CISA发布Thorium：开源可扩展恶意软件分析平台

美国网络安全和基础设施安全局（CISA）发布了Thorium，一个用于自动化恶意软件和取证文件分析的高吞吐量开源平台。该平台是与桑迪亚国家实验室合作开发的，旨在支持软件分析师、数字取证团队和事件响应人员。

该平台将使网络防御者能够将商业、开源和自定义工具集成到统一系统中，以协调大规模自动化分析工作流。经常从事文件分析的团队将能够利用Thorium将可扩展的自动化和结果索引整合到单一统一平台中。该平台允许无缝集成打包为Docker镜像的命令行工具，无论是开源、商业现成还是自定义构建的工具。CISA表示，通过额外配置，甚至可以集成在虚拟机或裸机环境中运行的更复杂工具。

为现代网络工作流设计

Thorium旨在使分析师能够使用标签和全文搜索过滤工具输出。它还将强制执行严格的基于组的权限控制，确保提交、工具和结果保持安全。用户可以通过事件触发器和工具执行序列定义自动化工作流。CISA声称，Thorium将通过RESTful API提供完全控制，并可通过Web浏览器或命令行工具工作。

该平台可以通过Kubernetes和ScyllaDB扩展以满足工作负载需求。Thorium设计为随基础设施扩展，每个权限组每小时能够摄取超过1000万个文件，并每秒调度超过1700个作业，同时保持快速查询性能。

Greyhound Research首席分析师兼首席执行官Sanchit Vir Gogia表示：“Thorium将决策轴从功能积累转向堆栈控制。其开放插件模型让CISO能够根据不同威胁配置文件定制分析流程，根据需要集成开源工具、自定义脚本或商业模块。这种灵活性在法医合规性或本地化不容谈判的受监管行业中非常有价值。”

重新思考大规模恶意软件分析

企业级恶意软件分析工具和平台已在安全社区广泛使用。但其中许多需要付费许可、缺乏大规模编排或难以与企业工作流集成。专家认为Thorium是高级恶意软件分析技术的重大民主化。

EIIRTrend & Pareekh Consulting首席执行官Pareekh Jain表示：“这是一个重大事件，因为它民主化了对强大、可扩展分析框架的访问，该框架以前仅限于国家安全使用。Thorium是网络安全社区的重大进步。其自动化和编排复杂分析工作流的能力使公共和私营部门的网络防御者能够获得以前仅在昂贵或专有商业解决方案中可用的功能。”

Jain补充说，它为CIO和CSO提供集中化、自动化的工作流，统一工具并减少复杂性。它支持可扩展、数据驱动的事件响应——从手动、基于团队的过程转向以前仅限于大型SOC的更快速、组织范围的分析。

Gogia补充说，Thorium挑战了商业恶意软件分析平台的成本结构和控制权衡。通过提供高吞吐量分析、开放插件架构和本地数据保留，它使组织能够重新获得可见性，而不会牺牲预算或主权。

部署要求与挑战

虽然该平台可以从CISA的官方GitHub存储库下载，但部署Thorium需要预配置的Kubernetes集群，以及块存储和对象存储的访问权限。对Docker容器和集群管理的工作知识对于成功设置也至关重要。

Jain指出，随着组织寻求避免供应商锁定、降低成本并利用社区驱动创新的力量，Thorium的发布可能会加速开放、模块化网络安全架构的采用。然而，他也警告说，企业可能面临诸如有限的DevOps技能、与遗留系统的集成挑战以及需要强大的治理框架来解决开源部署中的安全、隐私和合规性风险等障碍。