kethan-lab/threat-intelligence-briefs

GitHub: kethan-lab/threat-intelligence-briefs

基于开源情报构建的行业化网络威胁情报简报,将特定对手的 TTP 和 IOC 映射到 MITRE ATT&CK 框架,为防御团队和高管提供分级行动建议。

Stars: 0 | Forks: 0

# 威胁情报简报 开源网络威胁情报(CTI)简报,主要关注针对特定行业领域的威胁行为者,采用标准情报产品的格式编写。每份简报都会剖析一个对手,将其战术映射到 MITRE ATT&CK 框架,列出失陷指标(IOC),并为技术和高管受众提供优先级的防御建议。 ## 简报 | 行为者 | 类型 | 目标行业 | 日期 | 关键技术 | 简报 | |---|---|---|---|---|---| | Qilin(原名 Agenda) | Ransomware-as-a-Service | 金融服务 | 2026年7月 | Valid Accounts (T1078), Double Extortion, ESXi/WSL evasion | [阅读](briefs/qilin-financial-sector.md) · [IOCs](iocs/qilin-iocs.csv) | ## 方法论 这些简报完全基于**开源情报(OSINT)**构建——包括供应商的威胁研究、CISA 咨询通告以及公开的事件报告——每项事实陈述均引用已发布的来源。对手行为已映射到 [MITRE ATT&CK](https://attack.mitre.org/) 框架,以便将这些技术与防御者自身的检测覆盖范围进行交叉比对。每份简报均以两种语体编写:面向决策者的通俗语言执行摘要,以及面向安全运营团队的技术性 TTP/IOC 章节。 置信度和分类级别(Traffic Light Protocol)标注在每份简报的顶部。所有简报均为 TLP:CLEAR,不包含任何机密或非公开信息。 ## 为什么针对特定行业? 通用的“顶级勒索软件组织”列表很容易找到。这些简报提出了一个更尖锐的问题:*针对特定的行为者,这种特定类型的组织需要采取什么应对措施?*——因为总体上属于投机性的威胁,在对特定行业的影响上往往是非常精准的。 ## 作者 **Kethan Umanarayanan** — Drexel 大学网络安全硕士候选人
标签:Cloudflare, MITRE ATT&CK, 勒索软件, 威胁情报, 开发者工具, 漏洞防御, 网络安全, 防御加固, 隐私保护