CISA发布开源数字取证平台Thorium，实现大规模自动化恶意软件分析

美国网络安全机构CISA推出了名为Thorium的开源平台，旨在协助分析恶意软件。该平台由CISA与桑迪亚国家实验室合作开发，面向软件分析师、数字取证团队和事件响应专家。Thorium允许网络安全专家将商业、开源和自定义工具集成到统一系统中，以协调大规模自动化分析工作流。即使是打包为Docker镜像的命令行工具也能无缝集成，且不受工具类型限制。CISA表示，通过额外配置工作，复杂工具甚至可集成到虚拟或裸机环境中。

🌐Thorium介绍：一个可扩展的自动化文件分析与结果聚合平台——集成工具、自动化工作流，每小时可处理超1000万文件。适用于恶意软件分析、取证和事件响应。了解更多👉https://t.co/ykbTZDeMWH pic.twitter.com/l67ThcmsA3— CISA Cyber (@CISACyber) 2025年7月31日

为现代网络工作流设计

Thorium使分析师能够通过标签和全文搜索过滤工具输出，并定义自动化工作流。平台包含严格的基于组的访问控制，确保输入数据、工具本身及输出结果的安全性。用户可通过事件触发器和工具执行序列定义自动化工作流，并通过RESTful API提供完全控制——据美国机构称，它还支持浏览器或命令行工具操作。

此外，该平台可借助Kubernetes和ScyllaDB进行扩展以满足工作负载需求。Thorium设计为随基础设施扩展，能够每小时处理1000万文件（每权限组），并每秒调度超1700个作业，同时保持优异的查询性能。

Greyhound Research首席分析师Sanchit Vir Gogia评价道：“Thorium将决策轴从功能堆叠转向堆栈控制。得益于开放插件模型，CISO可针对多样化威胁配置文件调整分析工作流，并根据需要集成开源工具、定制脚本或商业模块。”

重新思考恶意软件分析

企业级恶意软件分析工具和平台在安全行业广泛存在，但许多需要付费许可、缺乏大规模协调能力或难以集成到工作流中。因此，Thorium对行业的重要性不容低估。EllRTrend & Pareekh Consulting首席执行官Pareekh Jain强调：“它民主化了对健壮、可扩展框架的访问。通过自动化与协调复杂分析工作流，公共和私营部门的安全专家现在能使用此前仅限昂贵或专有商业解决方案的功能。”

Jain认为，Thorium为IT和安全决策者提供了统一工具和降低复杂性的机会，同时数据驱动的事件响应开启了以往仅限大型SOC的能力。他预计Thorium的发布可能推动开放、模块化网络安全架构的进一步普及，因为企业希望避免供应商锁定、降低成本并从社区驱动创新中受益。

分析师Gogia补充道：“Thorium从根本上质疑了商业恶意软件分析平台的成本结构及用户必须做出的妥协。”这使得企业和组织无需牺牲预算或数字主权即可获得更深入的洞察。

但实际情况是：部署Thorium需要预配置的Kubernetes集群以及对块存储和对象存储的访问。成功搭建平台还需具备Docker容器和集群管理方面的深厚专业知识。（tf/fm）