嵌入的,无限的. 快速事件响应.

事件响应常见问题解答

• 什么是事故应变?

  当安全团队检测到威胁时，其基本组织已准备好应对接下来的威胁. 这需要有一个紧密协调的事件响应计划(IRP)，并将行动和事件序列分配给专门的事件响应团队中的特定涉众. 有些企业可能有自己的内部团队, 有些公司可能会将其事件响应服务外包, 而其他人可能会采取一种混合的方法，他们外包技术分析，但在内部管理IRP的其余部分. Either way, 该团队应该在任何问题出现之前对这些事件响应事件进行培训和计划.

• 什么是事件响应计划?

  事件响应计划描述要采取的步骤, and by whom, 当组织中发生违规或安全危机时. 一个强有力的响应计划应该使团队能够迅速采取行动，并尽可能快地减轻损失. 紧急救援人员要经过常规的模拟训练和流程检查, 所以当情况出现时，他们几乎通过肌肉记忆知道如何行动. 信息安全团队明智的做法是遵循他们的例子:当紧急情况发生时, 您不希望在宝贵的时间流逝时浪费时间来弄清楚事件响应流程和程序. 有一个合适的计划是至关重要的.

• 事件响应计划允许什么?

  1. 事件通知
  2. 事件调查与分析
  3. Remediation
  4. 事后的活动

• 健壮的事件响应计划包含什么内容?

  有大量的基础工作可以提前完成，以减少紧急情况下的复杂性和风险. 事件响应计划应包括:

  • 主要组织利益相关者的支持: When a crisis hits, 您的团队需要知道他们得到了关键利益相关者的支持，以便迅速采取行动. 确保c级高管和其他利益相关者完全接受应对计划, 给予支持, 并授权事件响应团队在危机期间迅速而自信地采取行动.
    
    
  • 明确定义的角色、职责和流程: 在危机中，你的团队最不需要做的就是弄清楚谁拥有什么，并试图追踪那个人. 事件响应的每一个元素, 从技术到非技术, 是否应该有一个指定的利益相关者附属于它，并明确列出责任. 这些职位上的人应该有专业知识来完成对他们的期望(这不是测试你最初级的团队成员的时候)。. In addition, 每个事件响应角色都应该确切地知道他们对哪些流程负责，以及当事件发生时对他们的期望是什么, 从确定入侵的初始范围一直到危机沟通. 如果计划中关于谁拥有什么有任何不明确的地方，在危机期间很可能会被遗忘.
    
    
  • 促进快速行动的技术和伙伴关系: 在进行事件响应演练时, 确保你的工具箱里有你需要的每一个工具来快速有效地做出反应. 你可能会发现有些地方有很大的差距, and others have some wiggle room to improve; where possible, 确保你有内部的技术和工具可以让你的团队有效地完成他们的工作, 尽可能充分利用自动化.

  这里的关键是“快”.“如果你没有内部专业知识或资源来进行快速反应, 或者您的工具集没有像您需要的那样快速地提供信息, 然后，您可能需要查看外部事件响应服务，以帮助解决这些差距并加快事件响应时间. (确保在你进行的任何演练中都包括这个外部团队!)

• 事件响应流程如何运作?

  • 事件管理: 我们的团队为调查提供了一个单一的联络点, 管理所有分析, threat detection, and communications, 并记录所有的发现.
    
    
  • 调查分析: 我们对事件范围进行调查, impact, 和根本原因使用insightdr, 我们的开源DFIR工具Velociraptor, 您现有的日志源, 以及我们多年的经验.
    
    
  • Communications: 定期和一致的沟通，确保正确的人在正确的时间了解关键事件.

  补救和清理:使您恢复正常的详细建议，包括如何删除所有攻击者远程访问功能, 恢复优先级的业务流程和系统, 并保护受损用户的账户.

• 为什么选择Rapid7 DFIR团队?

  Rapid7的事件响应顾问团队拥有许多认证，并且站在成千上万客户的防御前线.

• 什么构成了作用域内环境?

  “范围内环境”是指您为MDR或MDR授权的资产(和支持基础设施) MTC. 符合事件响应条件的事件是客户范围内系统或数据的泄露, 经Rapid7确认或合理怀疑. Rapid7将不会响应发生在范围之外的环境中的事件. 所有事件响应服务都将远程提供.

• 事件响应应包括哪些内容?

  • 高级事件管理和协调
  • 事件的技术分析
  • 确定事件范围以确定受影响的人员或内容
  • 危机沟通，确保信息以协调和有益的方式发布
  • 法律回应，以确定任何影响，并准备任何必要的回应或行动
  • 补救和缓解建议和行动，以确保顺利恢复

• 事件响应约定后会发生什么?

  在成功应对了一个事件之后，现在还不是休息的时候. 事件响应团队应该进行事后分析，以从经验中吸取教训，从而专门调整他们的事件响应程序, 还要重新调整他们的整体安全计划. 什么是有效的，什么是无效的，什么可以更好或更快地工作? 经验是最好的老师, 因此，从应对真实事件中吸取尽可能多的教训是很重要的.

• Rapid7事件响应和专业服务团队还提供哪些其他事件响应服务?

  IR项目开发

  攻击者在不断进化. 为了确保你总是做好准备，你需要一个计划，你需要定期回顾它. 我们的专家将评估您的环境——从技术、资产到人员, processes, 和政策-评估你当前的能力，并提供相关的, 基于业务的建议，以帮助您达到(并超越)您的IR计划目标. 需要从头开始构建程序? 我们也能帮上忙. 我们的IR程序开发产品可以定制，以帮助建立或提高您在事件响应的任何方面的能力.

  妥协的评估

  从验证妥协到验证补救措施, 折衷评估可以确认你的房子是否干净。. 通过将威胁情报和行为分析与创新的狩猎技术相结合, 我们的专家评估您的环境，以识别恶意软件和攻击者活动的证据，并报告错误配置, significant risks, 潜在的弱点.

  侦测及应变工作坊

  这个程序把你的检测和响应能力的测试对一个活的, 在你的环境中模拟攻击. 本次研讨会的目标是评估您的独特检测和响应能力以及当前IR计划的工作情况，以确保您的团队能够识别并正确响应攻击. 我们的专家将帮助您的团队了解当前的安全措施和控制措施如何处理漏洞，同时提供指导，以加强您的事件响应方法. 

  Tabletop Exercises 

  桌面演习模拟现场威胁，以评估您在受控环境中的检测和响应能力. 我们与您一起创建并交付一个有意义的场景, 分析结果, 并提供一份可应用于事件响应程序的可操作改进列表.

  Breach Response

  需要紧急援助，解决入侵问题? 请致电1-844-RAPID-IR (1-844-727-4347). 我们的事件响应团队随时准备与您的内部团队密切合作，调查事件, document findings, 并建议正确的补救活动，以帮助确保攻击者被排除在外，无法找到回去的路. 我们的事件响应顾问可以与您的关键利益相关者合作, 确保业务的各个部分在整个响应过程中都做出了关键的考虑.

  Rapid7 Retainer

  事件响应保留器是保持IR专家待命的一种简单方法. 在妥协的情况下, 保留客户提醒Rapid7团队, 谁在一小时内作出回应，收集细节并讨论计划的事件响应活动. 所有的技术调查都是远程完成的, 一旦我们的InsightAgent可以部署(或访问检测和响应系统)，我们就可以开始了。. 

  保留器以40小时为单位提供, 在(有希望的)事件中，他们不需要违规响应, 是否可以重新用于其他Rapid7专业服务. Give us a call, 我们将为您安排一位项目经理，他可以帮助您评估哪些服务适合您的组织. 然后，我们可以将您与最好的顾问联系起来，让您开始更强大的事件响应之路.

• 管理威胁完成中还包括哪些其他事件响应服务?

  我们的团队帮助您建立事件响应计划和IR Runbook，以参与Rapid7 MTC服务.

• Rapid7 DFIR顾问团队持有哪些类型的认证?

  一个简短的列表包括:

  • CISSP
  • CySA+
  • GASF
  • GCFA
  • GCFE
  • GCIH
  • GCIH
  • GSEC
  • SANS课程贡献者 
  • 开源DFIR贡献者 
  • Among many others!