La sola prevenzione non può fermare gli attacchi. I team di sicurezza devono riconoscere che le nuove minacce richiedono nuovi paradigmi e servizi di rilevamento delle minacce per difendersi da esse. Cambiare mentalità, passando dall'idea di tenere tutti gli aggressori fuori dalla rete al presupposto che gli hacker siano già presenti nella rete, aiuterà a sviluppare strategie più solide per identificare e bloccare gli attacchi prima che causino danni. È importante comprendere il tempo medio di identificazione (MTTI) e il tempo medio di risposta (MTTR). Gli eventi di sicurezza possono diventare violazioni se hanno mesi per diffondersi in tutta la rete. I team di sicurezza devono individuare e correggere eventuali lacune nella sicurezza attraverso la ricerca e il rilevamento delle minacce per ridurre l'MTTI e l'MTTR; più velocemente riescono a individuare e a rispondere, meno danni causerà una violazione.