Порушення циклу «порушити, виправити, повторити»
У багатьох випадках докази ненавмисно знищуються, наприклад, коли сервери знищуються, журнали втрачаються та криміналістичні сліди зникають, оскільки наголос робиться на швидкому відновленні операцій.
«Це ускладнюється тиском з боку бізнесу, часовими обмеженнями, а також обмеженими ресурсами, які змушують команди переходити до наступного термінового завдання, а не вчитися на інциденті», — додає Містрі. «Як наслідок, ретроспективне сканування, аналіз першопричини та оновлення процедур часто пропускаються».
Початковий вектор атаки та бічний рух часто залишаються невідомими, залишаючи вразливі місця без уваги та створюючи цикл «порушення, виправлення, повторення».