Det finns inget enda, enkelt svar på varför Microsoft kan ha tillåtit angripare tillgång till sitt nätverk i flera dagar efter att ha upptäckt ett överträdelse. Skälen är troligen mångfacetterade och komplexa, som involverar en kombination av faktorer:
* Förstå attacken: Säkerhetsteam behöver ofta tid för att fullt ut förstå omfattningen och karaktären av ett överträdelse innan de vidtar drastiska åtgärder som att koppla bort komprometterade system. Att rusa för att stänga av saker kan oavsiktligt störa avgörande tjänster eller hindra utredningen. De måste kartlägga angriparens rörelser, identifiera komprometterade system och bestämma omfattningen av data som nås. Detta tar tid och noggrann analys.
* som innehåller överträdelsen: Att stänga av system är inte alltid det bästa tillvägagångssättet. Ett välplanerat, uppmätt svar kan involvera isolerande infekterade system, övervaka angriparaktiviteten för att lära sig sina tekniker och sätta fällor för att få mer intelligens. Denna "levande" övervakning kan ge avgörande insikter om angriparens metoder och mål.
* juridiska och reglerande överväganden: Tidpunkten och arten av deras svar påverkas sannolikt av lagliga och reglerande skyldigheter. De kan behöva dokumentera allt, bevara bevis och potentiellt samarbeta med brottsbekämpning. Dessa procedurer tar tid.
* resursbegränsningar: Att svara på en stor säkerhetshändelse kräver betydande resurser - personal, specialiserade verktyg och expertis. Microsoft, även om det är stort, hanterar fortfarande sitt svar inom begränsningar av arbetskraft och tillgängliga specialister. Att samordna ett svar över många team och avdelningar tar tid.
* Systemets komplexitet: Microsofts nätverk är oerhört stort och komplicerat. Att identifiera alla komprometterade system och ta bort hotaktören utan att orsaka betydande störningar är en monumental uppgift som tar noggrann planering och genomförande. Ett hastigt svar kan vara sämre än ett något försenat.
* rädsla för eskalering: Ibland kan plötsligt konfrontera en angripare leda till att de eskalerar sina handlingar, orsakar mer skada eller förstör bevis. Ett noggrant hanterat svar som inkluderar övervakning och försening av vissa motåtgärder kan anses vara den bästa strategin under vissa omständigheter.
Det är avgörande att komma ihåg att vi inte har tillgång till de interna detaljerna i Microsofts svar på denna specifika incident. Alla spekulationer är just det - spekulation. Skälen är troligen en kombination av de punkter som anges ovan, och potentiellt andra som vi inte har övervägt. Deras slutliga mål kommer sannolikt att minimera den totala skadan samtidigt som den information som erhållits om attacken.
