Embedded, Unlimited. Rapid7 Incident Response.

Incident Response FAQ

• What is Incident Response?

  当安全团队检测到威胁时，其基本组织已准备好应对接下来的威胁. 这需要有一个紧密协调的事件响应计划(IRP)，并将行动和事件序列分配给专门的事件响应团队中的特定涉众. Some businesses may have their own in-house team, 有些公司可能会将其事件响应服务外包, 而其他人可能会采取一种混合的方法，他们外包技术分析，但在内部管理IRP的其余部分. Either way, 该团队应该在任何问题出现之前对这些事件响应事件进行培训和计划.

• What is an Incident Response plan?

  事件响应计划描述要采取的步骤, and by whom, 当组织中发生违规或安全危机时. 一个强有力的响应计划应该使团队能够迅速采取行动，并尽可能快地减轻损失. 紧急救援人员要经过常规的模拟训练和流程检查, 所以当情况出现时，他们几乎通过肌肉记忆知道如何行动. 信息安全团队明智的做法是遵循他们的例子:当紧急情况发生时, 您不希望在宝贵的时间流逝时浪费时间来弄清楚事件响应流程和程序. Having a plan in place becomes paramount.

• What does an incident response plan allow for?

  1. Incident Notification
  2. Incident Investigation and Analysis
  3. Remediation
  4. Post-Incident Activities

• What’s in a robust incident response plan?

  有大量的基础工作可以提前完成，以减少紧急情况下的复杂性和风险. An incident response plan should include:

  • Buy-in from key organizational stakeholders: When a crisis hits, 您的团队需要知道他们得到了关键利益相关者的支持，以便迅速采取行动. 确保c级高管和其他利益相关者完全接受应对计划, give it their support, 并授权事件响应团队在危机期间迅速而自信地采取行动.
    
    
  • 明确定义的角色、职责和流程: 在危机中，你的团队最不需要做的就是弄清楚谁拥有什么，并试图追踪那个人. Every element of incident response, from the technical to the non-technical, 是否应该有一个指定的利益相关者附属于它，并明确列出责任. 这些职位上的人应该有专业知识来完成对他们的期望(这不是测试你最初级的团队成员的时候)。. In addition, 每个事件响应角色都应该确切地知道他们对哪些流程负责，以及当事件发生时对他们的期望是什么, 从确定入侵的初始范围一直到危机沟通. 如果计划中关于谁拥有什么有任何不明确的地方，在危机期间很可能会被遗忘.
    
    
  • 促进快速行动的技术和伙伴关系: When running your incident response drills, 确保你的工具箱里有你需要的每一个工具来快速有效地做出反应. You will likely find some areas have large gaps, and others have some wiggle room to improve; where possible, 确保你有内部的技术和工具可以让你的团队有效地完成他们的工作, making the most of automation where possible.

  The key here is “quick.“如果你没有内部专业知识或资源来进行快速反应, 或者您的工具集没有像您需要的那样快速地提供信息, 然后，您可能需要查看外部事件响应服务，以帮助解决这些差距并加快事件响应时间. (确保在你进行的任何演练中都包括这个外部团队!)

• How does the Incident Response Process work?

  • Incident management: 我们的团队为调查提供了一个单一的联络点, manages all analysis, threat detection, and communications, and documents all findings.
    
    
  • Investigation and analysis: We perform investigation of incident scope, impact, and root cause using InsightIDR, our open-source DFIR tool Velociraptor, your existing log sources, and our years of experience.
    
    
  • Communications: 定期和一致的沟通，确保正确的人在正确的时间了解关键事件.

  补救和清理:使您恢复正常的详细建议，包括如何删除所有攻击者远程访问功能, restore prioritized business processes and systems, and secure compromised user accounts.

• Why the Rapid7 DFIR Team?

  Rapid7的事件响应顾问团队拥有许多认证，并且站在成千上万客户的防御前线.

• What constitutes an in-scope environment?

  “范围内环境”是指您为MDR或MDR授权的资产(和支持基础设施) MTC. 符合事件响应条件的事件是客户范围内系统或数据的泄露, as confirmed or reasonably suspected by Rapid7. Rapid7将不会响应发生在范围之外的环境中的事件. 所有事件响应服务都将远程提供.

• What should Incident Response include?

  • High-level incident management and coordination
  • Technical analysis of the incident
  • 确定事件范围以确定受影响的人员或内容
  • 危机沟通，确保信息以协调和有益的方式发布
  • 法律回应，以确定任何影响，并准备任何必要的回应或行动
  • 补救和缓解建议和行动，以确保顺利恢复

• What happens after an Incident Response engagement?

  在成功应对了一个事件之后，现在还不是休息的时候. 事件响应团队应该进行事后分析，以从经验中吸取教训，从而专门调整他们的事件响应程序, and also to re-tune their overall security program. 什么是有效的，什么是无效的，什么可以更好或更快地工作? There's no better teacher than experience, 因此，从应对真实事件中吸取尽可能多的教训是很重要的.

• Rapid7事件响应和专业服务团队还提供哪些其他事件响应服务?

  IR Program Development

  Attackers are constantly evolving. 为了确保你总是做好准备，你需要一个计划，你需要定期回顾它. 我们的专家将评估您的环境——从技术、资产到人员, processes, 和政策-评估你当前的能力，并提供相关的, 基于业务的建议，以帮助您达到(并超越)您的IR计划目标. Need to build your program from the ground-up? We can help with that, too. 我们的IR程序开发产品可以定制，以帮助建立或提高您在事件响应的任何方面的能力.

  Compromise Assessment

  从验证妥协到验证补救措施, 折衷评估可以确认你的房子是否干净。. 通过将威胁情报和行为分析与创新的狩猎技术相结合, 我们的专家评估您的环境，以识别恶意软件和攻击者活动的证据，并报告错误配置, significant risks, and potential vulnerabilities.

  Detection and Response Workshop

  这个程序把你的检测和响应能力的测试对一个活的, simulated attack within your environment. 本次研讨会的目标是评估您的独特检测和响应能力以及当前IR计划的工作情况，以确保您的团队能够识别并正确响应攻击. 我们的专家将帮助您的团队了解当前的安全措施和控制措施如何处理漏洞，同时提供指导，以加强您的事件响应方法. 

  Tabletop Exercises 

  桌面演习模拟现场威胁，以评估您在受控环境中的检测和响应能力. 我们与您一起创建并交付一个有意义的场景, analyze the results, 并提供一份可应用于事件响应程序的可操作改进列表.

  Breach Response

  Need immediate help with a breach? Call us at 1-844-RAPID-IR (1-844-727-4347). 我们的事件响应团队随时准备与您的内部团队密切合作，调查事件, document findings, 并建议正确的补救活动，以帮助确保攻击者被排除在外，无法找到回去的路. 我们的事件响应顾问可以与您的关键利益相关者合作, 确保业务的各个部分在整个响应过程中都做出了关键的考虑.

  Rapid7 Retainer

  事件响应保留器是保持IR专家待命的一种简单方法. In the event of a compromise, retainer customers alert the Rapid7 team, 谁在一小时内作出回应，收集细节并讨论计划的事件响应活动. All technical investigations are done remotely, 一旦我们的InsightAgent可以部署(或访问检测和响应系统)，我们就可以开始了。. 

  Retainers are available in 40 hour blocks, 在(有希望的)事件中，他们不需要违规响应, 是否可以重新用于其他Rapid7专业服务. Give us a call, 我们将为您安排一位项目经理，他可以帮助您评估哪些服务适合您的组织. 然后，我们可以将您与最好的顾问联系起来，让您开始更强大的事件响应之路.

• 管理威胁完成中还包括哪些其他事件响应服务?

  我们的团队帮助您建立事件响应计划和IR Runbook，以参与Rapid7 MTC服务.

• Rapid7 DFIR顾问团队持有哪些类型的认证?

  An abbreviated list includes:

  • CISSP
  • CySA+
  • GASF
  • GCFA
  • GCFE
  • GCIH
  • GCIH
  • GSEC
  • SANS Course Contributors 
  • Open-Source DFIR Contributors 
  • Among many others!