Nie istnieją rozwiązania gwarantujące 100% ochrony. Problem polega na tym, że ataki hakerskie są często wykrywane dopiero po kilku miesiącach, gdy dane już zostały skradzione. Aby zapobiegać takim sytuacjom, wymagana jest zarówno ochrona, jak i monitorowanie. Zwykle funkcję tę pełniły systemy IDSs (Intrusion Detection Systems). Ich najnowszą wersją są systemy UBA (User Behavior Analysis). Systemy UBA nieustannie monitorują określone zachowania pracowników: kiedy pracują, do jakich urządzeń się logują, do jakich plików mają dostęp, do jakich grup należą itp. Po stworzeniu profilu behawioralnego użytkownika system zgłasza wszelkie anomalie, które mogą być spowodowane działaniami pracownika lub kogoś z zewnątrz, kto włamał się na konto użytkownika.System UBA można wdrożyć na dwa sposoby:
01 Może być zainstalowany lokalnie i analizować ruch usługi Active Directory. Opcja ta nazywa się Microsoft ATA.
02 Może też być oparty na chmurze, z agentami zainstalowanymi lokalnie na kontrolerach domeny.
Opcja ta nosi nazwę Microsoft Defender for Identity. Nie istnieją rozwiązania gwarantujące 100% ochrony. Szczególnie trudno jest chronić przed tymi, których z natury uważamy za godnych zaufania: pracownikami. Nikt nie może zagwarantować, że pracownik pozbawiony premii nie dokona sabotażu lub nie skopiuje danych. System analizy zachowań pracowników pomaga wykrywać nietypowe zachowania. Jeśli pracownik zostanie dłużej w pracy, aby wydrukować dane poufne, system nas o tym powiadomi. Ponadto system poinformuje nas, gdy pracownik spróbuje uzyskać dostęp do dokumentów, których zwykle nie potrzebuje do wykonywania swoich obowiązków.
Jeśli dojdzie do ataku hakerskiego. Lub jeśli jeszcze się to nie zdarzyło
Większość złośliwych działań jest wykonywana przez osoby atakujące na komputerach użytkowników
i serwerach. Na przykład jeśli udało się wyłudzić informacje od użytkownika za pomocą wiadomości e-mail, osoba atakująca może uzyskać dostęp do jego komputera i połączyć się z innymi osobami. Komputery są domyślnie chronione przez oprogramowanie antywirusowe, ale możliwości programów antywirusowych są ograniczone. Oprogramowanie to opiera się na zasobach komputera użytkownika, a wykrycie zaawansowanych ataków może poważnie ograniczyć poprawne działanie komputera.
Wykrywanie i blokowanie można przenieść do chmury. W takim przypadku wbudowana usługa przesyła zdarzenia z komputera do usługi w chmurze, gdzie są one analizowane przy użyciu sztucznej inteligencji i bazy wiedzy firmy Microsoft. Jeśli w firmie funkcjonuje centrum operacji bezpieczeństwa
(SOC), znacznie łatwiej jest badać wszelkie zdarzenia.