攻击通常很简单：一封带链接的邮件，在Office 365中打开一个Word文档，Office 365是微软基于SaaS的订阅生产软件。

实际上，文档在深网上带来了一个隐藏网站，利用了Office 365的漏洞。云安全公司Adallom去年年底检测到这种类型的攻击，攻击者尝试在被害人的SharePoint服务器上访问文件。攻击一旦成功，数据盗贼就能够从SharePoint服务器上抓取任何信息，而且客户或者云提供商并不知道出现了差错。

Menlo Park的首席软件架构师Noam Liran表示：“这是一次完美的犯罪。”他在此次攻击的分析中写道：这种犯罪发生，受害人并不知道他已经受到了攻击；也没有证据证明有任何不正当的行为发生；要使自己免受类似的攻击是不可能的。

微软十二月份为这个漏洞打了补丁，而且微软并不是唯一一个引起这种计算机犯罪的软件即服务（SaaS）提供商。实际上，在过去的12个月里，Adallom发现寻求安全保护的29家云提供商中有四家受到了类似的攻击，三家在进行中实施了组织，第四家的攻击失败了。以一位Adallom客户的员工为例，他的家庭电脑感染了宙斯木马的变体，目标是Salesforce.com，而且转而尝试从这个云服务上下载所有的客户数据。此次攻击在发生的100秒后得以制止，没有利用Salesforce的漏洞，Adallom认为不管是云提供商还是其客户很可能都没有捕捉到这次攻击。

Office 365和Salesforce.com攻击凸显了懂行的人的计算机犯罪的影响，利用了云计算提供商和其客户之间的信息安全缺口。这种缺口确实存在，因为企业无法在其范围内检测或者控制云数据的访问，而云提供商不能或者没有为客户授权其数据如何访问的可视化。

其他的云安全提供商也看到了这种攻击。Skyhigh Networks是一家云安全公司，帮助企业管理其云使用，检测可能隐藏在云客户和服务提供商之间的可视化缺口之间的攻击。一个攻击者尝试从客户使用Twitter的行为泄露数据，但是在计算机尝试在一天发送十万条微博的时候被检测到了。

Alert Logic为云基础架构提供安全保护，也记录了攻击者对于云服务关注度的增加。其客户面临蛮力攻击（比如密码猜测等）的比例去年增加到44%，2012年为30%；漏洞扫描在2013年增加到44%，前一年则为22%。

漏洞和无法可视化

IOActive的服务总监Robert Zigweid表示，可以访问云服务的漏洞非常常见，这是一家安全服务公司，为主要的云提供商进行安全评估，包括亚马逊Web服务和谷歌App。他表示跨站脚本、跨站请求伪造以及糟糕的安全服务应用程序接口（API）都是最常见的。

虽然Adallom检测的29家中4家可能显示了很高的攻击成功率，但是以Skyhigh的数据为例，他们的数据1%以业务为中心的服务到38%的以客户为核心的服务，攻击者很容易找到途径在云端成功访问有价值的数据。云提供商的随处易于访问基础架构比想象得更易于妥协，Zigweid强调这种类型的攻击比可访问数据更常见。Zigweid表示：“我们最近在做触探测试，假设环境中的某个地方存在缺乏抵抗力的服务，我们采取你了解的如何保护数据的方法，发现在云环境和BYOD环境中这些都是真实的。”

专家表示，虽然追踪和修复这样的问题是必须的，但是缺乏客户的数据在云端发生了什么的可视化是更为严重的问题。大多数云提供商拒绝对于其客户在云端的数据承担安全责任，很多也不提供其客户必须的攻击，比如事件日志或者灵活的预警，来帮助客户检测托管数据的一场访问。

“很多这样的问题很难检测，比如数据库抓取和恶意软件后门，”Larry Ponemon说道，她是Ponemon研究公司的主席，“真正的天才坏蛋都知道这些问题，很可能发现提供商和客户之间的无法可视化。”

如何更好地封闭企业和其提供商之间的云数据安全缺口尚不明确，或者甚至谁有责任来做这件事都不清晰；SaaS提供商通常期望企业确保自己的数据安全，同时企业期望云提供商保护数据安全，免受攻击，因为只有提供商能看见数据。

虽然有80%的企业使用SaaS，但是只有一半的IT管理者认为他们能够对于其云服务的安全性拥有可视化，此项结论出自Ponemon研究公司去年发布的一项调查，在关注究竟谁应该对云应用负责上：36%将责任归到提供商身上，31%归到使用云的员工上。

虽然从表面上看，关于云数据安全该谁负责的探讨很合理，而且很多先例已经将责任更多的分配给云提供商。银行最先避开责任，如果客户的系统被攻击，损失金钱，他们不负责任，现在越来越多的法律迫使他们去保护自己的客户。

“如果一个银行的客户用一台感染恶意软件的笔记本电脑，他们将所有的客户的钱转到乌克兰，这对银行就是个大问题，”Ponemon说道，“相反，我觉得很多云提供商会说‘我们就是设备；我们就是软件即服务’；如果发生了什么，不是我们的问题，他们真的不能再这么干下去了。”

了解你的云提供商

为了避免成为云数据攻击的牺牲品，比如Office 365和Salesforce.com，企业首先必须研究其未来的云提供商，并且确保他们可以活得更多的保证，提供商应该提供保护，并且提供客户数据安全的可视化，Rich Mogull表示，他是安全分析公司Securosis的CEO。

“一些云提供商的确令人信任，但是很多却不是，你真的需要自己调研了解不同，”他说，“好一点的提供商更明白他们如何做安全，经历了大量的审计和评估，让其更加公众化，为客户所了解。”

Skyhigh Networks的CEO Rajiv Gupta认为，直到更多的云服务为其客户提供访问日志或者监控服务和异常现象警报为止，大多数企业必须找到一条途径自己保护自己。“大多数云服务提供商并不会对信息丢失来负责，”他说。

这种纠结的云现状对于Adallom、BitGlass、Skyhigh Networks以及其他的第三方创业公司来说都意味着大量的业务，这些公司关注加强云数据安全。一些云安全专家相信，提供更好的可视化的服务需求在未来会越来越多。

然而，一些专家表示这样的服务对于企业都是暂时的需求，直到云服务能够更紧密地同期客户服务，确保其云端数据的安全，使用API调用允许客户看谁访问了其亚马逊Web服务实例。