Het is voor een incident response team aantrekkelijk om allerlei hypermoderne tools te hebben die met elkaar integreren. Echter met alleen deze dure softwareoplossingen los je twee problemen niet op:
- Indien een hacker binnendringt is het vaak mogelijk om voor de hacker vast te stellen welke antivirus of endpoint protectie oplossing wordt gebruikt. Een hacker kan dan onderzoek doen naar de zwakke plekkenvan deze software in zijn lab en juist die technieken gebruiken om detectie en response te ontwijken. Zie bijvoorbeeld deze studie,waarbij te zien is welke technieken wel en welke niet gedetecteerd worden door een selectie van “Endpoint Detection and Response” oplossingen.
- Met de juiste rechten kan de detectiesoftware door de aanvaller uitgeschakeld worden.
Op het moment dat deze zaken gebeuren is een incident responder aangewezen op de logging die gegenereerd wordt op het endpoint.