🛡 概要
アメリカ合衆国のサイバーセキュリティおよびインフラセキュリティ庁(CISA)は、政府、公共部門、民間部門向けのマルウェアおよびフォレンジック分析用オープンソースプラットフォーム「Thorium」の公開を発表しました。このプラットフォームは、Sandia National Laboratoriesとの共同開発により、サイバー攻撃の調査に関連する多くのタスクを自動化するスケーラブルなサイバーセキュリティスイートです。Thoriumは、1秒間に1700以上のジョブをスケジュールし、許可されたグループごとに毎時1000万ファイル以上を取り込むことができます。
🔍 技術詳細
Thoriumは、商用、オープンソース、カスタムツールのシームレスな統合を通じて分析ワークフローの自動化を実現し、サイバーセキュリティチームの能力を向上させます。具体的には、ファイル分析のワークフローを自動化し、効率的に複雑なマルウェア脅威を評価することが可能です。Thoriumは、Dockerイメージとしてコマンドラインツールを統合し、タグや全文検索を使用して結果をフィルタリングし、厳格なグループベースの権限管理を行います。また、KubernetesとScyllaDBを使用して、ワークロードの需要に応じてスケーリングできます。CISAは、Thoriumのインストール手順を公式GitHubリポジトリで提供しています。
⚠ 影響
Thoriumの公開は、サイバーセキュリティコミュニティ全体にとって重要な意味を持ちます。マルウェアやフォレンジック分析における高度なツールの利用を促進することで、セキュリティチームはより効率的に脅威に対処できるようになります。また、バイナリやその他のデジタルアーティファクトのスケーラブルな分析により、サイバーセキュリティアナリストは善良なソフトウェアの脆弱性を理解し、対処する能力が向上します。CISAは、昨年も「Malware Next-Gen」分析システムを公開しており、一般からのマルウェアサンプルの提出を受け付けています。
🛠 対策
Thoriumを活用することで、セキュリティチームはマルウェア分析の効率を大幅に向上させることができます。具体的には、ツールのインポートやエクスポートを容易にし、分析結果を迅速に共有することが可能です。また、CISAは「Eviction Strategies Tool」を通じて、インシデントレスポンス中の必要なアクションを提供し、侵害されたネットワークやデバイスからの敵の排除を支援します。これにより、サイバー攻撃のリスクを低減し、重要インフラの保護を強化することが期待されます。
