Não há uma resposta simples e simples para o motivo pelo qual a Microsoft pode ter permitido que os atacantes tenham acesso à sua rede por vários dias após a detecção de uma violação. Os motivos são provavelmente multifacetados e complexos, envolvendo uma combinação de fatores:

* Entendendo o ataque: As equipes de segurança geralmente precisam de tempo para entender completamente a extensão e a natureza de uma violação antes de tomar medidas drásticas, como desconectar sistemas comprometidos. Correr para desligar as coisas poderia inadvertidamente interromper os serviços cruciais ou impedir a investigação. Eles precisam mapear os movimentos do invasor, identificar sistemas comprometidos e determinar o escopo dos dados acessados. Isso leva tempo e análise cuidadosa.

* contendo a violação: Desligando os sistemas imediatamente nem sempre a melhor abordagem. Uma resposta bem planejada e medida pode envolver o isolamento de sistemas infectados, o monitoramento da atividade do invasor para aprender suas técnicas e definir armadilhas para obter mais inteligência. Esse monitoramento "ao vivo" pode fornecer informações cruciais sobre os métodos e objetivos do atacante.

* Considerações legais e regulatórias: O momento e a natureza de sua resposta provavelmente são influenciados por obrigações legais e regulatórias. Eles podem ser obrigados a documentar tudo, preservar evidências e potencialmente colaborar com a aplicação da lei. Esses procedimentos levam tempo.

* Restrições de recursos: Responder a um grande incidente de segurança requer recursos significativos - PERSONLEL, ferramentas especializadas e experiência. A Microsoft, embora grande, ainda está gerenciando sua resposta dentro das limitações de mão -de -obra e especialistas disponíveis. A coordenação de uma resposta em muitas equipes e departamentos leva tempo.

* Complexidade do sistema: A rede da Microsoft é incrivelmente vasta e complexa. Identificar todos os sistemas comprometidos e remover o ator de ameaças sem causar interrupção significativa é uma tarefa monumental que exige um planejamento e execução cuidadosos. Uma resposta apressada pode ser pior do que um pouco atrasado.

* Medo da escalada: Às vezes, enfrentar abruptamente um invasor pode levá -lo a escalar suas ações, causando mais danos ou destruindo evidências. Uma resposta cuidadosamente gerenciada que inclui o monitoramento e o atraso de algumas contramedidas pode ser considerada a melhor estratégia em determinadas circunstâncias.

É crucial lembrar que não temos acesso aos detalhes internos da resposta da Microsoft a esse incidente específico. Qualquer especulação é exatamente isso - especulação. As razões provavelmente são uma combinação dos pontos listados acima e, potencialmente, outros que não consideramos. É provável que seu objetivo final minimize os danos gerais, maximizando as informações obtidas sobre o ataque.