CISA推出开源数字取证平台Thorium

美国网络安全局CISA推出了名为Thorium的开源平台，旨在协助分析恶意软件。该平台由CISA与桑迪亚国家实验室合作开发，面向软件分析师、数字取证团队和事件响应专家。

平台核心功能

Thorium允许网络安全专家将商业、开源和自定义工具集成到统一系统中，目标是编排大规模自动化分析工作流程。平台支持无缝集成打包为Docker镜像的命令行工具，且通过额外配置可整合复杂工具到虚拟或裸机环境。

技术架构与性能

• 集成方式: 通过RESTful API提供完整控制，支持浏览器或命令行工具操作
• 扩展能力: 与Kubernetes和ScyllaDB集成实现横向扩展，支持每小时处理1000万文件（每权限组），每秒调度超1700个任务
• 工作流设计: 用户可通过事件触发器和工具执行序列定义自动化工作流程，支持基于标签和全文搜索过滤工具输出

行业影响

专家指出，Thorium通过开放插件模型使企业能根据威胁特征定制分析流程，集成开源工具、自定义脚本或商业模块。该平台降低了获取强大分析框架的门槛，使公共和私营部门能访问以往仅限高价商业解决方案的功能。

部署要求

部署Thorium需预配置Kubernetes集群、块存储和对象存储访问权限，同时要求具备Docker容器和集群管理专业知识。

推文引用: CISA Cyber官方推文展示Thorium支持自动化文件分析与结果聚合，适用于恶意软件分析、取证和事件响应。