CISA、オープンソースでスケーラブルなマルウェア解析プラットフォーム「Thorium」をリリース

米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、自動化されたマルウェアおよびフォレンジックファイル解析のための高スループットなオープンソースプラットフォーム「Thorium」をリリースしました。Sandia国立研究所との協力で開発されたThoriumは、ソフトウェアアナリスト、デジタルフォレンジックチーム、インシデント対応者を支援するために構築されています。

このプラットフォームにより、サイバー防御者は商用、オープンソース、カスタムツールを統合し、大規模な自動解析ワークフローをオーケストレーションするための統一システムを構築できます。

頻繁にファイル解析を行うチームは、Thoriumを活用することで、スケーラブルな自動化と結果のインデックス化を単一の統合プラットフォームで実現できます。このプラットフォームは、オープンソース、商用パッケージ済み、またはカスタム構築されたものであっても、Dockerイメージとしてパッケージ化されたコマンドラインツールをシームレスに統合できます。さらに設定を加えることで、仮想マシンやベアメタル環境で動作するより複雑なツールも組み込むことができるとCISAは述べています。

現代のサイバー業務フロー向けに設計

Thoriumは、アナリストがタグや全文検索を使ってツールの出力をフィルタリングできるよう設計されています。また、厳格なグループベースの権限管理を強制し、提出物、ツール、結果のセキュリティを確保します。ユーザーはイベントトリガーやツール実行シーケンスを通じて自動化ワークフローを定義できます。ThoriumはRESTful APIによる完全な制御を提供し、ウェブブラウザやコマンドラインツールから操作できるとCISAは発表しています。

このプラットフォームは、KubernetesやScyllaDBと連携してワークロードの需要に応じてスケールできます。Thoriumはインフラとともに拡張でき、パーミッショングループごとに1時間あたり1,000万ファイル以上の取り込みや、1秒あたり1,700件以上のジョブスケジューリングが可能であり、高速なクエリパフォーマンスを維持します。

「Thoriumは、機能の蓄積からスタック制御への意思決定軸をシフトさせます。そのオープンプラグインモデルにより、CISOは脅威プロファイルごとに解析フローをカスタマイズでき、オープンソースツール、カスタムスクリプト、商用モジュールを必要に応じて統合できます。この柔軟性は、フォレンジックのコンプライアンスやローカライゼーションが不可欠な規制業界において非常に価値があります」と、Greyhound Researchのチーフアナリスト兼CEOであるSanchit Vir Gogia氏は述べています。

大規模マルウェア解析の再考

エンタープライズグレードのマルウェア解析ツールやプラットフォームは、セキュリティコミュニティで広く利用されています。しかし、多くは有料ライセンスが必要であったり、大規模なオーケストレーションができなかったり、エンタープライズワークフローとの統合が困難だったりします。専門家は、Thoriumを高度なマルウェア解析技術の大きな民主化と見なしています。

「これは非常に重要なことであり、これまで国家安全保障用途に限られていた堅牢でスケーラブルな解析フレームワークへのアクセスを民主化します。Thoriumはサイバーセキュリティコミュニティにとって大きな進歩です。その複雑な解析ワークフローの自動化・オーケストレーション能力により、公共・民間部門のサイバー防御者が、これまで高価または独自の商用ソリューションでしか利用できなかった機能を活用できるようになります」と、EIIRTrend & Pareekh ConsultingのCEOであるPareekh Jain氏は述べています。

Jain氏はさらに、CIOやCSOにとってツールを統合し複雑さを軽減する集中型・自動化ワークフローを提供すると指摘しています。これにより、手作業やチームベースのプロセスから、これまで大規模SOCに限られていた迅速な組織全体での解析へと、スケーラブルでデータ駆動型のインシデント対応が可能になります。

Gogia氏はさらに、Thoriumが商用マルウェア解析プラットフォームのコスト構造や制御のトレードオフに挑戦していると述べています。高スループット解析、オープンプラグインアーキテクチャ、ローカルデータ保持を提供することで、組織は予算や主権を犠牲にすることなく可視性を取り戻すことができます。

このプラットフォームはCISAの公式GitHubリポジトリからダウンロード可能ですが、Thoriumの導入には事前に設定されたKubernetesクラスターと、ブロックストアおよびオブジェクトストアへのアクセスが必要です。また、Dockerコンテナやクラスター管理の実務知識も、セットアップを成功させるために不可欠です。

Jain氏は、Thoriumのリリースによって、ベンダーロックインの回避、コスト削減、コミュニティ主導のイノベーションの活用を目指す組織の間で、オープンでモジュール型のサイバーセキュリティアーキテクチャの採用が加速する可能性があると指摘しています。しかし一方で、企業はDevOpsスキルの不足、レガシーシステムとの統合課題、オープンソース導入時のセキュリティ・プライバシー・コンプライアンスリスクに対応するための強力なガバナンスフレームワークの必要性などの障壁に直面する可能性があるとも警告しています。