* Comprensione dell'attacco: I team di sicurezza spesso hanno bisogno di tempo per comprendere appieno l'entità e la natura di una violazione prima di intraprendere azioni drastiche come scollegare i sistemi compromessi. Ranerosi a chiudere le cose potrebbe inavvertitamente interrompere i servizi cruciali o ostacolare le indagini. Devono mappare i movimenti dell'attaccante, identificare i sistemi compromessi e determinare l'ambito dei dati a cui si accede. Questo richiede tempo e un'attenta analisi.
* contenente la violazione: La chiusura immediata dei sistemi non è sempre l'approccio migliore. Una risposta ben pianificata e misurata potrebbe comportare l'isolamento di sistemi infetti, il monitoraggio dell'attività degli attaccanti per apprendere le loro tecniche e l'impostazione di trappole per ottenere più intelligenza. Questo monitoraggio "in diretta" può fornire approfondimenti cruciali sui metodi e sugli obiettivi dell'attaccante.
* Considerazioni legali e normative: I tempi e la natura della loro risposta sono probabilmente influenzati dagli obblighi legali e normativi. Potrebbero essere tenuti a documentare tutto, preservare le prove e potenzialmente collaborare con le forze dell'ordine. Queste procedure richiedono tempo.
* Vincoli di risorse: La risposta a un grave incidente di sicurezza richiede risorse significative:personale, strumenti specializzati e competenze. Microsoft, sebbene grande, sta ancora gestendo la sua risposta entro i limiti della forza lavoro e degli specialisti disponibili. Il coordinamento di una risposta in molti team e dipartimenti richiede tempo.
* Complessità del sistema: La rete di Microsoft è incredibilmente vasta e complessa. Identificare tutti i sistemi compromessi e rimuovere l'attore delle minacce senza causare una significativa interruzione è un compito monumentale che richiede un'attenta pianificazione ed esecuzione. Una risposta affrettata potrebbe essere peggiore di una leggermente ritardata.
* Paura dell'escalation: A volte, affrontando bruscamente un aggressore può portarli a intensificare le loro azioni, causando più danni o distruggendo prove. Una risposta accuratamente gestita che include il monitoraggio e il ritardo di alcune contromisure potrebbe essere considerata la migliore strategia in determinate circostanze.
È fondamentale ricordare che non abbiamo accesso ai dettagli interni della risposta di Microsoft a questo specifico incidente. Qualsiasi speculazione è proprio questo:la specifica. Le ragioni sono probabilmente una combinazione dei punti sopra elencati e potenzialmente altri che non abbiamo considerato. È probabile che il loro obiettivo finale minimizzerà il danno complessivo massimizzando le informazioni acquisite sull'attacco.
networking © www.354353.com