、分布式身份管理、实物资产数字化。在技术和产品的进展上,蚂蚁链与客户一同拓展蚂蚁链可信IoT应用场景,当前我们在新能源行业已经管理了500w+设备,日平均上链量2000w+。实践案例包括:与奇瑞商用车初探车规级SDK锚定技术,实现车辆数据源头可信,助力完善车辆全生命周期管理,促进产业上下游高频协同;通过在无锡英臻科技自主研发的分布式新能源数据采集设备中嵌入深度优化的可信上链模组AntChainMaas,将分布式新能源场景中的核心通讯节点逆变器上链;蚂蚁链为哈啰助力车植入深度优化区块链模块,行车数据、电池加密上链,为金融机构提供可靠的风控评估依据。在这其中,区块链+IoT构建了源头可信的物理世界链接,未来蚂蚁链将持续构建全栈可信的数字技术,共建实体经济可信高效协作底座。[2022/6/23 1:26:32]

而且,由于阿帕奇Log4j2组件是开源代码,应用非常之广,此次安全漏洞不只关系到阿里云,还关系到所有使用Log4j2组件进行开发和应用的公司。

ETH跌破1000美元:ETH跌破1000美元,现报999.47美元,日内跌幅达到9.47%,行情波动较大,请做好风险控制。[2022/6/18 4:36:36]

什么是CSTIS平台?

工信部网络安全威胁和漏洞信息共享平台于2021年9月1日上线,是一个汇集、通报漏洞信息的共享平台,合作伙伴基本覆盖了基础电信企业、互联网企业、网络安全企业。中国电信、中国移动、阿里云、腾讯、京东、360、百度在内的31家企业都是该平台合作伙伴。

CSTIC平台建立的初衷顾名思义就是信息共享,及时得到漏洞通知。尤其是这种开源软件安全漏洞的传达是分秒必争的,如果安全漏洞在被发现之后先被攻击者知晓,就会造成不可挽回的损失。所以有必要建立共享平台,保证在漏洞被广泛揭晓之前,先给关键服务提供商修复的机会。

而阿里云被暂停合作6个月,对于国内最大的公有云服务商而言,失去了6个月第一时间共享安全信息的渠道,不仅是阿里云,对于其合作方也是不小的损失。据悉,阿里云今年才扭亏转赢,对于被寄予厚望的阿里云而言,暂停与CSTIS合作显然不是好消息。

阿里云为什么要被整改?

阿里云在发现漏洞后第一时间告知阿帕奇软件基金会从技术层面是完全没有问题,这也有利于漏洞修复,但是阿里云却没有第一时间告知CSTIS平台,违背了信息共享设立之目的,也违反了《网络产品安全漏洞管理规定》

安全规定第七条规定,网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:

发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。

其中第款指出要在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息,显然阿里云没有做到。

今天下午阿里云发布的情况说明也证实了这点。

在网络安全方面,我国起步较晚,2017年才出台《网络安全法》,以立法形式明确了服务商的安全报告义务。网络产品、服务发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

但《网络安全法》只是一部框架性的法律,如果要实施还需要更多配套法规与实施细则的支撑,于是工信部在2019年9月印发了《公共互联网网络安全威胁监测与处置办法》,也是在这时建立了网络安全威胁信息共享平台(https://www.cstis.cn/),负责统一汇集、存储、分析、通报、发布网络安全威胁信息,并有权通知存在漏洞、后门的网络服务和产品的提供者,由其采取整改措施,消除安全隐患。

2021年7月,工信部、部联合发布安全规定,将“及时向有关主管部门报告”细化为“应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息”。而阿里云在2021年12月犯这种未及时报告的错误实属不应该。?

这也给各网络安全公司敲响了警钟。网络产品安全漏洞收集平台、网络产品提供者或网络运营者都应全面梳理自己角色对应的网络安全漏洞合规义务。相关行业都要构建有效的网络安全漏洞响应机制,如设立安全运营中心,或在网站、App设立专门页面接收漏洞报告。并在2日内向工信部报告。如果技术能力相对有限,可以与安全厂商合作建立企业的安全运营中心。企业内部的信息安全部门、IT部门、法务部门等应当共同制定漏洞规则,围绕接收、响应、处置的流程,草拟漏洞接收后的反馈文本,指定的漏洞报送的格式。

在此基础上,确保安全漏洞的接收日志留存期限不少于6个月,在草拟上述文本时可参考《网络安全漏洞管理规范》,谨防触碰网络安全红线。

罗Sir说

罗Sir说是全球区块链合规联盟官方自媒体,全球区块链合规联盟提供相关企业业务合规资质服务,欢迎通过邮箱service@gbcuf.com或微信与我们进行更详细的业务沟通。

来源:金色财经

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:979ms