CISA bringt Open-Source-Plattform für digitale Forensik

Thorium wurde in Zusammenarbeit mit den Sandia National Laboratories entwickelt und soll Software-Analysten, digitale Forensik-Teams und Incident-Response-Experten unterstützen. In diesem Rahmen ermöglicht die Plattform Cybersicherheitsexperten, kommerzielle, quelloffene und benutzerdefinierte Tools in ein einheitliches System zu integrieren. Das Ziel ist es, groß angelegte, automatisierte Analyse-Workflows zu orchestrieren. Auch Befehlszeilen-Tools, die als als Docker Image verpackt sind, lassen sich nahtlos einbinden, unabhängig vom Tool-Typ. Und selbst komplexe Tools lassen sich laut der CISA mit zusätzlicher Konfigurationsarbeit in virtuelle oder Bare-Metal-Umgebungen integrieren.

Entwickelt für moderne Cyber-Workflows

Thorium soll Analysten dazu befähigen, den Output von Tools über Tags und Volltextsuchen zu filtern sowie automatisierte Workflows zu definieren. Zum “Paket” gehören außerdem auch strikte gruppenbasierte Zugriffskontrollen. Diese sollen sicherstellen, dass sowohl eingegebene Daten als auch die Tools selbst sowie die Ergebnisse die sie liefern, sicher bleiben. Die Benutzer können automatisierte Workflows über Event Trigger und Tool-Execution-Sequenzen definieren. Dabei bietet Thorium über eine RESTful-API vollständige Kontrolle – und soll laut der US-Behörde auch über einen Browser oder ein Kommandozeilen-Tool funktionieren.

Die Plattform kann darüber hinaus mit Kubernetes und ScyllaDB skaliert werden, um Workload-Anforderungen zu erfüllen. Thorium ist darauf konzipiert, mit der Infrastruktur zu skalieren und ist dazu in der Lage, zehn Millionen Dateien pro Stunde (und pro Permission Group) zu verarbeiten und mehr als 1.700 Jobs pro Sekunde zu planen. Dabei soll die Query-Performance dennoch überzeugen.

“Thorium verschiebt die Entscheidungsachse von der Anhäufung von Features auf Stack-Kontrolle. Dank des offenen Plugin-Modells können CISOs ihre Analyse-Workflows auf verschiedenartige Threat-Profile ausrichten und Open-Source-Tools sowie maßgeschneiderte Skripte oder auch kommerzielle Module je nach Bedarf integrieren”, ordnet Sanchit Vir Gogia, Chefanalyt bei Greyhoud Research, ein.

Malware-Analysen neu denken

Enterprise-Tools und -Plattformen, um Malware zu analysieren, sind in der Sicherheitsbranche weit verbreitet. Viele davon erfordern jedoch kostenpflichtige Lizenzen, lassen eine Orchestrierung in großem Maßstab vermissen oder sich nur schwer in Workflows integrieren. Deshalb ist die Bedeutung von Thorium für die Branche nicht zu unterschätzen, wie  Pareekh Jain, CEO bei EllRTrend & Pareekh Consulting, unterstreicht: “Damit wird der Zugang zu einem robusten, skalierbaren Framework demokratisiert. Indem die Plattform ermöglicht, komplexe Analyse-Workflows zu automatisieren und zu orchestrieren, können Sicherheitsexperten aus dem öffentlichen und privaten Sektor nun auf Funktionen  zugreifen, die zuvor nur im Rahmen teurer oder proprietärer, kommerzieller Lösungen verfügbar waren.”

Thorium biete IT- und Sicherheitsentscheidern damit auch die Möglichkeit, Tools zu vereinheitlichen und Komplexität zu reduzieren, während eine datengetriebene Incident Response Möglichkeiten eröffne, die bislang ausschließlich großen SOCs vorbehalten waren, so Jain. Seiner Meinung nach könnte der Release von Thorium dazu beitragen, dass offene, modulare Cybersecurity-Architekturen sich weiter durchsetzen. Schließlich wollten Unternehmen Vendor-Lock-In-Effekte vermeiden, Kosten reduzieren und von Community-getriebenen Innovationen profitieren.

“Thorium stellt die Kostenstruktur und die Kompromisse, die Anwender bei kommerziellen Malware-Analyse-Plattformen eingehen müssen, nachhaltig in Frage”, ergänzt Analyst Gogia. Das ermögliche Unternehmen und Organisationen, tiefere Einblicke zu gewinnen ohne dafür Budget – oder ihre digitale Souveränität – opfern zu müssen.

Zur Wahrheit gehört allerdings auch: Thorium auszurollen, erfordert ein vorkonfiguriertes Kubernetes-Cluster sowie Zugriff auf einen Block- und einen Object Store. Ausgeprägtes Knowhow in Sachen Docker-Container und Cluster-Management sind ebenfalls anzuraten, um die Plattform erfolgreich aufsetzen zu können. (tf/fm)

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.