ב-2 בנובמבר 2022, alert קפץ ב-SIEM של חברת ביטוח ישראלית. PowerShell process שנולד מ-Word - pattern קלאסי של macro execution. ה-SOC Analyst בתורנות, L1 עם 8 חודשי ניסיון, סימן אותו כ-"needs investigation" ולחץ Next. עוד 200 alerts ממתינים. שלושה ימים לאחר מכן: 60 servers מוצפנים. Ransomware.
MTTD ממוצע - IBM Cost of Data Breach 2023
ה-alert היה נכון. ה-signal היה שם. הבעיה: alert fatigue, חוסר הכשרה לזיהוי pattern ספציפי, ו-SIEM שלא נתן priority מספיק. זה Blue Team במציאות - לא סרט פעולה, אלא עבודה מדוקדקת שבה כל החלטה שגויה עולה מיליונים.