Γιατί η Microsoft επέτρεψε στους επιτιθέμενους να έχουν πρόσβαση στο δίκτυο και το σύστημά τους για αρκετές ημέρες μετά την πρώτη ανίχνευση του break-in;

Δεν υπάρχει καμία απλή, απλή απάντηση στο γιατί η Microsoft θα μπορούσε να επιτρέψει στους εισβολείς να έχουν πρόσβαση στο δίκτυό τους για αρκετές ημέρες μετά την ανίχνευση παραβίασης. Οι λόγοι είναι πιθανόν πολύπλευροι και πολύπλοκες, που περιλαμβάνουν συνδυασμό παραγόντων:

* Κατανόηση της επίθεσης: Οι ομάδες ασφαλείας συχνά χρειάζονται χρόνο για να κατανοήσουν πλήρως την έκταση και τη φύση μιας παραβίασης πριν λάβουν δραστική δράση, όπως η αποσύνδεση των συμβιβασμένων συστημάτων. Η βιασύνη για να κλείσει τα πράγματα θα μπορούσε να διαταράξει κατά λάθος τις κρίσιμες υπηρεσίες ή να εμποδίσει την έρευνα. Πρέπει να χαρτογραφήσουν τις κινήσεις του εισβολέα, να εντοπίσουν συμβιβασμένα συστήματα και να καθορίσουν το πεδίο εφαρμογής των δεδομένων που έχουν προσβληθεί. Αυτό απαιτεί χρόνο και προσεκτική ανάλυση.

* που περιέχει την παραβίαση: Το κλείσιμο των συστημάτων αμέσως δεν είναι πάντα η καλύτερη προσέγγιση. Μια καλά σχεδιασμένη, μετρούμενη ανταπόκριση μπορεί να περιλαμβάνει απομόνωση μολυσμένων συστημάτων, παρακολούθηση της δραστηριότητας εισβολέα για να μάθει τις τεχνικές τους και να καθορίζει τις παγίδες για να αποκτήσει περισσότερη νοημοσύνη. Αυτή η "ζωντανή" παρακολούθηση μπορεί να παρέχει κρίσιμες γνώσεις σχετικά με τις μεθόδους και τους στόχους του εισβολέα.

* Νομικές και ρυθμιστικές εκτιμήσεις: Ο χρόνος και η φύση της απάντησής τους πιθανόν να επηρεάζονται από νομικές και ρυθμιστικές υποχρεώσεις. Μπορεί να χρειαστούν να τεκμηριώσουν τα πάντα, να διατηρούν αποδεικτικά στοιχεία και να συνεργαστούν με την επιβολή του νόμου. Αυτές οι διαδικασίες χρειάζονται χρόνο.

* Περιορισμοί πόρων: Η ανταπόκριση σε ένα σημαντικό περιστατικό ασφαλείας απαιτεί σημαντικούς πόρους -personnel, εξειδικευμένα εργαλεία και εμπειρογνωμοσύνη. Η Microsoft, αν και μεγάλη, εξακολουθεί να διαχειρίζεται την ανταπόκρισή της μέσα σε περιορισμούς του ανθρώπινου δυναμικού και των διαθέσιμων ειδικών. Ο συντονισμός μιας αντίδρασης σε πολλές ομάδες και τμήματα απαιτεί χρόνο.

* πολυπλοκότητα του συστήματος: Το δίκτυο της Microsoft είναι απίστευτα τεράστιο και περίπλοκο. Ο προσδιορισμός όλων των συμβιβασμένων συστημάτων και η κατάργηση του ηθοποιού απειλής χωρίς να προκαλούν σημαντική διαταραχή είναι ένα μνημειώδες έργο που παίρνει προσεκτικό σχεδιασμό και εκτέλεση. Μια βιαστική απάντηση θα μπορούσε να είναι χειρότερη από μια ελαφρώς καθυστερημένη.

* Φόβος κλιμάκωσης: Μερικές φορές, η απότομη αντιμετώπιση ενός εισβολέα μπορεί να οδηγήσει σε κλιμάκωση των ενεργειών τους, προκαλώντας περισσότερη ζημιά ή καταστρέφοντας αποδεικτικά στοιχεία. Μια προσεκτικά διαχειριζόμενη απάντηση που περιλαμβάνει την παρακολούθηση και την καθυστέρηση ορισμένων αντιμετρών μπορεί να θεωρηθεί η καλύτερη στρατηγική υπό ορισμένες συνθήκες.

Είναι σημαντικό να θυμόμαστε ότι δεν έχουμε πρόσβαση στις εσωτερικές λεπτομέρειες της απάντησης της Microsoft σε αυτό το συγκεκριμένο περιστατικό. Οποιαδήποτε κερδοσκοπία είναι ακριβώς αυτή -εικασία. Οι λόγοι είναι πιθανόν ένας συνδυασμός των σημείων που αναφέρονται παραπάνω και ενδεχομένως άλλοι που δεν έχουμε εξετάσει. Ο απώτερος στόχος τους είναι πιθανό να ελαχιστοποιήσει τη συνολική ζημιά, μεγιστοποιώντας τις πληροφορίες που αποκτήθηκαν για την επίθεση.