Alibaba Cloud respondió al severo castigo del Ministerio de Industria y Tecnología de la Información

Alibaba Cloud respondió que fue severamente castigada por el Ministerio de Industria y Tecnología de la Información

Alibaba Cloud respondió que fue severamente castigada por el Ministerio de Industria y Tecnología de la Información Este incidente refleja. las omisiones generalizadas de concienciación en la industria informática. El impacto de este incidente en la industria es positivo. Es una advertencia y una demostración. Alibaba Cloud respondió que fue severamente castigada por el Ministerio de Industria y Tecnología de la Información. Alibaba Cloud respondió al severo castigo del Ministerio de Industria y Tecnología de la Información 1

En la noche del 23 de diciembre, Alibaba Cloud Computing Co., Ltd. (en lo sucesivo, "Alibaba Cloud") no cumplió Responder después de descubrir una vulnerabilidad de seguridad grave en el componente Apache Log4j2, Alibaba Cloud respondió al incidente reportado a las autoridades de telecomunicaciones de manera oportuna y afirmó que Alibaba Cloud no se dio cuenta de la gravedad de la vulnerabilidad en las primeras etapas. compartir la información sobre vulnerabilidades de manera oportuna. Alibaba Cloud fortalecerá la gestión de informes de vulnerabilidad, mejorará la concientización sobre el cumplimiento y colaborará activamente con todas las partes para prevenir riesgos de seguridad de la red.

Alibaba Cloud declaró que recientemente, un ingeniero de investigación y desarrollo de Alibaba Cloud descubrió un error de seguridad en el componente Log4j2 y lo informó a la comunidad de código abierto Apache, el desarrollador de software, por correo electrónico en de acuerdo con la práctica de la industria. Una pregunta que pide ayuda. La comunidad de código abierto de Apache confirmó que se trata de una vulnerabilidad de seguridad y lanzó un parche de solución a nivel mundial. Posteriormente, el mundo exterior confirmó la vulnerabilidad como una vulnerabilidad global importante. Log4j2 es un componente de registro de código abierto de la comunidad de código abierto Apache. Es ampliamente utilizado en el desarrollo de diversos sistemas comerciales por parte de empresas y organizaciones de todo el mundo.

Anteriormente, Alibaba Cloud fue multada por este asunto. El 22 de diciembre, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información informó que Alibaba Cloud es una unidad cooperativa de la plataforma de intercambio de información sobre amenazas de ciberseguridad del Ministerio de Industria y Tecnología de la Información. Recientemente, después de que Alibaba Cloud descubriera una grave vulnerabilidad de seguridad en el componente Apache Log4j2, no la informó a las autoridades de telecomunicaciones de manera oportuna y no apoyó de manera efectiva al Ministerio de Industria y Tecnología de la Información en la gestión de vulnerabilidades y amenazas a la seguridad de la red. Después de la investigación, Alibaba Cloud ha sido suspendida como unidad cooperativa antes mencionada durante 6 meses. Una vez que expire el período de suspensión, Alibaba Cloud estudiará la restauración de sus unidades cooperativas mencionadas anteriormente en función de la situación de rectificación.

El 9 de diciembre, la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información recibió un informe de organizaciones profesionales de seguridad de redes relevantes de que el componente Apache Log4j2 tiene graves vulnerabilidades de seguridad. El Ministerio de Industria y Tecnología de la Información organizó de inmediato instituciones profesionales de seguridad de redes relevantes para realizar análisis de riesgo de vulnerabilidad, convocó a Alibaba Cloud, empresas de seguridad de redes e instituciones profesionales de seguridad de redes para realizar investigaciones y juicios, notificó e instó a la Apache Software Foundation a reparar lo antes posible. vulnerabilidad y emitió advertencias de riesgo a las unidades de la industria.

Esta vulnerabilidad puede provocar el control remoto del dispositivo, lo que puede provocar daños graves, como el robo de información confidencial y la interrupción del servicio del dispositivo. Es una vulnerabilidad de alto riesgo. Para reducir los riesgos de seguridad de la red, se recuerda a las unidades relevantes y al público que presten mucha atención a la publicación de parches de vulnerabilidad para el componente Apache Log4j2, investiguen el uso del componente Apache Log4j2 en sus propios sistemas relacionados y actualicen la versión del componente. de manera oportuna.

Alibaba Cloud ocupa una posición importante en el mercado de la nube de China Anteriormente, Canalys publicó el informe del tercer trimestre del mercado de computación en la nube de China en 2021. El informe muestra que el mercado de computación en la nube de China en su conjunto aumentó un 43% interanual en el tercer trimestre de 2021, alcanzando los 7.200 millones de dólares. Alibaba Cloud lideró el mercado de China continental con una participación del 38,3% en el tercer trimestre de 2021. El crecimiento anual de los ingresos del 33,3% fue impulsado principalmente por Internet, los servicios financieros y las industrias minoristas. Alibaba Cloud respondió al severo castigo del Ministerio de Industria y Tecnología de la Información 2

Recientemente, algunos medios informaron que Alibaba Cloud descubrió una vulnerabilidad de seguridad en el componente Apache Log4j2, pero no lo informó a la autoridad de telecomunicaciones. de manera oportuna y no apoyó eficazmente al Ministerio de Industria y Tecnología de la Información en la realización de amenazas a la ciberseguridad y la gestión de vulnerabilidades. Por lo tanto, Alibaba Cloud queda suspendida como unidad de cooperación mencionada anteriormente durante 6 meses.

Lo que originalmente era un círculo técnico se ha convertido en un tema candente en la sociedad. Durante un tiempo, los internautas se dividieron en dos círculos:

Las personas en el círculo no técnico dijeron: Siento que Alibaba Cloud solo informa a Apache, la comunidad técnica, y no a la organización, porque No tiene en cuenta la seguridad nacional.

El círculo técnico dijo: Por supuesto, quienquiera que haya escrito el error debe ser informado a quién. Las vulnerabilidades de seguridad de Apache deben informarse a Apache y no se pueden poner en línea.

En la noche del día 23, Alibaba Cloud emitió una declaración sobre la vulnerabilidad log4j2, admitió sinceramente su error y afirmó que fortalecería la gestión de informes de vulnerabilidad, mejoraría la conciencia de cumplimiento y colaboraría activamente con todas las partes para impedir la seguridad de la red.

Si analizamos este tema tan técnico, hay muchos hechos que es necesario aclarar.

En primer lugar, ¿qué es la comunidad de código abierto Apache? ¿Qué son los componentes de Log4j2?

Apache es una comunidad de código abierto influyente internacionalmente. Según el sitio web oficial, empresas chinas como Huawei, Tencent y Alibaba son importantes contribuyentes a esta comunidad de código abierto, así como empresas estadounidenses como Google y Microsoft. Los ingenieros de software de todo el mundo construyen aquí algunos componentes de software básicos para iterar entre sí y mejorar la eficiencia de la empresa. Este es un fenómeno único en la industria del software.

La vulnerabilidad Log4j2 descubierta esta vez es el componente de registro de código abierto de la comunidad de código abierto Apache. Muchas empresas utilizarán este componente para desarrollar sus propios sistemas. Cuando los ingenieros de Alibaba Cloud descubrieron un problema con este componente, enviaron un correo electrónico a Apache, pidiendo a la comunidad que confirmara si se trataba de una vulnerabilidad y evaluara el alcance del impacto.

Apache luego confirmó que se trataba de una vulnerabilidad y notificó a los desarrolladores para que la parchearan. Como resultado, hubo una situación en la que Tianya *** estaba corrigiendo las lagunas juntos.

Sin embargo, Alibaba Cloud omitió una plataforma de informes oficial que se lanzó no hace mucho y solo siguió la práctica de la industria para informar este problema a la comunidad de código abierto Apache, el desarrollador de software, por correo electrónico para solicitar ayuda.

En segundo lugar, ¿qué significa la suspensión por parte del Ministerio de Industria y Tecnología de la Información del estatus de socio de Alibaba Cloud durante 6 meses?

Según WeChat News de información de la industria: "El 9 de diciembre, la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información recibió un informe de organizaciones profesionales de seguridad de redes relevantes. El componente Apache Log4j2 allí Es una vulnerabilidad de seguridad grave, el Ministerio de Industria y Tecnología de la Información organizó de inmediato organizaciones profesionales de seguridad de redes relevantes para realizar análisis de riesgo de vulnerabilidad, convocó a Alibaba Cloud, empresas de seguridad de redes y organizaciones profesionales de seguridad de redes para realizar investigaciones y juicios, y notificó e instó a la. Apache Software Foundation para reparar rápidamente la vulnerabilidad, para proporcionar advertencias de riesgo a las unidades de la industria”

La suspensión de seis meses de las calificaciones de las unidades de cooperación informada por los medios no apareció en los canales públicos. Según análisis de expertos del sector, esto no es un "castigo" en sentido estricto, de lo contrario sería imposible no hacer una notificación pública. En segundo lugar, la plataforma de intercambio de información sobre vulnerabilidades y amenazas a la seguridad de la red es una plataforma para recopilar e informar sobre las vulnerabilidades de seguridad de la red. La suspensión de la calificación de cooperación de esta plataforma no afectará el negocio.

Advertencia de riesgo del Ministerio de Industria y Tecnologías de la Información sobre las vulnerabilidades de Log4j2

Sin embargo, este incidente refleja la falta de conciencia común en la industria informática. Durante las décadas de desarrollo de la industria informática nacional, una gran cantidad de empleados y organizaciones han desarrollado el hábito de trabajar de cooperar con la comunidad de código abierto. Sin embargo, la conciencia de seguridad de alto nivel y la conciencia de cumplimiento han sido desafiadas ideológica e institucionalmente. El comportamiento de subnotificación de Alibaba Cloud también es una manifestación concreta de esta omisión de conciencia.

En general, el impacto de este incidente en la industria es positivo, es una advertencia y una demostración. Alibaba Cloud es la empresa de TI líder en la industria, por lo que fue la primera en descubrir importantes vulnerabilidades de seguridad globales. La ocurrencia de este incidente sin duda mejorará la conciencia sobre el cumplimiento de la seguridad de la industria informática. otras Muchas empresas de tecnología fortalecerán la capacitación en cumplimiento y los estándares de procesos dentro de las empresas y organizaciones. Alibaba Cloud respondió al severo castigo del Ministerio de Industria y Tecnología de la Información 3

Recientemente, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información informó que Alibaba Cloud Computing Co., Ltd. no informó con prontitud a las autoridades de telecomunicaciones después de descubrir graves vulnerabilidades de seguridad en el componente Apache Log4j2. El informe no apoyó eficazmente al Ministerio de Industria y Tecnología de la Información en la gestión de vulnerabilidades y amenazas a la seguridad de la red.

El informe señala que Alibaba Cloud es una unidad cooperativa de la plataforma de intercambio de información sobre amenazas a la seguridad de la red del Ministerio de Industria y Tecnología de la Información. Después de una investigación, la Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información decidió suspender Alibaba Cloud como unidad de cooperación antes mencionada durante 6 meses. Una vez que expire el período de suspensión, Alibaba Cloud estudiará la restauración de sus unidades cooperativas mencionadas anteriormente en función de la situación de rectificación.

Observer.com realizó un informe detallado sobre este incidente hace unos días. El 24 de noviembre, después de que Alibaba Cloud descubriera lo que puede ser "la mayor vulnerabilidad en la historia de la informática", tomó la iniciativa en revelarla. a la Apache Software Foundation descubrió esta vulnerabilidad, pero no notificó de inmediato al Ministerio de Industria y Tecnología de la Información de China la información relevante. La existencia de esta vulnerabilidad permite a los atacantes de la red acceder al servidor de la red sin contraseña.

El Ministerio de Industria y Tecnología de la Información informa importantes vulnerabilidades de seguridad en el componente Apache Log4j2

El componente Apache (Apache) Log4j2 es un marco de registro de código abierto Está basado en el lenguaje Java y se utiliza ampliamente para el desarrollo de sistemas empresariales. Recientemente, Alibaba Cloud Computing Co., Ltd. descubrió una vulnerabilidad de ejecución remota de código en el componente Apache Log4j2 e informó a la Apache Software Foundation sobre la vulnerabilidad.

Esta vulnerabilidad puede provocar el control remoto del dispositivo, lo que puede provocar daños graves, como el robo de información confidencial y la interrupción del servicio del dispositivo. Es una vulnerabilidad de alto riesgo. Para reducir los riesgos de seguridad de la red, se recuerda a las unidades relevantes y al público que presten mucha atención a la publicación de parches de vulnerabilidad para el componente Apache Log4j2, investiguen el uso del componente Apache Log4j2 en sus propios sistemas relacionados y actualicen la versión del componente. de manera oportuna.

La Administración de Ciberseguridad del Ministerio de Industria y Tecnología de la Información continuará organizando y llevando a cabo trabajos de eliminación de vulnerabilidades para prevenir el riesgo de vulnerabilidades de seguridad de los productos de la red y mantener la seguridad de la red pública de Internet.