羅Sir說—合規 | 安全漏洞砸中, 阿里云再遭點名!_FTX

|羅Sir說原創出品?|

2021年12月22日，工信部網絡安全管理局通報稱，阿里云計算有限公司發現阿帕奇Log4j2組件嚴重安全漏洞隱患后，未及時向電信主管部門報告，未有效支撐工信部開展網絡安全威脅和漏洞管理。阿里云系工信部網絡安全威脅信息共享平臺合作單位，工信部網絡安全管理局決定暫停阿里云作為上述合作單位6個月。暫停期滿后，根據阿里云整改情況，研究恢復其上述合作單位。通報當天，阿里股價應聲而降。

早在2021年12月17日，工信部網絡安全管理局曾發布一則關于阿帕奇Log4j2組件重大安全漏洞的網絡安全風險提示，指出2021年12月9日，工業和信息化部網絡安全威脅和漏洞信息共享平臺收到有關網絡安全專業機構報告，阿帕奇Log4j2組件存在嚴重安全漏洞。近日，阿里云計算有限公司發現阿帕奇Log4j2組件存在遠程代碼執行漏洞，并將漏洞情況告知阿帕奇軟件基金會。

三箭資本聯創Kyle Davies：已放棄美國國籍，不接受美國法院的管轄:金色財經報道，倒閉的加密對沖基金三箭資本的聯合創始人Kyle Davies表示，他放棄了美國公民身份，因此不需要向美國法院做出回應。在周二的法庭文件中，Davies表示，他于 2017 年成功成為新加坡永久居民，由于新加坡不允許雙重國籍，戴維斯在結婚時放棄了美國國籍。今天提交的一份法定聲明稱：“為避免疑義，我不會被美國法院管轄、也不必接受美國法院的管轄”。

三箭的清算人上個月向其聯合創始人Kyle Davies和Su Zhu索要13億美元賠償。[2023/8/2 16:12:57]

什么是阿帕奇Log4j2組件漏洞？

阿帕奇Log4j2組件是基于Java語言的開源日志框架，被廣泛用于業務系統開發。該組件存在的遠程代碼漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。

FTX CEO：很高興看到部分實體擁有“具償付能力的資產負債表”:11月20日消息，FTX全球資產戰略審查已啟動，FTX新任CEOJohn J.RayIII在一份聲明中表示：根據我們過去一周的審查，我們很高興地了解到，FTX在美國境內外的許多受監管或許可的子公司都擁有償付能力良好的資產負債表、負責任的管理和有價值的特許經營權。

根據聲明，被稱為'FTX債務人'（FTXDebtors）的FTX相關公司已啟用PerellaWeinbergPartnersLP作為牽頭投資銀行，并開始準備出售或重組一些資產。Ray表示：我已經指示FTXDebtors的團隊在困難情況下盡可能優先考慮保留特許經營權價值。

FTX債務人已向破產法院提出各種動議，尋求法院的臨時救濟，如果獲得批準，將運行新的全球現金管理系統和付款程序。聽證會定于11月22日舉行。（Fortune）[2022/11/20 22:08:20]

在收到阿帕奇Log4j2組件安全報告后，工業和信息化部已立即組織有關網絡安全專業機構開展漏洞風險分析，召集阿里云、網絡安全企業、網絡安全專業機構等開展研判，通報督促阿帕奇軟件基金會及時修補該漏洞，向行業單位進行風險預警。該漏洞可能導致設備遠程受控，進而引發敏感信息竊取、設備服務中斷等嚴重危害，屬于高危漏洞。為降低網絡安全風險，工業和信息化部提醒有關單位和公眾密切關注阿帕奇Log4j2組件漏洞補丁發布，排查自有相關系統阿帕奇Log4j2組件使用情況，及時升級組件版本。

人民銀行金融研究所所長：數字人民幣是現金替代品，未來國內會探索更多應用場景:金色財經報道，在法國召開的2022國際私募股權大會上參會嘉賓圍繞人民幣國際化與數字貨幣進行了專題演講，中國人民銀行金融研究所所長周誠君表示數字人民幣是現金替代品，未來在中國國內會探索更多應用場景。法蘭西銀行經濟與國際關系部副總監布魯諾·卡布里亞克表示，數字人民幣的推廣說明人民幣國際化已經進入數字化發展階段，做出了新的嘗試。（人民網-國際頻道）[2022/9/26 7:21:28]

而且，由于阿帕奇Log4j2組件是開源代碼，應用非常之廣，此次安全漏洞不只關系到阿里云，還關系到所有使用Log4j2組件進行開發和應用的公司。

什么是CSTIS平臺？

工信部網絡安全威脅和漏洞信息共享平臺于2021年9月1日上線，是一個匯集、通報漏洞信息的共享平臺，合作伙伴基本覆蓋了基礎電信企業、互聯網企業、網絡安全企業。中國電信、中國移動、阿里云、騰訊、京東、360、百度在內的31家企業都是該平臺合作伙伴。

Web3自1月以來因網絡攻擊損失14.8億美元:金色財經報道，網絡安全公司Hacken最近的一項研究顯示，從2022年1月到2022年5月，Web3總共因網絡攻擊損失了14.78億美元，其中4起事件就占總損失的81%。Ronin Network、Solana Wormhole、Beanstalk和Qubit金融事件是造成12億美元損失的四大超級黑客事件。報告指出，在14.78億美元的損失總額中，僅追回了4.5%，約合6800萬美元。（cryptoslate）[2022/7/20 2:26:45]

CSTIC平臺建立的初衷顧名思義就是信息共享，及時得到漏洞通知。尤其是這種開源軟件安全漏洞的傳達是分秒必爭的，如果安全漏洞在被發現之后先被攻擊者知曉，就會造成不可挽回的損失。所以有必要建立共享平臺，保證在漏洞被廣泛揭曉之前，先給關鍵服務提供商修復的機會。

NFT交易市場ZORA發布ZORA API:6月2日消息，NFT交易市場ZORA發布ZORA API，供開發者輕松創建自己的NFT市場、應用和平臺。[2022/6/2 3:58:57]

而阿里云被暫停合作6個月，對于國內最大的公有云服務商而言，失去了6個月第一時間共享安全信息的渠道，不僅是阿里云，對于其合作方也是不小的損失。據悉，阿里云今年才扭虧轉贏，對于被寄予厚望的阿里云而言，暫停與CSTIS合作顯然不是好消息。

阿里云為什么要被整改？

阿里云在發現漏洞后第一時間告知阿帕奇軟件基金會從技術層面是完全沒有問題，這也有利于漏洞修復，但是阿里云卻沒有第一時間告知CSTIS平臺，違背了信息共享設立之目的，也違反了《網絡產品安全漏洞管理規定》

安全規定第七條規定，網絡產品提供者應當履行下列網絡產品安全漏洞管理義務，確保其產品安全漏洞得到及時修補和合理發布，并指導支持產品用戶采取防范措施：

發現或者獲知所提供網絡產品存在安全漏洞后，應當立即采取措施并組織對安全漏洞進行驗證，評估安全漏洞的危害程度和影響范圍；對屬于其上游產品或者組件存在的安全漏洞，應當立即通知相關產品提供者。應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息。報送內容應當包括存在網絡產品安全漏洞的產品名稱、型號、版本以及漏洞的技術特點、危害和影響范圍等。應當及時組織對網絡產品安全漏洞進行修補，對于需要產品用戶采取軟件、固件升級等措施的，應當及時將網絡產品安全漏洞風險及修補方式告知可能受影響的產品用戶，并提供必要的技術支持。

其中第款指出要在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息，顯然阿里云沒有做到。

今天下午阿里云發布的情況說明也證實了這點。

在網絡安全方面，我國起步較晚，2017年才出臺《網絡安全法》，以立法形式明確了服務商的安全報告義務。網絡產品、服務發現其網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告。

但《網絡安全法》只是一部框架性的法律，如果要實施還需要更多配套法規與實施細則的支撐，于是工信部在2019年9月印發了《公共互聯網網絡安全威脅監測與處置辦法》，也是在這時建立了網絡安全威脅信息共享平臺(https://www.cstis.cn/），負責統一匯集、存儲、分析、通報、發布網絡安全威脅信息，并有權通知存在漏洞、后門的網絡服務和產品的提供者，由其采取整改措施，消除安全隱患。

2021年7月，工信部、部聯合發布安全規定，將“及時向有關主管部門報告”細化為“應當在2日內向工業和信息化部網絡安全威脅和漏洞信息共享平臺報送相關漏洞信息”。而阿里云在2021年12月犯這種未及時報告的錯誤實屬不應該。?

這也給各網絡安全公司敲響了警鐘。網絡產品安全漏洞收集平臺、網絡產品提供者或網絡運營者都應全面梳理自己角色對應的網絡安全漏洞合規義務。相關行業都要構建有效的網絡安全漏洞響應機制，如設立安全運營中心，或在網站、App設立專門頁面接收漏洞報告。并在2日內向工信部報告。如果技術能力相對有限，可以與安全廠商合作建立企業的安全運營中心。企業內部的信息安全部門、IT部門、法務部門等應當共同制定漏洞規則，圍繞接收、響應、處置的流程，草擬漏洞接收后的反饋文本，指定的漏洞報送的格式。

在此基礎上，確保安全漏洞的接收日志留存期限不少于6個月，在草擬上述文本時可參考《網絡安全漏洞管理規范》，謹防觸碰網絡安全紅線。

羅Sir說

羅Sir說是全球區塊鏈合規聯盟官方自媒體，全球區塊鏈合規聯盟提供相關企業業務合規資質服務，歡迎通過郵箱service@gbcuf.com或微信與我們進行更詳細的業務溝通。

來源：金色財經

Tags：阿帕奇FTXCSTSTI阿帕奇幣騙局RINGER Vault (NFTX)CSTL價格BROADCASTING

加密貨幣