云服務(wù)并非從根本上就脆弱，而是因?yàn)樗鼈儽辉O(shè)計(jì)得太糟糕；它們易受攻擊是因?yàn)樗鼈兊氖褂谜吣軌蜉p易被人的弱點(diǎn)所控制。如果你的企業(yè)使用云計(jì)算服務(wù)卻又不教育你的員工，數(shù)據(jù)一定會(huì)出紕漏，而你就等著名譽(yù)掃地吧。

    資深“正派”黑客Peter Wood在倫敦?cái)?shù)據(jù)中心世界的一次演示中提出了這樣的說(shuō)法。Wood的公司自1989年以來(lái)一直做滲透測(cè)試系統(tǒng)。雖然黑客入侵的技術(shù)方法已經(jīng)發(fā)生了翻天覆地的變化，但訪問(wèn)信息所需的社會(huì)工程技術(shù)（即利用人的弱點(diǎn)，讓人上當(dāng)）從根本上是保持不變的。

    “從安全的觀點(diǎn)來(lái)看，云中有所不同的是當(dāng)你租用軟件即服務(wù)時(shí)，你已經(jīng)將安全管理交給了第三方，” Wood說(shuō)。“你想要將對(duì)安全的責(zé)任外包嗎？你不能外包這個(gè)責(zé)任，你只能外包功能。這并不意味著安全性可以忽略不計(jì)，因?yàn)樽罱K如果有一個(gè)數(shù)據(jù)破壞，這可是你的品牌和你的名聲。“

    “一個(gè)基于云計(jì)算的模型的最大問(wèn)題是從任何地方登錄的能力，以及這樣一個(gè)事實(shí)——這主要是通過(guò)瀏覽器提供的，”wood繼續(xù)說(shuō)道。“在大多數(shù)情況下，認(rèn)證是微不足道的。在大多數(shù)云環(huán)境中，并沒(méi)有入侵檢測(cè)或預(yù)防的概念，而且即使有，人們也不知道如何使用它們。”如果攻擊者通過(guò)社會(huì)工程騙取合法的登陸認(rèn)證，那這些技術(shù)也就毫無(wú)意義。

    竊取這些憑證可以通過(guò)有針對(duì)性的攻擊來(lái)完成。“釣魚(yú)攻擊作為一種主要入口點(diǎn)技術(shù)正在大量增加，”Wood表示。然而，在許多情況下，更多的基本技術(shù)，如打電話或假裝為一個(gè)失去了遠(yuǎn)程登錄認(rèn)證的工人，可以起到同樣有效的作用。“我們幾乎每星期都會(huì)通過(guò)電話受到社會(huì)工程攻擊，”伍德說(shuō)。

    要應(yīng)對(duì)這個(gè)問(wèn)題需要做些什么呢？“不要告訴員工他們是最薄弱環(huán)節(jié)讓他們不好過(guò)，”伍德建議。“將他們轉(zhuǎn)變?yōu)槿祟惙阑饓ΑＭ度霑r(shí)間和金錢(qián)，讓員工明白，為什么這些攻擊會(huì)發(fā)生，這些是真實(shí)的，以及如何抵御他們。“

    另外兩個(gè)簡(jiǎn)單的改變也有幫助。即確保員工只在重要的情況下才能具有管理訪問(wèn)系統(tǒng)的權(quán)利。Wood說(shuō)：“那句老話在這里是毫無(wú)道理的——‘如果你在IT部門(mén)工作，你必須擁有管理員權(quán)限。’”伍德說(shuō)。

    最后，確保企業(yè)處理新員工或離職人員的程序有效地覆蓋所有的憑證。“我們?cè)诖蠖鄶?shù)組織中發(fā)現(xiàn)的最大故障是加入者、活動(dòng)者和離開(kāi)者的過(guò)程速度都不夠快，不夠徹底。”