بنقرة واحدة
building-malware-incident-communication-template
构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。
التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.
القائمة
构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。
التثبيت باستخدام Codex أو Claude انسخ هذا Prompt والصقه في Codex أو Claude أو مساعد آخر ليراجع صفحة Skill ويثبّتها لك.
استنادا إلى تصنيف SOC المهني
通过分析 Zeek dns.log 中的高熵子域名查询、超量查询量、超长查询长度以及异常 DNS 记录类型,检测 DNS 隧道和数据外泄中的隐蔽通道通信。适用于:当需要狩猎基于 DNS 的 C2 或数据外泄通道、调查异常 DNS 查询模式、或响应涉及 DNS 隧道工具(iodine、dnscat2、DNSExfiltrator)的威胁情报时使用。
实施 Google 的 BeyondCorp 零信任访问模型,通过 IAP、Access Context Manager 和 Chrome Enterprise Premium,消除网络边界的隐式信任,强制执行基于身份的访问控制,实现无 VPN 的安全应用访问。适用于将传统 VPN 替换为零信任架构、部署 Identity-Aware Proxy、配置设备信任策略、或为远程办公实施上下文感知访问控制时使用。
在授权的安全评估过程中,使用 Burp Suite 的扫描器、Intruder 和 Repeater 工具识别和验证跨站脚本(XSS)漏洞。适用于 Web 应用渗透测试中检测反射型、存储型和 DOM 型 XSS,验证自动化扫描器报告的 XSS 发现,以及评估 CSP 和 XSS 过滤器的有效性时使用。
攻击活动溯源归因分析涉及系统性地评估证据,以确定哪个威胁行为者或组织对某次网络行动负责。本技能涵盖使用 Diamond Model 和 ACH(竞争假设分析)收集并加权溯源归因指标、分析基础设施重叠、TTP 一致性、恶意软件代码相似性、操作时序模式和语言痕迹,以构建置信度加权的溯源归因评估。
从 PE 文件和内存转储中提取并分析 Cobalt Strike beacon 配置,以识别 C2 基础设施、Malleable C2 配置文件和攻击者操作惯例。
使用 Ghidra 及专用脚本对 Go 编译的恶意软件进行逆向工程,包括函数恢复、字符串提取和去符号表 Go 二进制文件的类型重建。
| name | building-malware-incident-communication-template |
| description | 构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。 |
| domain | cybersecurity |
| subdomain | incident-response |
| tags | ["incident-communication","malware-response","stakeholder-notification","crisis-communication","executive-briefing","regulatory-disclosure"] |
| version | 1.0 |
| author | mahipal |
| license | Apache-2.0 |
在恶意软件事件期间进行有效通信对于协调响应、利益相关者管理和合规至关重要。结构化的通信框架确保合适的人员在合适的时间收到适当的信息,在保持透明度的同时防止恐慌。通信模板应涵盖内部升级、高管简报、IT 团队技术通告、客户通知、监管披露和媒体声明。该框架必须考虑不同的恶意软件类型(勒索软件(Ransomware)、擦除器(Wiper)、木马(Trojan)、蠕虫(Worm))和驱动升级速度与受众的严重性级别。
| 严重性 | 描述 | 通知时限 | 受众 |
|---|---|---|---|
| P1 - 严重 | 影响业务运营的勒索软件(Ransomware)、擦除器或大规模感染 | 15 分钟内 | CISO、CEO、法律、董事会(如适用) |
| P2 - 高 | 针对关键系统的定向恶意软件,疑似数据外泄 | 1 小时内 | CISO、IT 总监、法律 |
| P3 - 中 | 已遏制的恶意软件感染,扩散有限 | 4 小时内 | 安全经理、IT 总监 |
| P4 - 低 | 单端点感染,已快速遏制 | 24 小时内 | 安全团队负责人 |
| 渠道 | 使用场景 | 安全级别 |
|---|---|---|
| 带外电话通话 | 初始严重通知 | 最高 |
| 加密通讯(Signal) | IR 团队实时协调 | 高 |
| 安全电子邮件(加密) | 正式通知、文档 | 高 |
| 战情室(War Room)(实体/虚拟) | 持续事件协调 | 中 |
| 事件工单系统 | 状态跟踪和文档 | 中 |
| 公司内网 | 广泛的员工通信 | 标准 |
主题:[严重性] 恶意软件事件 - 初始通知 - [日期/时间 UTC]
机密级别:保密 - 仅限 IR 团队
事件 ID:IR-[年份]-[编号]
检测时间:[YYYY-MM-DD HH:MM UTC]
通知时间:[YYYY-MM-DD HH:MM UTC]
严重性:[P1/P2/P3/P4]
摘要:
已检测到影响 [部门/地点] [数量] 个系统的恶意软件事件。
恶意软件已被识别为 [类型],具有 [已知/未知] 特征。
当前影响:
- 受影响系统:[数量和描述]
- 受影响的业务功能:[列表]
- 面临风险的数据:[描述]
- 当前扩散状态:[已遏制/扩散中/未知]
已采取的即时措施:
1. [措施 - 例如,受影响端点已从网络隔离]
2. [措施 - 例如,EDR 遏制策略已激活]
3. [措施 - 例如,安全团队已动员]
下一步:
1. [计划中的措施及时间表]
2. [计划中的措施及时间表]
事件指挥官:[姓名]
联系方式:[电话/加密渠道]
下次更新:[时间] 或情况发生变化时更早更新
---
请勿将此通知转发至 IR 团队以外的人员。
主题:高管简报 - 恶意软件事件 IR-[年份]-[编号]
收件人:[CEO / CISO / CIO / 董事会]
发件人:[事件指挥官]
日期:[日期]
更新:[#]
情况摘要:
[用业务语言描述事件的 2-3 句话]
业务影响:
- 收入影响:[预估/无/评估中]
- 运营影响:[描述]
- 客户影响:[描述]
- 监管影响:[描述]
当前状态:[已检测 / 已遏制 / 根除中 / 恢复中]
需要的关键决策:
1. [决策及背景和建议]
2. [决策及背景和建议]
时间线:
- [时间]:事件检测
- [时间]:遏制启动
- [时间]:[里程碑]
- [时间]:预计恢复(如已知)
外部通信状态:
- 监管通知:[需要/已提交/不需要]
- 客户通知:[需要/计划中/不需要]
- 执法部门:[已接洽/计划中/不适用]
资源需求:
- [资源需求 - 例如,聘请外部 IR 公司]
- [资源需求 - 例如,重建所需的额外硬件]
下次更新:[时间]
主题:技术通告 - [恶意软件名称] - 需立即采取行动
严重性:[严重/高/中]
日期:[日期/时间 UTC]
通告 ID:TA-[年份]-[编号]
威胁描述:
[恶意软件、行为和指标的技术描述]
受影响系统:
- 操作系统:[列表]
- 应用程序:[列表]
- 网络段:[列表]
失陷指标(IOC):
文件哈希:
MD5:[哈希]
SHA256:[哈希]
文件名:
[文件名]
网络指标:
C2 域:[域名]
C2 IP:[IP 地址]
User-Agent:[字符串]
注册表键:
[注册表路径]
检测方法:
- EDR:[检测规则/特征]
- SIEM:[关联规则]
- 网络:[IDS/IPS 特征]
必要措施:
优先级 1(立即):
[ ] 在防火墙/代理处封锁 IOC
[ ] 推送 EDR 遏制规则
[ ] 扫描所有端点的 IOC
优先级 2(4 小时内):
[ ] 应用补丁 [KB/CVE 编号]
[ ] 更新防病毒特征
[ ] 审查日志中的历史指标
优先级 3(24 小时内):
[ ] 进行企业级威胁狩猎
[ ] 验证备份完整性
[ ] 更新检测规则
联系方式:SOC - [电话] | 安全工程 - [电话]
[组织信头]
[监管机构]
[地址]
日期:[日期]
主题:数据安全事件通知 - [参考编号]
尊敬的[头衔/姓名]:
根据[法规 - 例如 GDPR 第 33 条、州数据泄露通知法],
[组织]特此就数据安全事件进行通知。
事件摘要:
[日期],[组织]检测到影响含有
[数据类型]系统的恶意软件事件。该事件通过[检测方法]被发现。
可能受影响的数据:
- 数据类型:[个人数据、财务、健康等]
- 个人数量:[数量或估计]
- 个人类别:[客户、员工等]
时间线:
- [日期]:事件发生(估计)
- [日期]:事件检测
- [日期]:遏制实现
- [日期]:本通知
已采取的措施:
1. [遏制措施]
2. [调查措施]
3. [修复措施]
减轻不利影响的措施:
1. [减轻措施 - 例如,提供信用监控]
2. [减轻措施 - 例如,强制密码重置]
联系信息:
[DPO/隐私官姓名]
[职务]
[电子邮件]
[电话]
此致
[签署人]
[职务]
主题:来自[组织]的重要安全通知
尊敬的[客户/用户]:
我们写信是为了告知您一个可能影响您信息的安全事件。
发生了什么:
[日期],我们检测到我们系统上涉及恶意软件的未经授权活动。
我们立即启动了事件响应程序,并聘请了领先的网络安全专家进行调查。
涉及哪些信息:
根据我们的调查,以下类型的信息可能受到影响:[列表 - 例如,姓名、电子邮件地址等]
我们正在采取的措施:
- 我们已遏制事件并清除恶意软件
- 我们已聘请[取证公司]进行彻底调查
- 我们已加强安全控制以防止类似事件
- 我们已通知相关监管机构
您可以采取的措施:
- 更改您[组织]账户的密码
- 如果尚未启用,请启用多因素认证(MFA)
- 监控您的账户是否有异常活动
- [其他具体建议]
额外资源:
- [专属支持热线]
- [FAQ 页面 URL]
- [信用监控注册 - 如适用]
我们对可能造成的任何担忧深表歉意,并致力于保护您的信息。
[签署人]
[职务]
检测到恶意软件
|
v
[分类严重性:P1/P2/P3/P4]
|
|-- P1:15 分钟内通知
| |-- 事件指挥官
| |-- CISO(电话)
| |-- CEO(电话)
| |-- 法律顾问
| |-- 外部 IR 公司
| |-- 执法部门(如适用)
|
|-- P2:1 小时内通知
| |-- CISO
| |-- IT 总监
| |-- 法律顾问
|
|-- P3:4 小时内通知
| |-- 安全经理
| |-- IT 总监
|
|-- P4:24 小时内通知
|-- 安全团队负责人