美國網路安全暨基礎設施安全局(CISA)與能源部桑迪亞國家實驗室(Sandia National Laboratories)合作,正式釋出 Thorium 自動化惡意軟體與數位鑑識分析平台,協助企業資安團隊快速評估惡意軟體威脅。
解決資安團隊面臨的挑戰
面對日益增長的網路威脅,企業資安防護人員難以跟上攻擊者的腳步,及時且精確的惡意軟體分析成為一大挑戰。過往資安人員需要使用多種專業工具,分析師也必須不斷開發新方法來應對持續演化的惡意軟體。
Thorium 的設計目標是透過整合資安團隊慣用的商業、客製化及開源工具至單一可客製化平台,並運用事件驅動觸發機制建立自動化分析工作流程,協助防護人員自動化部分分析作業。
Thorium 每個權限群組每小時可處理超過 1,000 萬個檔案,每秒可排程超過 1,700 個工作。這使得系統能夠處理大量惡意軟體樣本、適應新興威脅,並有效管理工具集。
CISA 表示,Thorium 支援資安團隊的各種角色與活動,從軟體分析到數位鑑識再到事件回應,全面提升團隊作業效率。
主要功能特色
資安團隊可透過 Thorium 實現以下自動化分析功能:
- 工具匯入匯出:便於防護團隊間分享工具資源
- 整合命令列工具:支援 Docker 映像檔整合開源、商業及客製化軟體(虛擬機器及裸機工具需額外設定)
- 結果篩選:提供標籤與全文搜尋功能
- 存取控制:透過群組權限控制提交、工具及結果的存取權限
- 基礎架構擴展:運用 Kubernetes 與 ScyllaDB 滿足工作負載需求
Thorium 現已於 CISA 官方 GitHub 儲存庫開放下載。有意使用的組織需具備已部署的 Kubernetes 叢集、區塊儲存及物件儲存環境,成功部署需熟悉 Docker 容器與運算叢集管理技術。
CISA 威脅獵捕部門副主任 Jermaine Roebuck 表示:「透過公開釋出此平台,我們賦予更廣泛的資安社群使用先進惡意軟體與鑑識分析工具的能力。可擴展的二進位檔案與數位證物分析能力,強化我們識別與修復軟體漏洞的能力。」
CISA 持續推出資安工具
這並非 CISA 首次釋出免費資安工具。該機構先前已發布 Eviction Strategies Tool,透過產生防護人員需採取的行動來支援事件回應,協助圍堵並驅逐入侵者離開受感染網路。
Thorium 的釋出進一步展現 CISA 致力於提升整體資安社群防護能力的決心,為面臨日益嚴峻網路威脅的企業組織提供更強大的防護工具。
本文轉載自darkreading。