La Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA), en colaboración con Sandia National Laboratories, anunció hoy el lanzamiento público de torio, una plataforma altamente escalable y distribuida diseñada para el análisis automatizado de archivos y la agregación de resultados.
La nueva herramienta tiene como objetivo mejorar significativamente las capacidades de los equipos de ciberseguridad automatizando flujos de trabajo de análisis complejos e integrando una amplia gama de herramientas comerciales, de código abierto y construidos a medida.
El torio está diseñado para apoyar una variedad de funciones de misión críticas, que incluyen análisis de software en profundidad, forense digital y respuesta a incidentes.
Proporciona a los analistas un sistema unificado para evaluar eficientemente las amenazas sofisticadas de malware. Los equipos que analizan regularmente grandes volúmenes de archivos pueden aprovechar el torio para implementar resultados de automatización y índice escalables, simplificando sus operaciones.
“El objetivo del torio es permitir que los ciberfensores traigan la automatización a sus flujos de trabajo de análisis existentes a través de la integración de herramientas simples y los desencadenantes intuitivos impulsados por eventos”, declaró CISA en su anuncio.
Las características clave de la plataforma incluyen su capacidad para una fácil integración de herramientas, lo que permite a los analistas incorporar herramientas de línea de comandos como imágenes Docker.
También ofrece un poderoso filtrado de resultados a través de etiquetas y búsquedas de texto completo, y garantiza la seguridad con permisos grupales estrictos que controlan el acceso a envíos, herramientas y resultados.
SECURICIÓN DE HERRAMIENTAS INTEGRACIONES Integration Integrate Las herramientas de línea de comandos como imágenes de Docker, incluidas herramientas de código abierto, comerciales y personalizados. Resultados de análisis de FilteringFilter utilizando etiquetas y búsqueda de texto completo para manejo de datos eficiente. puede ingerir más de 10 millones de archivos/hora por grupo. PIPELINININingDefine el evento desencadenantes de eventos y secuencias de ejecución para automatizar flujos de trabajo. Workflow IntegrationControl La plataforma a través de API RESTFUL, interfaz web o utilidad de línea de comandos para flujos de trabajo sin problemas.
Uno de los atributos más notables de torio es su inmensa escalabilidad. Construida para crecer con las demandas de hardware utilizando Kubernetes y ScylladB, la plataforma está configurada para ingerir más de 10 millones de archivos por hora para cada grupo de permisos y puede programar más de 1,700 empleos por segundo, todo mientras mantiene un rendimiento rápido de consulta para obtener resultados.
La plataforma permite a los usuarios definir desencadenantes de eventos y secuencias de ejecución de herramientas para automatizar flujos de trabajo completos. Se puede controlar completamente a través de una API RESTful y ofrece una interfaz basada en la web o una utilidad de línea de comandos para facilitar el acceso.
Además, el torio agregue e indexa las salidas de la herramienta, preparándolas para un análisis más profundo o para su uso por otros procesos posteriores.
Los casos de uso de ejemplo resaltados por CISA incluyen el triado de malware con herramientas de análisis estáticas y dinámicas, procesando automáticamente artefactos forenses del host como correos electrónicos e imágenes de memoria, y realizar evaluaciones de rendimiento de varias herramientas en conjuntos de datos de referencia.
CISA alienta a los equipos de ciberseguridad a adoptar torio. La implementación de la plataforma requiere un clúster de Kubernetes, una tienda de bloques y una tienda de objetos, así como a la familiaridad con los contenedores Docker. La agencia busca activamente comentarios de los usuarios para mejorar aún más las capacidades de torio.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
