Sommario
La Cybersecurity and Infrastructure Security Agency (CISA), in collaborazione con Sandia National Laboratories, ha annunciato la disponibilità pubblica di Thorium, una piattaforma scalabile e distribuita per l’analisi automatica di file e l’aggregazione dei risultati, rivolta a rafforzare la difesa nazionale e industriale attraverso automazione di workflow complessi. Thorium abilita team di difesa cyber a integrare tool commerciali, open‑source e custom all’interno di pipeline orchestrate basate su trigger eventi. Questa soluzione supporta funzioni critiche come malware analysis, digital forensics e risposta agli attacchi, riducendo significativamente il tempo necessario per valutazioni approfondite.
Automazione integrata e workflow personalizzabili
La piattaforma consente di caricare tool come container Docker, virtual machine o tool bare‑metal con grande flessibilità. Strumenti di filtraggio basati su tag e ricerca full‑text accelerano il recupero dei risultati. La gestione degli accessi si basa su permessi group‑based rigidamente controllati per garantire la sicurezza in ambienti multi‑tenant. Thorium ingesta oltre 10 milioni di file all’ora per ogni gruppo di permessi e può schedulare più di 1.700 job al secondo, mantenendo query ultra‑veloci anche con elevati volumi di dati.
Architettura scalabile con Kubernetes e ScyllaDB
La piattaforma utilizza Kubernetes per orchestrare container su cluster hardware dinamici, permettendo un scaling orizzontale efficiente. I dati operativi e i risultati sono gestiti tramite ScyllaDB, un database NoSQL ad alta velocità che assicura consistenza e throughput elevato, limitando la latenza anche per milioni di file processati contemporaneamente. Thorium supporta ambienti high availability grazie a repliche multiple, operatori Kubernetes e strumenti di monitoring configurabili con Prometheus per garantire resilienza e performance costanti.
Integrazione versatile in ambienti di cybersecurity
Gli operatori possono importare ed esportare tool tra team, configurare pipeline personalizzate e orchestrare sequenze dinamiche di strumenti grazie all’API RESTful integrata e alle interfacce CLI o Web disponibili fin dal primo setup. Thorium è ottimizzato per supportare casi d’uso complessi come workflow di triage malware, analisi forense su email, memory dump o immagini disco, valutazioni su vulnerabilità o compliance logiche tramite strumenti statici e sandbox dinamiche.
Impiego in contesti operativi complessi
Cyber team in scenari governativi, fornitori di servizi o infrastrutture critiche possono utilizzare Thorium per processare grandi volumi di file sospetti automaticamente, generare report intermedi e automatizzare scenari di risposta incidentale. Il sistema consente una condivisione sicura tra team, con permessi granulari e sessioni isolate per prevenire contaminazioni incrociate. I risultati possono essere integrati con piattaforme esterne come SIEM o SOAR, attivando alert automatici o arricchimenti con threat intelligence downstream.
Come accedere e iniziare
Gli utenti possono clonare il repository ufficiale di Thorium su GitHub (cisagov/thorium) e seguire la documentazione dettagliata per l’installazione. È necessario disporre di un cluster Kubernetes, storage a blocchi e object store. La familiarità con Docker e Kubernetes è raccomandata per configurazioni avanzate o dimensionamento cluster . CISA incoraggia il feedback della comunità per migliorare la piattaforma, raccogliendo input tramite survey anonime e contribuendo tramite pull request sul repository pubblico. Thorium rappresenta un salto significativo nella cybersecurity automation grazie alla sua architettura scalable, all’uso di tecnologie moderne come Kubernetes e ScyllaDB, e al modello open‑source sostenuto da entità governative. Offre una piattaforma potente, personalizzabile e collaborativa per l’analisi file a scala elevata, adatta a team che operano in contesti ad alto volume e complessità. CISA rafforza così l’ecosistema di difesa cyber con uno strumento gratuito, progettato per evolvere in base ai contributi della comunità e alle esigenze emergenti del settore.
