Современный мир сталкивается с постоянными киберугрозами, в связи с чем инструменты для анализа вредоносного программного обеспечения и цифровой криминалистики приобретают критически важное значение. Американское агентство по кибербезопасности и инфраструктурной безопасности (CISA) сделало значительный шаг вперед, открыв для общественности платформу Thorium — универсальное средство для аналитиков по киберугрозам, позволяющее автоматизировать и масштабировать процесс исследования вредоносных программ и цифровых артефактов. Платформа Thorium была разработана в сотрудничестве с Национальными лабораториями Sandia и нацелена на упрощение сложных задач, связанных с расследованиями кибератак, ускоряя обработку огромного объема данных. Одним из ключевых преимуществ является способность системы выполнять свыше 1700 заданий в секунду, а также обрабатывать более 10 миллионов файлов в час на одного пользовательского участника. Это позволяет аналитикам существенно увеличить скорость выявления и анализа угроз.
Благодаря интеграции различных инструментов — как коммерческих, так и открытых исходных кодов, а также собственных разработок — Thorium предлагает комплексный подход к автоматизации рабочих процессов специалистов по безопасности. Платформа поддерживает такого рода функции, как импорт и экспорт инструментов для совместного использования между командами, исполнение командных утилит в контейнеризированной среде Docker и фильтрацию результатов с помощью тегов и полнотекстового поиска. Это дает возможность работать с большим массивом данных, легко находить нужную информацию и быстро реагировать на инциденты. Особое внимание уделено контролю доступа посредством групповых разрешений, что обеспечивает высокий уровень безопасности в управлении данными и результатами анализа. Кроме того, Thorium построена с использованием технологий Kubernetes и ScyllaDB, что гарантирует масштабируемость и стабильность работы платформы вне зависимости от объема и сложности задач.
Открытость кода Thorium открывает новые горизонты для специалистов из государственных структур, частных компаний и исследовательских организаций, позволяя адаптировать платформу под конкретные нужды и делиться ее возможностями с всем сообществом кибербезопасности. Такое сотрудничество способствует быстрому развитию технологий и своевременному противодействию эволюционирующим угрозам. Ассоциированный директор CISA по направлениям охоты на угрозы, Джермейн Рубак, подчеркнул, что публикация Thorium существенно расширяет возможности специалистов, позволяя им более эффективно анализировать сложные бинарные файлы и другие цифровые артефакты. Это, в свою очередь, помогает выявлять уязвимости как в вредоносном, так и в добросовестном программном обеспечении, что имеет большое значение для повышения общей кибербезопасности. Стоит отметить, что Thorium лишь часть более широкой стратегии CISA по предоставлению открытых инструментов для кибербезопасности.
Для примера, недавно агентство сделало общедоступным инструмент Eviction Strategies Tool, предназначенный для оперативного реагирования и выведения злоумышленников из скомпрометированных сетей и устройств. Ранее CISA также запустила систему «Malware Next-Gen», позволяющую общественности направлять образцы подозрительного ПО на анализ. Такие инициативы свидетельствуют о стремлении CISA создавать экосистему инструментов, которая не только способствует защите критически важной инфраструктуры, но и обеспечивает прозрачность и вовлеченность широких кругов специалистов и организаций в борьбу с киберугрозами. В эпоху, когда атаки становятся все более технически сложными, объединение ресурсов и обмен знаниями играют ключевую роль. Платформа Thorium доступна для загрузки и установки через официальный репозиторий CISA на GitHub.
Это упрощает адаптацию и внедрение данного решения в существующие процессы безопасности различных организаций. Кроме того, наличие подробной документации делает процесс интеграции и начала работы максимально понятным и быстрым. Использование Thorium позволяет не только автоматизировать множество рутинных и трудоемких процессов анализа, но и повысить качество принимаемых решений за счет более глубокого и комплексного понимания угроз. Аналитики получают в руки инструмент, который сокращает временные затраты на обработку данных, минимизирует человеческий фактор и обеспечивает масштабируемость в условиях непрерывного роста объемов вредоносных файлов. В итоге платформа Thorium от CISA становится мощным ресурсом для киберзащитников, позволяя им быстрее выявлять, изучать и нейтрализовать угрозы.
