CISA发布Thorium：一个开源、可扩展的恶意软件分析平台

美国网络安全和基础设施安全局(CISA)发布了Thorium，这是一个高吞吐量的开源平台，用于自动化恶意软件和取证文件分析。该平台是与桑迪亚国家实验室合作开发的，旨在支持软件分析师、数字取证团队和事件响应人员。

该平台将使网络防御者能够将商业、开源和自定义工具集成到一个统一的系统中，用于编排大规模、自动化的分析工作流程。经常从事文件分析的团队将能够利用Thorium将可扩展的自动化结果索引引入单一的统一平台。

为现代网络工作流程设计

Thorium旨在使分析师能够使用标签和全文搜索过滤工具输出。它还将强制执行严格的基于组的权限控制，确保提交、工具和结果保持安全。用户可以通过事件触发器和工具执行序列定义自动化工作流程。CISA声称，Thorium将通过RESTful API提供完全控制，并可通过Web浏览器或命令行工具工作。

该平台可以与Kubernetes和ScyllaDB一起扩展以满足工作负载需求。Thorium设计用于与基础设施一起扩展，能够每小时每个权限组摄入超过1000万个文件，并每秒调度超过1700个作业，同时保持快速查询性能。

重新思考大规模恶意软件分析

企业级恶意软件分析工具和平台已在安全社区广泛使用。但其中许多需要付费许可，缺乏大规模编排，或难以与企业工作流程集成。专家将Thorium视为高级恶意软件分析技术的重要民主化。

“这是一个重大进展，因为它民主化了对以前仅用于国家安全的强大、可扩展分析框架的访问。Thorium为网络安全社区提供了重大进步。它自动化和编排复杂分析工作流程的能力，使公共和私营部门的网络防御者能够获得以前仅在昂贵或专有商业解决方案中可用的能力，“EIIRTrend & Pareekh Consulting的首席执行官Pareekh Jain表示。

部署要求

虽然该平台可以从CISA的官方GitHub存储库下载，但部署Thorium需要一个预配置的Kubernetes集群，以及对块存储和对象存储的访问权限。成功设置还需要对Docker容器和集群管理有实际了解。

Jain指出，Thorium的发布可能会加速开放、模块化网络安全架构的采用，因为组织希望避免供应商锁定、降低成本并利用社区驱动的创新力量。然而，他也警告说，企业可能会面临诸如有限的DevOps技能、与遗留系统的集成挑战以及需要强大的治理框架来解决开源部署中的安全、隐私和合规风险等障碍。