أعلنت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية عن إطلاق منصة Thorium، وهي منصة مفتوحة المصدر وعالية الإنتاجية لتحليل البرمجيات الخبيثة والملفات الجنائية بشكل آلي. طوّرت المنصة بالتعاون مع مختبرات Sandia الوطنية، لتكون أداة مرنة تدعم فرق التحليل الرقمي والاستجابة للحوادث الأمنية في المؤسسات.
وتتيح المنصة للفرق الأمنية توحيد أدوات التحليل — سواء كانت مفتوحة المصدر أو تجارية أو مخصصة — ضمن نظام واحد، يعمل على تشغيل مهام تحليلية متعددة باستخدام أدوات سطر الأوامر المغلّفة في حاويات Docker. كما يمكن تهيئة المنصة لدمج أدوات أكثر تعقيداً تعمل على بيئات افتراضية أو خوادم فعلية.
قدرات تحليلية متقدمة وتكامل مرن مع بيئات التشغيل
تقدّم Thorium إمكانيات تصفية متقدمة لنتائج التحليل عبر الوسوم والبحث النصي الكامل، مع تطبيق سياسات صارمة لصلاحيات المجموعات لضمان أمن المدخلات والمخرجات. وتدعم المنصة أتمتة سير العمل من خلال محفزات الحدث وتسلسل تنفيذ الأدوات، ويمكن التحكم الكامل بها عبر واجهة REST API أو من خلال المتصفح وسطر الأوامر.
وتم تصميم المنصة لتتكامل بسلاسة مع Kubernetes cluster وScyllaDB، ما يتيح لها معالجة أكثر من 10 ملايين ملف في الساعة لكل مجموعة صلاحيات، وتنفيذ أكثر من 1700 مهمة في الثانية، مع الحفاظ على أداء مرتفع في الاستعلامات.
وأكد مختصون أن Thorium توفّر بديلاً عملياً لمنصات التحليل التجارية باهظة الكلفة، إذ تتيح تحكماً كاملاً في بنية التحليل، وتمنح فرق الأمن القدرة على تخصيص الأدوات بحسب احتياجاتهم التنظيمية والتشغيلية، خاصة في البيئات التي تتطلب توافقاً صارماً مع متطلبات الامتثال أو سياسات السيادة الرقمية.
تحديات النشر وإمكانات التوسع
ورغم أن Thorium متاحة مجاناً عبر مستودع GitHub الخاص بالوكالة، إلا أن تشغيلها يتطلب بيئة تشغيل مهيأة مسبقاً تشمل Kubernetes cluster، إضافة إلى مخزن كتل ومخزن ملفات، مع ضرورة امتلاك خبرة في إدارة Docker وبيئات التشغيل الموزعة.
وأشار محللون إلى أن المنصة قد تُسرّع تبني المعماريات الأمنية المفتوحة لدى المؤسسات، في ظل الرغبة المتزايدة بتجنّب الارتباط بالموردين وخفض التكاليف، لكنها تتطلب في المقابل معالجة تحديات مثل ضعف خبرات DevOps، وصعوبة التكامل مع الأنظمة القديمة، وضرورة وضع أطر حوكمة صارمة لضمان الأمن والامتثال في البيئات المفتوحة.
