* Comprender el ataque: Los equipos de seguridad a menudo necesitan tiempo para comprender completamente el alcance y la naturaleza de una violación antes de tomar medidas drásticas como desconectar los sistemas comprometidos. Apresurarse para cerrar las cosas podría interrumpir inadvertidamente servicios cruciales o obstaculizar la investigación. Necesitan mapear los movimientos del atacante, identificar sistemas comprometidos y determinar el alcance de los datos accedidos. Esto lleva tiempo y análisis cuidadoso.
* que contiene la violación: Apagando los sistemas de inmediato no es siempre el mejor enfoque. Una respuesta medida bien planificada puede implicar aislar sistemas infectados, monitorear la actividad del atacante para aprender sus técnicas y establecer trampas para obtener más inteligencia. Este monitoreo "en vivo" puede proporcionar información crucial sobre los métodos y objetivos del atacante.
* Consideraciones legales y regulatorias: Es probable que el momento y la naturaleza de su respuesta estén influenciados por las obligaciones legales y regulatorias. Es posible que se les exista documentar todo, preservar evidencia y colaborar potencialmente con la aplicación de la ley. Estos procedimientos llevan tiempo.
* Restricciones de recursos: Responder a un importante incidente de seguridad requiere recursos significativos:personal, herramientas especializadas y experiencia. Microsoft, aunque grande, todavía está administrando su respuesta dentro de las limitaciones de la mano de obra y los especialistas disponibles. Coordinar una respuesta en muchos equipos y departamentos lleva tiempo.
* Complejidad del sistema: La red de Microsoft es increíblemente vasta y compleja. Identificar todos los sistemas comprometidos y eliminar al actor de amenaza sin causar una interrupción significativa es una tarea monumental que requiere una planificación y ejecución cuidadosa. Una respuesta apresurada podría ser peor que una ligeramente retrasada.
* Miedo a la escalada: A veces, confrontar abruptamente a un atacante puede llevarlos a crecer sus acciones, causando más daño o destruyendo evidencia. Una respuesta cuidadosamente administrada que incluye monitorear y retrasar algunas contramedidas podría considerarse la mejor estrategia en ciertas circunstancias.
Es crucial recordar que no tenemos acceso a los detalles internos de la respuesta de Microsoft a este incidente específico. Cualquier especulación es solo eso:especulación. Es probable que las razones sean una combinación de los puntos enumerados anteriormente, y potencialmente otras no hemos considerado. Es probable que su objetivo final minimice el daño general al tiempo que maximiza la información obtenida sobre el ataque.