出典:Tomasz Zajda(Alamy Stock Photoより)
ニュース速報
サイバーセキュリティ・インフラストラクチャ庁(CISA)は、エネルギー省サンディア国立研究所と協力し、エンタープライズ防御担当者がマルウェアの脅威を迅速に評価できるよう、マルウェアおよびフォレンジック解析の自動化プラットフォーム「Thorium」を公開しました。
エンタープライズ防御担当者は、組織に押し寄せる膨大な脅威に対応しきれず、タイムリーかつ正確なマルウェア解析が依然として課題となっています。多くの場合、防御担当者は複数の専門ツールを使用し、アナリストは絶えず進化する分野で新たな解析手法を開発しています。Thoriumは、防御担当者が商用、カスタム、オープンソースなど好みのツールを1つのカスタマイズ可能なプラットフォームに統合し、イベント駆動型トリガーで自動化された解析ワークフローを作成することで、こうした解析作業の一部を自動化できるよう設計されています。Thoriumは、1つの権限グループあたり1時間に1,000万件以上のファイル取り込みに対応し、1秒あたり1,700件以上のジョブをスケジューリングできます。
これにより、大量のマルウェアを処理し、新たな脅威に適応し、ツールセットを効果的に管理することが可能になると、CISAは声明で述べています。また、Thoriumはソフトウェア解析からデジタルフォレンジック、インシデント対応まで、セキュリティチームのさまざまな役割や活動をサポートするとしています。
サイバーセキュリティチームは、以下の方法(これらに限らず)でThoriumを活用し、解析の自動化や高速化が可能です:
-
防御チーム間での共有を容易にするため、ツールのインポートおよびエクスポートが可能
-
コマンドラインツールをDockerイメージとして統合可能(オープンソース、商用、カスタムソフトウェアを含む)。仮想マシンやベアメタルツールの統合には追加の設定が必要です。
-
タグや全文検索による結果のフィルタリング
-
グループベースの権限で、提出物・ツール・結果へのアクセスを制御
-
KubernetesとScyllaDBによるインフラのスケーリングで、ワークロード需要に対応
-
サイバー防御チーム間での共有を容易にするため、ツールのインポートおよびエクスポートが簡単
Thoriumは CISA公式のGitHubリポジトリから入手可能です。利用を希望する組織は、Kubernetesクラスター、ブロックストア、オブジェクトストアの導入が必要です。導入を成功させるには、Dockerコンテナやコンピュートクラスター管理の知識が求められます。
「このプラットフォームを一般公開することで、より幅広いサイバーセキュリティコミュニティが高度なマルウェア・フォレンジック解析ツールを活用できるようになります」と、CISA脅威ハンティング担当アソシエイトディレクターのJermaine Roebuck氏は声明で述べています。「バイナリやデジタルアーティファクトのスケーラブルな解析は、ソフトウェアの脆弱性を特定し修正する能力を強化します。」
CISAはこれまでにも、 Eviction Strategies Toolなどのツールを公開しています。これは、侵害されたネットワークから攻撃者を封じ込め・排除するために防御担当者が取るべきアクションを生成し、インシデント対応を支援するものです。