sourabh1042022/CYBER-THREAT-INTELLIGENCE-FRAMEWORK

# 网络威胁情报框架 一个全面的、企业级的网络威胁情报（CTI）计划框架，适用于金融部门。包括正式的情报政策、包含完整生命周期文档的运营计划框架、基于TLP的信息共享政策以及示例威胁简报。 ## 概述 该框架将结构化的CTI能力与六阶段情报生命周期相结合，旨在帮助组织通过情报收集、分析、分发和治理的制度化，从被动安全姿态转变为主动安全姿态。 **行业背景：** 金融服务 — 针对与金融科技和在线银行环境相关的APT组织、银行木马、勒索软件活动、凭证盗窃和供应链风险而设计。 ## 仓库结构 ``` cyber-threat-intelligence-framework/ ├── README.md ├── policies/ │ ├── threat-intelligence-policy.md # Formal CTI policy — lifecycle, roles, enforcement │ └── information-sharing-policy-tlp.md # TLP-based information sharing governance ├── framework/ │ └── cti-program-framework.md # Full operational program — PIRs, sources, tools, KPIs ├── diagrams/ │ ├── cti-lifecycle.md # Six-phase intelligence lifecycle reference │ └── tlp-workflow.md # TLP classification and dissemination workflow └── threat-briefs/ └── emotet-resurgence-2025.md # Sample threat brief — Emotet Epoch5 campaign ``` ## 关键文档 ### 1. 威胁情报政策 为所有CTI活动建立正式治理框架： - 六阶段情报生命周期遵循 - 优先情报需求（PIR）管理 - 源验证和收集标准 - 与SOC、IR和风险管理集成 - 执行、审计和审查周期 **标准对齐：** NIST SP 800-150、MITRE ATT&CK、ISO/IEC 27010、FS-ISAC、FIRST TLP v2.0 ### 2. 信息共享政策（TLP） 控制威胁情报如何在内部和外部进行分类和共享： - 完整TLP v2.0实施（RED、AMBER、AMBER+STRICT、GREEN、CLEAR） - 外部信任层级模型（政府CERT → ISAC → 供应商 → 同业 → 公众） - 共享前验证检查清单 - 违规检测、升级和事件处理程序 - GDPR、GLBA和监管合规性对齐 ### 3. CTI计划框架 运行CTI能力的运营执行指南： - 7个已定义的PIR映射到消费功能 - 源清单，包含收集频率和获取方法 - 处理管道：标准化 → 去重 → 白名单过滤 → 置信度评分 → ATT&CK映射 - 情报产品类型（IOC公告、攻击者画像、战略简报、高管单页） - 完整KPI框架及目标（IAR≥70%、FPR≤10%、TTD≤60分钟） - 工具栈：MISP、AlienVault OTX、Abuse.ch、Elastic Stack、Maltego、Any.Run ### 4. Emotet威胁简报（示例） 展示真实场景的威胁简报格式： - OSINT来源的活动情报（Abuse.ch、AlienVault OTX、URLHaus） - 包含IP、域名、文件哈希的IOC表 - MITRE ATT&CK TTP映射 - 建议的检测和缓解措施 ## 情报生命周期 ``` Planning → Collection → Processing → Analysis → Dissemination → Feedback ↑ | └──────────────────── Continuous feedback loop ───────────────────┘ ``` ## 优先情报需求（PIR） | PIR ID | 情报问题 | 主要消费者 | |---|---|---| | PIR-01 | 哪些威胁行为者针对我们地区的金融部门？ | CTI、SOC、CISO | | PIR-02 | 哪些恶意软件TTP针对银行API和支付网关？ | CTI、SOC、DevSecOps | | PIR-03 | 凭证或基础设施资产是否在暗网上暴露？ | CTI、IT安全 | | PIR-04 | 我们技术栈中哪些漏洞正在被主动利用？ | CTI、基础设施 | | PIR-05 | 我们是否在钓鱼活动中被冒充？ | CTI、法务、合规 | | PIR-06 | 哪些后利用TTP针对同业金融机构？ | CTI、IR、红队 | | PIR-07 | 第三方供应商是否正在遭受主动攻击？ | CTI、供应商风险、GRC | ## TLP分类摘要 | 标签 | 受众 | 共享范围 | |---|---|---| | TLP:RED | 仅限指定个人 | 禁止进一步共享 | | TLP:AMBER | 接收组织及其客户 | 有限内部分发 | | TLP:AMBER+STRICT | 仅限内部人员 | 禁止转发给客户 | | TLP:GREEN | 可信社区参与者 | 不适用于公开平台 | | TLP:CLEAR | 任何受众 | 无限制 | ## KPI框架 | 指标 | 目标 | |---|---| | 指标行动率（IAR） | ≥ 70% | | 误报率（FPR） | ≤ 10% | | 分发时间（战术级） | ≤ 60分钟 | | 报告消费率 | ≥ 80%/月 | | 冗余率 | ≤ 5% | ## 参考框架与标准 | 标准 | 应用 | |---|---| | MITRE ATT&CK | TTP映射、检测工程、攻击者画像 | | FIRST TLP v2.0 | 信息分类和共享控制 | | NIST SP 800-150 | CTI共享指南 | | ISO/IEC 27010 | 组织间安全通信 | | STIX/TAXII 2.1 | 结构化威胁情报交换格式 | | FS-ISAC | 金融部门威胁共享社区 | | 钻石模型 | 入侵分析框架 | ## 作者 **Sourabh Kumar** — 网络安全分析师 [领英](https://www.linkedin.com/in/sourabh-kumar-73b549227/) | [Medium](https://medium.com/@sourabhkumar1043) ## 免责声明 本框架仅供教育和专业参考。威胁简报示例仅引用使用OSINT来源的公开报告活动。不包含任何专有、机密或客户特定的情报。

标签：APT, DAST, IOC, MIT许可证, TLP, 企业安全, 信息共享, 凭证泄露, 勒索软件, 合规治理, 在线银行, 威胁情报政策, 威胁情报框架, 威胁简报, 安全架构, 安全策略, 安全运营, 库, 应急响应, 恶意软件分析, 情报分析, 情报生命周期, 扫描框架, 提示词设计, 网络威胁情报, 网络安全, 网络诊断, 网络资产管理, 金融安全, 金融科技, 银行木马, 隐私保护