building-malware-incident-communication-template

构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。

9 stars

Best use case

building-malware-incident-communication-template is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。

Teams using building-malware-incident-communication-template should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/building-malware-incident-communication-template/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/building-malware-incident-communication-template/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/building-malware-incident-communication-template/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How building-malware-incident-communication-template Compares

Feature / Agentbuilding-malware-incident-communication-templateStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

构建恶意软件事件的结构化通信模板,包括利益相关者通知、高管简报、技术通告和监管披露,以及基于严重性的升级程序。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 构建恶意软件事件通信模板

## 概述

在恶意软件事件期间进行有效通信对于协调响应、利益相关者管理和合规至关重要。结构化的通信框架确保合适的人员在合适的时间收到适当的信息,在保持透明度的同时防止恐慌。通信模板应涵盖内部升级、高管简报、IT 团队技术通告、客户通知、监管披露和媒体声明。该框架必须考虑不同的恶意软件类型(勒索软件(Ransomware)、擦除器(Wiper)、木马(Trojan)、蠕虫(Worm))和驱动升级速度与受众的严重性级别。

## 通信框架

### 严重性分类

| 严重性 | 描述 | 通知时限 | 受众 |
|----------|-------------|----------------------|----------|
| P1 - 严重 | 影响业务运营的勒索软件(Ransomware)、擦除器或大规模感染 | 15 分钟内 | CISO、CEO、法律、董事会(如适用) |
| P2 - 高 | 针对关键系统的定向恶意软件,疑似数据外泄 | 1 小时内 | CISO、IT 总监、法律 |
| P3 - 中 | 已遏制的恶意软件感染,扩散有限 | 4 小时内 | 安全经理、IT 总监 |
| P4 - 低 | 单端点感染,已快速遏制 | 24 小时内 | 安全团队负责人 |

### 通信渠道

| 渠道 | 使用场景 | 安全级别 |
|---------|----------|---------------|
| 带外电话通话 | 初始严重通知 | 最高 |
| 加密通讯(Signal) | IR 团队实时协调 | 高 |
| 安全电子邮件(加密) | 正式通知、文档 | 高 |
| 战情室(War Room)(实体/虚拟) | 持续事件协调 | 中 |
| 事件工单系统 | 状态跟踪和文档 | 中 |
| 公司内网 | 广泛的员工通信 | 标准 |

## 模板 1:初始事件通知(内部)

```
主题:[严重性] 恶意软件事件 - 初始通知 - [日期/时间 UTC]

机密级别:保密 - 仅限 IR 团队

事件 ID:IR-[年份]-[编号]
检测时间:[YYYY-MM-DD HH:MM UTC]
通知时间:[YYYY-MM-DD HH:MM UTC]
严重性:[P1/P2/P3/P4]

摘要:
已检测到影响 [部门/地点] [数量] 个系统的恶意软件事件。
恶意软件已被识别为 [类型],具有 [已知/未知] 特征。

当前影响:
- 受影响系统:[数量和描述]
- 受影响的业务功能:[列表]
- 面临风险的数据:[描述]
- 当前扩散状态:[已遏制/扩散中/未知]

已采取的即时措施:
1. [措施 - 例如,受影响端点已从网络隔离]
2. [措施 - 例如,EDR 遏制策略已激活]
3. [措施 - 例如,安全团队已动员]

下一步:
1. [计划中的措施及时间表]
2. [计划中的措施及时间表]

事件指挥官:[姓名]
联系方式:[电话/加密渠道]

下次更新:[时间] 或情况发生变化时更早更新

---
请勿将此通知转发至 IR 团队以外的人员。
```

## 模板 2:高管简报

```
主题:高管简报 - 恶意软件事件 IR-[年份]-[编号]

收件人:[CEO / CISO / CIO / 董事会]
发件人:[事件指挥官]
日期:[日期]
更新:[#]

情况摘要:
[用业务语言描述事件的 2-3 句话]

业务影响:
- 收入影响:[预估/无/评估中]
- 运营影响:[描述]
- 客户影响:[描述]
- 监管影响:[描述]

当前状态:[已检测 / 已遏制 / 根除中 / 恢复中]

需要的关键决策:
1. [决策及背景和建议]
2. [决策及背景和建议]

时间线:
- [时间]:事件检测
- [时间]:遏制启动
- [时间]:[里程碑]
- [时间]:预计恢复(如已知)

外部通信状态:
- 监管通知:[需要/已提交/不需要]
- 客户通知:[需要/计划中/不需要]
- 执法部门:[已接洽/计划中/不适用]

资源需求:
- [资源需求 - 例如,聘请外部 IR 公司]
- [资源需求 - 例如,重建所需的额外硬件]

下次更新:[时间]
```

## 模板 3:IT 团队技术通告

```
主题:技术通告 - [恶意软件名称] - 需立即采取行动

严重性:[严重/高/中]
日期:[日期/时间 UTC]
通告 ID:TA-[年份]-[编号]

威胁描述:
[恶意软件、行为和指标的技术描述]

受影响系统:
- 操作系统:[列表]
- 应用程序:[列表]
- 网络段:[列表]

失陷指标(IOC):
文件哈希:
  MD5:[哈希]
  SHA256:[哈希]

文件名:
  [文件名]

网络指标:
  C2 域:[域名]
  C2 IP:[IP 地址]
  User-Agent:[字符串]

注册表键:
  [注册表路径]

检测方法:
- EDR:[检测规则/特征]
- SIEM:[关联规则]
- 网络:[IDS/IPS 特征]

必要措施:
优先级 1(立即):
  [ ] 在防火墙/代理处封锁 IOC
  [ ] 推送 EDR 遏制规则
  [ ] 扫描所有端点的 IOC

优先级 2(4 小时内):
  [ ] 应用补丁 [KB/CVE 编号]
  [ ] 更新防病毒特征
  [ ] 审查日志中的历史指标

优先级 3(24 小时内):
  [ ] 进行企业级威胁狩猎
  [ ] 验证备份完整性
  [ ] 更新检测规则

联系方式:SOC - [电话] | 安全工程 - [电话]
```

## 模板 4:监管通知

```
[组织信头]

[监管机构]
[地址]

日期:[日期]

主题:数据安全事件通知 - [参考编号]

尊敬的[头衔/姓名]:

根据[法规 - 例如 GDPR 第 33 条、州数据泄露通知法],
[组织]特此就数据安全事件进行通知。

事件摘要:
[日期],[组织]检测到影响含有
[数据类型]系统的恶意软件事件。该事件通过[检测方法]被发现。

可能受影响的数据:
- 数据类型:[个人数据、财务、健康等]
- 个人数量:[数量或估计]
- 个人类别:[客户、员工等]

时间线:
- [日期]:事件发生(估计)
- [日期]:事件检测
- [日期]:遏制实现
- [日期]:本通知

已采取的措施:
1. [遏制措施]
2. [调查措施]
3. [修复措施]

减轻不利影响的措施:
1. [减轻措施 - 例如,提供信用监控]
2. [减轻措施 - 例如,强制密码重置]

联系信息:
[DPO/隐私官姓名]
[职务]
[电子邮件]
[电话]

此致
[签署人]
[职务]
```

## 模板 5:客户/公众通知

```
主题:来自[组织]的重要安全通知

尊敬的[客户/用户]:

我们写信是为了告知您一个可能影响您信息的安全事件。

发生了什么:
[日期],我们检测到我们系统上涉及恶意软件的未经授权活动。
我们立即启动了事件响应程序,并聘请了领先的网络安全专家进行调查。

涉及哪些信息:
根据我们的调查,以下类型的信息可能受到影响:[列表 - 例如,姓名、电子邮件地址等]

我们正在采取的措施:
- 我们已遏制事件并清除恶意软件
- 我们已聘请[取证公司]进行彻底调查
- 我们已加强安全控制以防止类似事件
- 我们已通知相关监管机构

您可以采取的措施:
- 更改您[组织]账户的密码
- 如果尚未启用,请启用多因素认证(MFA)
- 监控您的账户是否有异常活动
- [其他具体建议]

额外资源:
- [专属支持热线]
- [FAQ 页面 URL]
- [信用监控注册 - 如适用]

我们对可能造成的任何担忧深表歉意,并致力于保护您的信息。

[签署人]
[职务]
```

## 通信工作流程

### 升级矩阵
```
检测到恶意软件
  |
  v
[分类严重性:P1/P2/P3/P4]
  |
  |-- P1:15 分钟内通知
  |     |-- 事件指挥官
  |     |-- CISO(电话)
  |     |-- CEO(电话)
  |     |-- 法律顾问
  |     |-- 外部 IR 公司
  |     |-- 执法部门(如适用)
  |
  |-- P2:1 小时内通知
  |     |-- CISO
  |     |-- IT 总监
  |     |-- 法律顾问
  |
  |-- P3:4 小时内通知
  |     |-- 安全经理
  |     |-- IT 总监
  |
  |-- P4:24 小时内通知
        |-- 安全团队负责人
```

## 参考资料

- NIST SP 800-61 修订版 2:事件通信指南
- GDPR 第 33 条:数据泄露通知要求
- SANS 事件处理手册:通信最佳实践
- CISA 事件报告指南

Related Skills

triaging-security-incident

9
from killvxk/cybersecurity-skills-zh

使用 NIST SP 800-61r3 和 SANS PICERL 框架对安全事件进行初始分类,确定严重性、范围和所需响应行动。 按类型对事件分类,根据业务影响分配优先级,并路由到相应的响应团队。适用于事件分类、 安全告警分类、严重性评估、事件优先级排序或初始事件分析等请求场景。

triaging-security-incident-with-ir-playbook

9
from killvxk/cybersecurity-skills-zh

使用结构化 IR Playbook 对安全事件进行分类和优先排序,确定严重性、分配响应团队并启动适当的响应程序。

reverse-engineering-rust-malware

9
from killvxk/cybersecurity-skills-zh

使用 IDA Pro 和 Ghidra 对 Rust 编译的恶意软件进行逆向工程,掌握处理非空终止字符串、提取 crate 依赖项和 Rust 特有控制流分析的专项技术。

reverse-engineering-malware-with-ghidra

9
from killvxk/cybersecurity-skills-zh

使用 NSA 的 Ghidra 反汇编器和反编译器对恶意软件二进制文件进行逆向工程,在汇编和伪 C 代码层面理解其内部逻辑、密码学例程、C2 协议和规避技术。适用于恶意软件逆向工程、反汇编分析、反编译、二进制分析或理解恶意软件内部机制等请求。

reverse-engineering-dotnet-malware-with-dnspy

9
from killvxk/cybersecurity-skills-zh

使用 dnSpy 反编译器和调试器对 .NET 恶意软件进行逆向工程,分析 C#/VB.NET 源代码,识别混淆技术,提取配置信息,理解包括信息窃取器、远程访问木马(RAT)和加载器在内的恶意功能。适用于 .NET 恶意软件分析、C# 恶意软件反编译、托管代码逆向工程或 .NET 混淆分析等请求。

reverse-engineering-android-malware-with-jadx

9
from killvxk/cybersecurity-skills-zh

使用 JADX 反编译器对恶意 Android APK 文件进行逆向工程,分析 Java/Kotlin 源代码,识别包括数据窃取、C2 通信、权限提升和覆盖攻击在内的恶意功能。检查 Manifest 权限、Receiver、Service 及原生库。适用于 Android 恶意软件分析、APK 逆向工程、移动端恶意软件调查或 Android 威胁分析等请求。

performing-static-malware-analysis-with-pe-studio

9
from killvxk/cybersecurity-skills-zh

使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。

performing-ransomware-incident-response

9
from killvxk/cybersecurity-skills-zh

执行结构化的勒索软件事件响应,包括遏制、解密评估、从备份恢复以及根除勒索软件持久化机制。

performing-malware-triage-with-yara

9
from killvxk/cybersecurity-skills-zh

使用 YARA 规则对文件模式、字符串、字节序列和结构特征进行匹配,快速分级和分类恶意软件样本, 识别已知恶意软件家族及可疑指标。涵盖规则编写、扫描和与分析流程的集成。适用于 YARA 规则创建、 恶意软件分类、模式匹配、样本分级或基于签名的检测等请求场景。

performing-malware-persistence-investigation

9
from killvxk/cybersecurity-skills-zh

系统性地调查 Windows 和 Linux 系统上的所有持久化机制,以识别恶意软件如何在重启后存活并维持访问。

performing-malware-ioc-extraction

9
from killvxk/cybersecurity-skills-zh

恶意软件 IOC(失陷指标)提取是指通过分析恶意软件,识别可操作的失陷指标,包括文件哈希、网络指标(C2 域名、IP 地址、URL)、注册表修改、互斥体名称、嵌入字符串和行为产物。

performing-malware-hash-enrichment-with-virustotal

9
from killvxk/cybersecurity-skills-zh

使用 VirusTotal API 富化恶意软件文件哈希,获取检测率、行为分析、YARA 匹配和上下文威胁情报,用于事件分类和 IOC 验证。