“从安全的观点来看，云中有所不同的是当你租用软件即服务时，你已经将安全管理交给了第三方，”Wood说。“你想要将对安全的责任外包吗？你不能外包这个责任，你只能外包功能。这并不意味着安全性可以忽略不计，因为最终如果有一个数据破坏，这可是你的品牌和你的名声。“

　　“一个基于云计算的模型的最大问题是从任何地方登录的能力，以及这样一个事实——这主要是通过浏览器提供的，”wood继续说道。“在大多数情况下，认证是微不足道的。在大多数云环境中，并没有入侵检测或预防的概念，而且即使有，人们也不知道如何使用它们。”如果攻击者通过社会工程骗取合法的登陆认证，那这些技术也就毫无意义。

　　窃取这些凭证可以通过有针对性的攻击来完成。“钓鱼攻击作为一种主要入口点技术正在大量增加，”Wood表示。然而，在许多情况下，更多的基本技术，如打电话或假装为一个失去了远程登录认证的工人，可以起到同样有效的作用。“我们几乎每星期都会通过电话受到社会工程攻击，”伍德说。

　　要应对这个问题需要做些什么呢？“不要告诉员工他们是最薄弱环节让他们不好过，”伍德建议。“将他们转变为人类防火墙。投入时间和金钱，让员工明白，为什么这些攻击会发生，这些是真实的，以及如何抵御他们。“

　　另外两个简单的改变也有帮助。即确保员工只在重要的情况下才能具有管理访问系统的权利。Wood说：“那句老话在这里是毫无道理的——‘如果你在IT部门工作，你必须拥有管理员权限。’”伍德说。

　　最后，确保企业处理新员工或离职人员的程序有效地覆盖所有的凭证。“我们在大多数组织中发现的最大故障是加入者、活动者和离开者的过程速度都不够快，不够彻底。”