* De aanval begrijpen: Beveiligingsteams hebben vaak tijd nodig om de omvang en aard van een inbreuk volledig te begrijpen voordat ze drastische actie ondernemen, zoals het loskoppelen van gecompromitteerde systemen. Als u de zaken haastig afsluit, kan dit onbedoeld cruciale diensten verstoren of het onderzoek hinderen. Ze moeten de bewegingen van de aanvaller in kaart brengen, gecompromitteerde systemen identificeren en de omvang van de toegankelijke gegevens bepalen. Dit vergt tijd en zorgvuldige analyse.

* Bevat de inbreuk: Systemen onmiddellijk afsluiten is niet altijd de beste aanpak. Een goed geplande, afgemeten reactie kan bestaan ​​uit het isoleren van geïnfecteerde systemen, het monitoren van de activiteiten van aanvallers om hun technieken te leren kennen, en het plaatsen van vallen om meer informatie te verkrijgen. Deze ‘live’ monitoring kan cruciale inzichten verschaffen in de methoden en doelstellingen van de aanvaller.

* Wettelijke en regelgevende overwegingen: De timing en de aard van hun reactie worden waarschijnlijk beïnvloed door wettelijke en regelgevende verplichtingen. Mogelijk moeten ze alles documenteren, bewijsmateriaal bewaren en mogelijk samenwerken met wetshandhavingsinstanties. Deze procedures kosten tijd.

* Resourcebeperkingen: Het reageren op een groot beveiligingsincident vereist aanzienlijke middelen:personeel, gespecialiseerde tools en expertise. Hoewel Microsoft groot is, beheert het zijn respons nog steeds binnen de beperkingen van mankracht en beschikbare specialisten. Het coördineren van een reactie tussen veel teams en afdelingen kost tijd.

* Complexiteit van het systeem: Het netwerk van Microsoft is ongelooflijk groot en complex. Het identificeren van alle gecompromitteerde systemen en het verwijderen van de bedreigingsactoren zonder aanzienlijke verstoringen te veroorzaken, is een monumentale taak die een zorgvuldige planning en uitvoering vergt. Een overhaaste reactie kan erger zijn dan een iets vertraagde reactie.

* Angst voor escalatie: Soms kan een abrupte confrontatie met een aanvaller ertoe leiden dat hij zijn acties escaleert, waardoor meer schade wordt aangericht of bewijsmateriaal wordt vernietigd. Een zorgvuldig beheerde reactie, inclusief het monitoren en uitstellen van bepaalde tegenmaatregelen, kan onder bepaalde omstandigheden als de beste strategie worden beschouwd.

Het is van cruciaal belang om te onthouden dat we geen toegang hebben tot de interne details van de reactie van Microsoft op dit specifieke incident. Elke speculatie is precies dat:speculatie. De redenen zijn waarschijnlijk een combinatie van de hierboven genoemde punten, en mogelijk ook andere punten die we niet hebben overwogen. Hun uiteindelijke doel is waarschijnlijk het minimaliseren van de algehele schade en het maximaliseren van de informatie die over de aanval wordt verkregen.