CISA

美国网路安全暨基础架构管理署（CISA）上周宣布，开源自动化文件分析平台Thorium开放给政府及民间用于恶意程序和鉴识分析。

这项计画是CISA和美国桑迪亚国家实验室（Sandia National Laboratories）合作。Thorium为自动化文件分析及资料生成的高扩充性分散式平台，它允许分析团队操作及整合任意商业、开源及自订工具，自动化执行分析工作流程，支援软件分析、数位鉴识和事件回应。

Thorium起于桑迪亚实验室2017年自行开发的自动化恶意程序分析平台专案，而在CISA的赞助下，启动威胁逆向工程（Threat Focused Reverse Engineering）专案，旨在以拆解恶意程序支持打击防御。

Thorium的整合性平台上，允许分析人员上传程序文件，以Docker映像档及VM形式整合指令行工具、利用标籤和全文搜寻筛选结果，并严格以群组为基础的核准规则来管理存取。

Thorium是利用Kubernetes和ScyllaDB以硬件扩充，具高度可扩充性，每个核准群组每小时能接受超过1000万个文件而仍然维持高速查询效能。它还让使用者定义事件触发器和工具执行序列、以RESTful API控制平台，并且集结输出结果进一步分析，或是汇整进下游流程。

CISA鼓励政府或民间企业资安团队试用Thorium并提供回馈意见。目前Thorium内不包含任何工具，但CISA表示计画过阵子会发布一些工具，包括来自业界捐赠的工具。