La nouvelle plate-forme de CISA combine l’automatisation, l’évolutivité et la flexibilité open source pour aider les défenseurs à rationaliser les fichiers et les logiciels malveillants.
L’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) a publié Thorium, une plate-forme open-source à haut débit pour les logiciels malveillants automatisés et l’analyse de fichiers médico-légaux. Développé en partenariat avec Sandia National Laboratories, Thorium est conçu pour soutenir les analystes logiciels, les équipes de criminalistique numérique et les intervenants incidents.
La plate-forme permettrait aux cyber-défenseurs d’intégrer des outils commerciaux, open-source et personnalisés dans un système unifié pour orchestrer les workflows d’analyse automatisé à grande échelle.
Les équipes qui s’engagent fréquemment dans l’analyse des fichiers seraient en mesure de tirer parti du thorium pour apporter l’automatisation évolutive et l’indexation des résultats dans une seule plate-forme unifiée. La plate-forme permettrait une intégration transparente des outils de ligne de commande emballés sous forme d’images Docker, qu’ils soient open-source, commerciaux standard ou sur mesure. Avec une configuration supplémentaire, des outils encore plus complexes qui fonctionnent sur des machines virtuelles ou des environnements à métal nu peuvent être incorporés, a déclaré CISA.
Organisé pour les cyber-workflows modernes
Le thorium est conçu pour permettre aux analystes de filtrer les sorties d’outils à l’aide de balises et de recherche en texte intégral. Il appliquera également des contrôles d’autorisation stricts en groupe, garantissant que les soumissions, les outils et les résultats restent en sécurité. Les utilisateurs peuvent définir des workflows automatisés via des déclencheurs d’événements et des séquences d’exécution d’outils. Le thorium fournira un contrôle total via une API RESTful et fonctionnera via un navigateur Web ou un outil de ligne de commande, a affirmé CISA.
La plate-forme peut évoluer avec Kubernetes et Scylladb pour répondre aux demandes de charge de travail. Le thorium est conçu pour évoluer avec des infrastructures, capable d’ingestion plus de 10 millions de fichiers par heure par groupe d’autorisation et de planifier plus de 1 700 emplois par seconde, tout en maintenant des performances de requête rapide.
«Le thorium déplace l’axe de décision de l’accumulation de fonctionnalités au contrôle de la pile. Son modèle de plugin ouvert permet aux Cisos d’analyse de tailleur pour les différents profils de menaces, à intégrer des outils open source, des scripts personnalisés ou des modules commerciaux au besoin. Cette flexibilité est précieuse dans les secteurs réglementés où la compliance en chef du Forensic ou la localisation est non-negopteur», a déclaré Sanchit Virgia, Analyst et CNEO et CNEO à Greyhound.
Repenser l’analyse des logiciels malveillants à grande échelle
Les outils et plates-formes d’analyse de logiciels malveillants de qualité d’entreprise ont été largement utilisés dans la communauté de sécurité. Mais beaucoup d’entre eux ont besoin de licences rémunérées, manquent d’orchestration à grande échelle ou sont difficiles à intégrer aux workflows d’entreprise. Les experts considèrent le thorium comme une démocratisation importante de la technologie avancée d’analyse des logiciels malveillants.
«Il s’agit d’un gros problème car il démocratise l’accès à un cadre d’analyse évolutif robuste précédemment réservé à l’utilisation de la sécurité nationale. Le thorium est une avancée majeure pour la communauté de la cybersécurité.
Gogia a ajouté que le thorium remet en question la structure des coûts et le contrôle des compromis des plates-formes d’analyse des logiciels malveillants commerciaux. En fournissant une analyse à haut débit, une architecture des plugins ouverts et une rétention des données locales, il permet aux organisations de retrouver la visibilité sans permettre le budget ni la souveraineté.
Bien que la plate-forme puisse être téléchargée à partir du référentiel GitHub officiel de CISA, le déploiement du thorium nécessite un cluster Kubernetes préconfiguré, ainsi que l’accès à un magasin de blocs et à un magasin d’objets. Une connaissance pratique des conteneurs Docker et de la gestion des cluster est également essentiel pour une configuration réussie.
Jain a noté que la libération de Thorium peut accélérer l’adoption d’architectures de cybersécurité ouvertes et modulaires alors que les organisations cherchent à éviter le verrouillage des fournisseurs, à réduire les coûts et à exploiter le pouvoir de l’innovation axée sur la communauté. Cependant, il a également averti que les entreprises peuvent être confrontées à des obstacles tels que des compétences limitées de DevOps, des défis d’intégration avec les systèmes hérités et la nécessité de forts cadres de gouvernance pour résoudre les risques de sécurité, de confidentialité et de conformité dans les déploiements open-source.
