Vitajte na [www.pocitac.win] Pripojiť k domovskej stránke Obľúbené stránky
* Pochopenie útoku: Bezpečnostné tímy často potrebujú čas na úplné pochopenie rozsahu a povahy porušenia pred podnikom drastických krokov, ako je odpojenie ohrozených systémov. Ponáhľanie sa, aby sa veci zavreli, mohlo by neúmyselne narušiť rozhodujúce služby alebo brániť vyšetrovaniu. Potrebujú zmapovať pohyby útočníka, identifikovať ohrozené systémy a určiť rozsah prístupných údajov. To si vyžaduje čas a starostlivú analýzu.
* Obsahujúce porušenie: Okamžite vypnutie systémov nie je vždy najlepším prístupom. Dobre naplánovaná, nameraná reakcia môže zahŕňať izolujúce infikované systémy, monitorovanie aktivity útočníkov, aby sa naučili svoje techniky a nastavili pasce na získanie väčšieho inteligencie. Toto „živé“ monitorovanie môže poskytnúť zásadný pohľad na metódy a ciele útočníka.
* Právne a regulačné úvahy: Načasovanie a povaha ich reakcie sú pravdepodobne ovplyvnené právnymi a regulačnými povinnosťami. Mohli by sa od nich vyžadovať, aby zdokumentovali všetko, zachovali dôkazy a potenciálne spolupracovali s orgánmi činnými v trestnom konaní. Tieto postupy si vyžadujú čas.
* obmedzenia zdrojov: Reakcia na významný bezpečnostný incident si vyžaduje značné zdroje - Personnel, špecializované nástroje a odborné znalosti. Spoločnosť Microsoft, hoci veľká, stále riadi svoju reakciu v rámci obmedzení pracovnej sily a dostupných špecialistov. Koordinácia reakcie v mnohých tímoch a oddeleniach si vyžaduje čas.
* zložitosť systému: Sieť spoločnosti Microsoft je neuveriteľne obrovská a zložitá. Identifikácia všetkých ohrozených systémov a odstránenie herčovacieho herca bez toho, aby ste spôsobili značné narušenie, je monumentálna úloha, ktorá berie starostlivé plánovanie a vykonávanie. Unáhlená reakcia by mohla byť horšia ako mierne oneskorená.
* Strach z eskalácie: Niekedy náhle konfrontovanie útočníka môže viesť k tomu, že eskalujú ich činy, čo spôsobí väčšie škody alebo zničia dôkazy. Starostlivo riadená reakcia, ktorá zahŕňa monitorovanie a oneskorenie niektorých protiopatrení, by sa za určitých okolností mohla považovať za najlepšiu stratégiu.
Je nevyhnutné pamätať na to, že nemáme prístup k interným detailom reakcie spoločnosti Microsoft na tento konkrétny incident. Akékoľvek špekulácie sú práve to - REPECULÁCIA. Dôvody sú pravdepodobne kombináciou vyššie uvedených bodov a potenciálne ďalšie, ktoré sme nezohľadnili. Ich konečným cieľom je pravdepodobné, že minimalizuje celkové poškodenie a maximalizuje informácie získané o útoku.