CISA stellt Thorium vor: Neue Plattform für automatisierte Malware-Analyse veröffentlicht

Die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) hat gemeinsam mit den Sandia National Laboratories eine neue Analyseplattform namens Thorium vorgestellt. Die skalierbare Lösung richtet sich an IT-Sicherheitsfachleute und bietet die Möglichkeit, kommerzielle, Open-Source- und maßgeschneiderte Analysetools in einer einzigen Umgebung zu integrieren.

Thorium ermöglicht eine automatisierte Auswertung verdächtiger Dateien sowie die strukturierte Aggregation forensischer Ergebnisse. Ziel der Entwicklung ist es, die Effizienz und Genauigkeit bei der Erkennung und Analyse von Schadsoftware deutlich zu steigern. Die Plattform soll Sicherheitsexperten helfen, Bedrohungen schneller zu bewerten und Analyseergebnisse zentral zu dokumentieren.

Die Anzahl und Komplexität fortgeschrittener, hartnäckiger Bedrohungen durch Malware nimmt weiter zu. Die Analyse von Malware und forensischen Daten muss präzise und schnell erfolgen, damit Unternehmen ihre Netzwerke schützen können. Malware-Analysten in Behörden, öffentlichen Einrichtungen und privaten Unternehmen stehen jedoch vor der Herausforderung, riesige Mengen an Malware zu bewältigen und eine lange Liste von Malware-Analysetools mit spezifischen Funktionen zu verwalten, ohne über genügend Zeit und Ressourcen zu verfügen, um die Bedrohungen effektiv zu analysieren.

Mit Thorium können Cyber-Sicherheitsexperten ihre bevorzugten Tools in einer einzigen Plattform integrieren, die maßgeschneiderte und automatisierte Analyse-Workflows in großem Maßstab koordiniert, große Mengen an Malware schnell analysiert und Tools schnell hinzufügen und entfernen kann, wenn sich Malware-Bedrohungen weiterentwickeln. Thorium ist so konfiguriert, dass es über 10 Millionen Dateien pro Stunde und Berechtigungsgruppe verarbeiten und über 1.700 Jobs pro Sekunde planen kann, während gleichzeitig schnelle Abfrageergebnisse gewährleistet sind.

„Das Thorium-Framework unterstreicht den Fokus und das Engagement der CISA, wertvolle Dienste und Ressourcen in großem Umfang bereitzustellen, die Regierungen und kritische Infrastrukturen dabei unterstützen, sich vor Cyberbedrohungen zu schützen und ihre Cybersicherheit zu stärken. Durch die öffentliche Bereitstellung dieser Plattform ermöglichen wir der breiteren Cybersicherheits-Community, den Einsatz fortschrittlicher Tools für die Malware- und forensische Analyse zu koordinieren“, so Jermaine Roebuck, Associate Director für Threat Hunting bei der CISA. „Zusammen mit unseren Partnern bei Sandia National Laboratories ermöglichen wir Analysten im ganzen Land, Erkenntnisse beizusteuern und von gemeinsamem Wissen zu profitieren. Die skalierbare Analyse von Binärdateien und anderen digitalen Artefakten versetzt Cybersicherheitsanalysten in die Lage, Schwachstellen in harmloser Software besser zu verstehen und zu beheben.“

Cybersicherheitsteams mit häufigen Dateianalyse-Workflows können Thorium für folgende Zwecke nutzen:

• Integration von Befehlszeilentools als Docker-Images (kostenlose und quelloffene Software, handelsübliche Software, kundenspezifische Software usw.). Mit zusätzlicher Konfiguration können virtuelle Maschinen und Bare-Metal-Tools integriert werden.
• Filtern der Tool-Ergebnisse mithilfe von Tags und Volltextsuche.
• Kontrolle des Zugriffs auf Einreichungen, Tools und Ergebnisse durch strenge gruppenbasierte Berechtigungen.
• Skalieren Sie mit Hardware unter Nutzung der Leistungsfähigkeit von Kubernetes und ScyllaDB, um die Anforderungen Ihrer Workloads zu erfüllen.
• Importieren und exportieren Sie Tools, um den Austausch zwischen Cyber-Defense-Teams zu vereinfachen.

Weitere Informationen und Installationsanweisungen finden Sie unter Thorium auf CISA.gov. Weitere Cybersicherheitsdienste von CISA finden Sie unter Kostenlose Cybersicherheitsdienste und -tools.

Thorium

Eine skalierbare Plattform für automatisierte Dateianalyse und Ergebnisaggregation

Thorium ist eine hoch skalierbare, verteilte Plattform für Dateianalyse und Ergebnisaggregation, die die Automatisierung von Arbeitsabläufen mithilfe kommerzieller, quelloffener und benutzerdefinierter Tools ermöglicht. Das Ziel von Thorium ist es, Cyber-Sicherheitsexperten durch einfache Tool-Integration und intuitive ereignisgesteuerte Trigger die Automatisierung ihrer bestehenden Analyse-Workflows zu ermöglichen.

Thorium kann zur Unterstützung von Cybersicherheitsteams in allen Aufgabenbereichen eingesetzt werden – von der Softwareanalyse über die digitale Forensik bis hin zur Reaktion auf Vorfälle.

Warum Thorium?

Teams, deren Arbeitsabläufe häufige Dateianalysen erfordern, können mit Thorium skalierbare Automatisierung und Ergebnisindexierung in einer einheitlichen Plattform realisieren.

Analysten können Thorium für folgende Zwecke nutzen:

• Einfache Tool-Integration: Integrieren Sie Befehlszeilentools als Docker-Images (kostenlose und quelloffene Software [FOSS], handelsübliche Software [COTS], benutzerdefinierte Tools usw.). Mit zusätzlichen Konfigurationen können Sie virtuelle Maschinen (VM) und Bare-Metal-Tools integrieren.
• Filterung: Filtern Sie Tool-Ergebnisse mithilfe von Tags und Volltextsuche.
• Sicherheit: Kontrollieren Sie durch strenge gruppenbasierte Berechtigungen, wie auf Einreichungen, Tools und Ergebnisse zugegriffen werden kann.
• Skalierbarkeit: Skalieren Sie mit Hardware unter Nutzung der Leistungsfähigkeit von Kubernetes und ScyllaDB, um die Anforderungen Ihrer Workloads zu erfüllen. Thorium ist standardmäßig so konfiguriert, dass es über 10 Millionen Dateien pro Stunde und Berechtigungsgruppe verarbeiten und über 1.700 Jobs pro Sekunde planen kann, während die Abfrageergebnisse schnell bereitgestellt werden.
• Pipelining: Definieren Sie Ereignisauslöser und Tool-Ausführungssequenzen, um Workflows zu automatisieren.
• Workflow-Integration: Steuern Sie Thorium vollständig über eine RESTful-API und legen Sie schnell los – entweder über einen Webbrowser oder ein Befehlszeilenprogramm.
• Ergebnisaggregation: Aggregieren und indizieren Sie Tool-Ausgaben für die weitere Analyse oder Aufnahme durch nachgelagerte Prozesse und externe Plattformen.
• Tool-Freigabe: Importieren und exportieren Sie Tools, um die gemeinsame Nutzung durch Cyber-Defense-Teams zu vereinfachen.

Beispielanwendungsfälle

Malware-Analyse: Sortieren Sie Dateien mithilfe statischer und dynamischer Analyse-Tools. Aggregieren Sie Ergebnisse aus mehreren Tools, um weitere Analysen und Ausgaben auszulösen.

Host-Forensik: Verarbeiten Sie forensische Artefaktdateien (E-Mails, Speicherabbilder, Festplattenabbilder usw.) automatisch und generieren Sie vorläufige Analyseergebnisse.

Skaliertes Testen von Tools: Bewerten Sie die Leistung von Tools anhand Ihrer Benchmark-Datensätze, um die Entwicklung und Fehlerbehebung zu beschleunigen.

Voraussetzungen und Anweisungen

Thorium erfordert einen bereitgestellten Kubernetes-Cluster, einen Blockspeicher und einen Objektspeicher. Für eine erfolgreiche Bereitstellung sind außerdem Kenntnisse über Docker-Container und die Verwaltung von Rechenclustern erforderlich.

Quelle: CISA

Weitere lesenswerte Artikel

---