CISA发布Thorium，一个开源可扩展的恶意软件分析平台

美国网络安全和基础设施安全局（CISA）发布了Thorium，这是一个用于自动化恶意软件和取证文件分析的高吞吐量开源平台。Thorium是与桑迪亚国家实验室合作开发的，旨在支持软件分析师、数字取证团队和事件响应人员。

该平台将使网络防御者能够将商业、开源和自定义工具集成到一个统一的系统中，以协调大规模、自动化的分析工作流程。经常从事文件分析的团队将能够利用Thorium将可扩展的自动化和结果索引整合到一个单一的统一平台中。该平台允许无缝集成打包为Docker镜像的命令行工具，无论是开源、商业现成还是自定义构建的。CISA表示，通过额外的配置，甚至可以集成在虚拟机或裸机环境中运行的更复杂工具。

为现代网络工作流程设计

Thorium旨在使分析师能够使用标签和全文搜索过滤工具输出。它还将强制执行严格的基于组的权限控制，确保提交、工具和结果保持安全。用户可以通过事件触发器和工具执行序列定义自动化工作流程。CISA声称，Thorium将通过RESTful API提供完全控制，并可通过Web浏览器或命令行工具工作。

该平台可以通过Kubernetes和ScyllaDB进行扩展以满足工作负载需求。Thorium设计为与基础设施一起扩展，能够每小时每个权限组摄取超过1000万个文件，并每秒调度超过1700个作业，同时保持快速的查询性能。

Greyhound Research的首席分析师兼首席执行官Sanchit Vir Gogia表示：“Thorium将决策轴从功能积累转向堆栈控制。其开放插件模型让CISO能够根据不同威胁配置文件定制分析流程，根据需要集成开源工具、自定义脚本或商业模块。这种灵活性在法医合规性或本地化不可协商的受监管行业中非常有价值。”

重新思考大规模恶意软件分析

企业级恶意软件分析工具和平台已在安全社区广泛使用。但其中许多需要付费许可证，缺乏大规模协调，或难以与企业工作流程集成。专家认为Thorium是高级恶意软件分析技术的重要民主化。

EIIRTrend & Pareekh Consulting的首席执行官Pareekh Jain表示：“这是一个大事，因为它民主化了访问以前仅限于国家安全使用的强大、可扩展分析框架。Thorium是网络安全社区的重大进步。其自动化和协调复杂分析工作流程的能力使公共和私营部门的网络防御者能够获得以前仅在昂贵或专有商业解决方案中可用的功能。”

Jain补充说，它为CIO和CSO提供了集中化、自动化的工作流程，统一了工具并减少了复杂性。它实现了可扩展、数据驱动的事件响应——从手动、基于团队的过程转向更快、组织范围的分析，以前这仅限于大型SOC。

Gogia补充说，Thorium挑战了商业恶意软件分析平台的成本结构和控制权衡。通过提供高吞吐量分析、开放插件架构和本地数据保留，它使组织能够在不牺牲预算或主权的情况下重新获得可见性。

部署要求与挑战

尽管该平台可以从CISA的官方GitHub存储库下载，但部署Thorium需要一个预配置的Kubernetes集群，以及块存储和对象存储的访问权限。对Docker容器和集群管理的工作知识对于成功设置也至关重要。

Jain指出，Thorium的发布可能会加速开放、模块化网络安全架构的采用，因为组织希望避免供应商锁定、降低成本并利用社区驱动创新的力量。然而，他也警告说，企业可能面临诸如有限的DevOps技能、与遗留系统集成的挑战以及需要强大的治理框架来解决开源部署中的安全、隐私和合规风险等障碍。