A YARA használata a fejlett kártevő-észleléshez

¿Hogyan használható a YARA a fejlett kártevő-észleléshez? Amikor a hagyományos vírusvédelmi programok elérik a határaikat, és a támadók minden lehetséges résen átjutnak, egy olyan eszköz kerül előtérbe, amely nélkülözhetetlenné vált az incidenskezelő laboratóriumokban: YARA, a „svájci bicska” a rosszindulatú programok vadászatáhozÚgy tervezték, hogy szöveges és bináris minták segítségével írja le a rosszindulatú szoftverek családjait, és lehetővé teszi, hogy messze túllépjünk az egyszerű hash-illesztésen.

A megfelelő kezekben a YARA nem csak a helymeghatározásra szolgál nemcsak az ismert kártevő mintákat, hanem az új variánsokat, a nulladik napi támadásokat és a kereskedelmi forgalomban kapható támadó eszközöket isEbben a cikkben részletesen és gyakorlatilag is megvizsgáljuk, hogyan használható a YARA a fejlett kártevő-észleléshez, hogyan írhatunk robusztus szabályokat, hogyan tesztelhetjük őket, hogyan integrálhatjuk őket olyan platformokba, mint a Veeam vagy a saját elemzési munkafolyamatainkba, és milyen bevált gyakorlatokat követ a szakmai közösség.

Mi az a YARA, és miért olyan hatékony a rosszindulatú programok észlelésében?

A YARA a „Yet Another Recursive Acronym” (Egy újabb rekurzív betűszó) rövidítése, és a fenyegetéselemzés tényleges szabvánnyá vált, mivel Lehetővé teszi a kártevőcsaládok leírását olvasható, világos és rendkívül rugalmas szabályok segítségével.Ahelyett, hogy kizárólag statikus vírusazonosítókra hagyatkozna, a YARA az Ön által meghatározott mintákkal dolgozik.

Az alapötlet egyszerű: egy YARA szabály megvizsgál egy fájlt (vagy memóriát, vagy adatfolyamot), és ellenőrzi, hogy teljesül-e egy sor feltétel. szöveges karakterláncokon, hexadecimális sorozatokon, reguláris kifejezéseken vagy fájltulajdonságokon alapuló feltételekHa a feltétel teljesül, akkor „egyezés” van, és riasztást küldhet, blokkolhat, vagy részletesebb elemzést végezhet.

Ez a megközelítés lehetővé teszi a biztonsági csapatok számára, hogy Mindenféle kártevő azonosítása és osztályozása: klasszikus vírusok, férgek, trójaiak, zsarolóvírusok, webshell-ek, kriptobányászok, rosszindulatú makrók és még sok másNem korlátozódik adott fájlkiterjesztésekre vagy formátumokra, így a .pdf kiterjesztésű álcázott futtatható fájlokat vagy a webshell-t tartalmazó HTML fájlokat is észleli.

Továbbá a YARA már integrálva van a kiberbiztonsági ökoszisztéma számos kulcsfontosságú szolgáltatásába és eszközébe: VirusTotal, tesztkörnyezetek, mint a Cuckoo, biztonsági mentési platformok, mint a Veeam, vagy fenyegetésvadász megoldások vezető gyártóktólEzért a YARA elsajátítása szinte követelménygé vált a haladó elemzők és kutatók számára.

A YARA speciális felhasználási esetei a kártevő-észleléshez

A YARA egyik erőssége, hogy kesztyűként alkalmazkodik számos biztonsági forgatókönyvhöz, a SOC-tól a kártevőlaboratóriumig. Ugyanezek a szabályok vonatkoznak mind az egyszeri vadászatokra, mind a folyamatos megfigyelésre..

A legközvetlenebb eset a létrehozás konkrét szabályok bizonyos rosszindulatú programokra vagy teljes kártevőcsaládokra vonatkozóanHa szervezetét egy ismert családon alapuló kampány támadja (például egy távoli hozzáférésű trójai vagy egy APT fenyegetés), profilokat készíthet a jellemző karakterláncokról és mintákról, és szabályokat hozhat létre, amelyek gyorsan azonosítják az új kapcsolódó mintákat.

Egy másik klasszikus felhasználási mód a hangsúly a következőkön van: YARA aláírások alapjánEzek a szabályok úgy lettek kialakítva, hogy hash-eket, nagyon specifikus szöveges karakterláncokat, kódrészleteket, beállításkulcsokat, vagy akár specifikus bájtsorozatokat találjanak, amelyek ugyanazon rosszindulatú program több változatában ismétlődnek. Ne feledje azonban, hogy ha csak triviális karakterláncokat keres, fennáll a téves riasztások generálásának veszélye.

A YARA a szűrés terén is remekel fájltípusok vagy szerkezeti jellemzőkLehetőség van olyan szabályok létrehozására, amelyek PE futtatható fájlokra, Office dokumentumokra, PDF fájlokra vagy gyakorlatilag bármilyen formátumra vonatkoznak, a karakterláncok és olyan tulajdonságok kombinálásával, mint a fájlméret, adott fejlécek (pl. 0x5A4D a PE futtatható fájlokhoz) vagy gyanús függvények importálása.

Modern környezetben a használata összefügg a fenyegetésfelderítésA nyilvános adattárak, kutatási jelentések és IOC-hírcsatornák YARA szabályokká alakulnak, amelyek integrálva vannak a SIEM, EDR, biztonsági mentési platformokba vagy tesztkörnyezetekbe. Ez lehetővé teszi a szervezetek számára, hogy gyorsan felismeri azokat az újonnan felmerülő fenyegetéseket, amelyek közös jellemzőkkel bírnak a már elemzett kampányokkal.

A YARA szabályok szintaxisának megértése

A YARA szintaxisa meglehetősen hasonló a C-hez, de egyszerűbb és fókuszáltabb módon. Minden szabály egy névből, egy opcionális metaadat-szakaszból, egy karakterlánc-szakaszból és szükségszerűen egy feltétel-szakaszból áll.Innentől kezdve az erő abban rejlik, hogyan kombinálod mindezt.

Az első a szabály neveKözvetlenül a kulcsszó után kell szerepelnie szabály (o szabály Ha spanyolul dokumentál, bár a fájlban szereplő kulcsszó a következő lesz: szabályés érvényes azonosítónak kell lennie: szóközök, számok és aláhúzásjelek nélkül. Érdemes egyértelmű konvenciót követni, például valami ilyesmit: Kártevő_család_változata o APT_Actor_Tool, amely lehetővé teszi, hogy egy pillantással azonosítsa, mit kell érzékelnie.

Ezután jön a szakasz húrokahol meghatározhatod a keresni kívánt mintákat. Itt három fő típust használhatsz: szöveges karakterláncok, hexadecimális sorozatok és reguláris kifejezésekA szöveges karakterláncok ideálisak ember által olvasható kódrészletekhez, URL-ekhez, belső üzenetekhez, elérési utak neveihez vagy PDB-khez. A hexadecimálisok lehetővé teszik a nyers bájtminták rögzítését, ami nagyon hasznos, ha a kód obfuszkált, de bizonyos állandó sorozatokat megtart.

A reguláris kifejezések rugalmasságot biztosítanak, amikor egy karakterlánc apró variációit kell lefedni, például a domainek megváltoztatását vagy a kód kissé módosított részeit. Továbbá mind a karakterláncok, mind a reguláris kifejezések lehetővé teszik az escape karakterek tetszőleges bájtjainak ábrázolását., ami megnyitja az utat a nagyon precíz hibrid minták előtt.

rész feltétel Ez az egyetlen kötelező szabály, és meghatározza, hogy mikor tekintünk egy szabályt egy fájllal "egyezőnek". Itt logikai és aritmetikai műveleteket használhatunk (és, vagy, nem, +, -, *, /, bármelyik, mind, tartalmazza stb.) finomabb észlelési logika kifejezésére, mint egy egyszerű "ha ez a karakterlánc megjelenik".

Például megadhatja, hogy a szabály csak akkor érvényes, ha a fájl mérete kisebb, ha az összes kritikus karakterlánc megjelenik, vagy ha a több karakterlánc közül legalább egy jelen van. Olyan feltételeket is kombinálhat, mint a karakterlánc hossza, az egyezések száma, a fájlban lévő adott eltolások vagy maga a fájl mérete.A kreativitás itt jelenti a különbséget az általános szabályok és a sebészeti beavatkozások között.

Végül ott van az opcionális rész, metaIdeális a korszak dokumentálására. Gyakori, hogy a következőket is tartalmazza: szerző, létrehozási dátum, leírás, belső verzió, hivatkozás jelentésekre vagy jegyekre és általánosságban minden olyan információ, amely segít a tárház rendszerezett és más elemzők számára érthető állapotban tartásában.

Gyakorlati példák a haladó YARA szabályokra

A fentiek perspektívába helyezéséhez hasznos látni, hogyan épül fel egy egyszerű szabály, és hogyan válik bonyolultabbá, amikor végrehajtható fájlok, gyanús importálások vagy ismétlődő utasítássorozatok kerülnek játékba. Kezdjük egy játék vonalzóval, és fokozatosan növeljük a méretét..

Egy minimális szabály csak egy karakterláncot és egy feltételt tartalmazhat, amely kötelezővé teszi. Kereshet például egy adott szöveges karakterláncot vagy egy kártevőtöredéket reprezentáló bájtsorozatot. A feltétel ebben az esetben egyszerűen azt mondaná, hogy a szabály teljesül, ha az adott karakterlánc vagy minta megjelenik., további szűrők nélkül.

A valós helyzetekben azonban ez nem elég, mert Az egyszerű láncok gyakran sok téves riasztást generálnakEzért gyakori, hogy több karakterláncot (szöveges és hexadecimális) kombinálnak további korlátozásokkal: a fájl mérete ne haladjon meg egy bizonyos értéket, tartalmazzon meghatározott fejléceket, vagy csak akkor aktiválódjon, ha minden definiált csoportból legalább egy karakterlánc található.

A PE futtatható fájlok elemzésének egy tipikus példája a modul importálása. pe a YARA-ból, amely lehetővé teszi a bináris fájl belső tulajdonságainak lekérdezését: importált függvények, szakaszok, időbélyegek stb. Egy speciális szabály megkövetelheti a fájl importálását CreateProcess -tól kernel32.dll és néhány HTTP függvény innen: wininet.dll, amellett, hogy egy adott karakterláncot tartalmaz, amely rosszindulatú viselkedésre utal.

Ez a fajta logika tökéletes a helymeghatározáshoz Trójaiak távoli csatlakozással vagy kiszűrésselmég akkor is, ha a fájlnevek vagy elérési utak kampányról kampányra változnak. A lényeg az, hogy az alapvető viselkedésre összpontosítsunk: folyamatok létrehozása, HTTP-kérések, titkosítás, adatmegőrzés stb.

Egy másik nagyon hatékony technika az, hogy megnézzük a ismétlődő utasítássorozatok ugyanazon családból származó minták között. Még ha a támadók becsomagolják vagy obfuszkálják is a bináris fájlt, gyakran újra felhasználják a kód nehezen módosítható részeit. Ha statikus elemzés után állandó utasításblokkokat talál, megfogalmazhat egy szabályt a következővel: hexadecimális karakterláncokban lévő helyettesítő karakterek amely rögzíti ezt a mintát, miközben bizonyos toleranciát fenntart.

Ezekkel a „kód viselkedésalapú” szabályokkal lehetséges teljes kártevő kampányok nyomon követése, mint például a PlugX/Korplug vagy más APT családok kampányaiNem csak egy adott hash-t észlelsz, hanem a támadók, mondhatni, fejlesztési stílusát is követed.

A YARA használata valós kampányokban és nulladik napi fenyegetésekben

A YARA különösen a fejlett fenyegetések és a nulladik napi támadások területén bizonyította értékét, ahol a klasszikus védelmi mechanizmusok túl későn érkeznek. Egy jól ismert példa erre a YARA használata egy Silverlight-beli exploit megtalálására minimális kiszivárgott információ alapján..

Ebben az esetben egy támadó eszközök fejlesztésével foglalkozó cégtől ellopott e-mailekből elegendő mintázatot sikerült kikövetkeztetni egy adott sérülékenységre irányuló szabály felépítéséhez. Ezzel az egyetlen szabállyal a kutatók képesek voltak nyomon követni a mintát a gyanús fájlok tengerében.Azonosítsd a hibát, és kényszerítsd ki a javítását, ezzel megelőzve a sokkal komolyabb károkat.

Az ilyen típusú történetek jól illusztrálják, hogyan működhet a YARA halászháló a fájlok tengerébenKépzeld el a vállalati hálózatodat egy óceánként, tele mindenféle "hallal" (fájlokkal). A szabályaid olyanok, mint egy vonóháló rekeszei: minden rekesz azokat a halakat tartja, amelyek megfelelnek bizonyos tulajdonságoknak.

Amikor befejezed a húzást, van minták csoportosítása hasonlóság szerint a támadók meghatározott családjaival vagy csoportjaival„hasonló az X fajhoz”, „hasonló az Y fajhoz” stb. Ezen minták némelyike ​​teljesen új lehet az Ön számára (új bináris fájlok, új kampányok), de illeszkednek egy ismert mintázatba, ami felgyorsítja az osztályozást és a válaszadást.

Annak érdekében, hogy a legtöbbet hozhassák ki a YARA-ból ebben az összefüggésben, számos szervezet összefog haladó képzés, gyakorlati laboratóriumok és ellenőrzött kísérleti környezetekLéteznek kifejezetten a jó szabályok írásának művészetére szakosodott kurzusok, amelyek gyakran valós kiberkémkedési eseteken alapulnak, és amelyeken a diákok hiteles mintákkal gyakorolnak, és megtanulnak "valamit" keresni akkor is, ha nem tudják pontosan, mit keresnek.

Integrálja a YARA-t a biztonsági mentési és helyreállítási platformokba

Egy olyan terület, ahol a YARA tökéletesen illeszkedik, és amely gyakran némileg észrevétlen marad, a biztonsági mentések védelme. Ha a biztonsági mentések kártevővel vagy zsarolóvírussal fertőzöttek, a visszaállítás egy egész kampányt újraindíthat.Ezért egyes gyártók közvetlenül beépítették a YARA motorokat a megoldásaikba.

Elindulhatnak a következő generációs biztonsági mentési platformok YARA szabályalapú elemzési munkamenetek visszaállítási pontokonA cél kettős: megtalálni az incidens előtti utolsó „tiszta” pontot, és észlelni a fájlokban rejtett rosszindulatú tartalmakat, amelyeket más ellenőrzések esetleg nem indítottak el.

Ezekben a környezetekben a tipikus folyamat a következő opció kiválasztását foglalja magában: „Visszaállítási pontok szkennelése YARA vonalzóval„egy elemzési feladat konfigurálása során. Ezután meg kell adni a szabályfájl elérési útját (általában .yara vagy .yar kiterjesztéssel), amely jellemzően a biztonsági mentési megoldásra jellemző konfigurációs mappában tárolódik.”

Végrehajtás közben a motor végigmegy a másolatban található objektumokon, alkalmazza a szabályokat, és Minden egyezést egy külön YARA elemzési naplóban rögzít.A rendszergazda megtekintheti ezeket a naplókat a konzolról, áttekintheti a statisztikákat, láthatja, hogy mely fájlok aktiválták a riasztást, sőt nyomon is követheti, hogy az egyes találatok mely gépekhez és konkrét dátumokhoz tartoznak.

Ezt az integrációt más mechanizmusok egészítik ki, mint például anomáliadetektálás, biztonsági mentések méretének monitorozása, adott IOC-k keresése vagy gyanús eszközök elemzéseDe ha egy adott zsarolóvírus-családra vagy kampányra szabott szabályokról van szó, a YARA a legjobb eszköz a keresés finomítására.

Hogyan teszteljük és validáljuk a YARA szabályokat a hálózat feltörése nélkül

Miután elkezdted a saját szabályaidat írni, a következő kulcsfontosságú lépés az alapos tesztelésük. Egy túlságosan agresszív szabály álpozitív eredmények özönét generálhatja, míg egy túlságosan laza szabály valódi fenyegetéseket engedhet át.Ezért a tesztelési fázis ugyanolyan fontos, mint az írási fázis.

A jó hír az, hogy ehhez nem kell egy működő kártevőkkel teli laboratóriumot felállítani és a hálózat felét megfertőzni. Már léteznek olyan adattárak és adatkészletek, amelyek ezeket az információkat kínálják. ismert és ellenőrzött kártevő minták kutatási célokraEzeket a mintákat letöltheti egy elszigetelt környezetbe, és tesztkörnyezetként használhatja a szabályaihoz.

A szokásos megközelítés az, hogy a YARA-t helyben, a parancssorból futtatjuk egy gyanús fájlokat tartalmazó könyvtárban. Ha a szabályaid ott egyeznek, ahol kellene, és alig hibásodnak meg a tiszta fájlokban, akkor jó úton jársz.Ha túl sokszor aktiválódnak, itt az ideje felülvizsgálni a karakterláncokat, finomítani a feltételeket, vagy további korlátozásokat bevezetni (méret, importálás, eltolások stb.).

Egy másik fontos szempont, hogy a szabályok ne rontsák a teljesítményt. Nagy könyvtárak, teljes biztonsági mentések vagy hatalmas mintagyűjtemények szkennelésekor... A rosszul optimalizált szabályok lelassíthatják az elemzést, vagy a kívántnál több erőforrást fogyaszthatnak.Ezért tanácsos mérni az időzítéseket, egyszerűsíteni a bonyolult kifejezéseket, és kerülni a túlzottan nehéz reguláris kifejezéseket.

Miután átmentél ezen a laboratóriumi vizsgálati fázison, képes leszel arra, hogy A szabályok bevezetése az éles környezetbenAkár a SIEM rendszeredben, akár a biztonsági mentési rendszereidben, e-mail szervereidben, vagy bárhol máshol, ahová integrálni szeretnéd őket. És ne felejtsd el a folyamatos felülvizsgálati ciklust: a kampányok fejlődésével a szabályaidat is rendszeresen módosítani kell.

Eszközök, programok és munkafolyamatok a YARA-val

A hivatalos bináris fájlon túl számos szakember fejlesztett ki kisebb programokat és szkripteket a YARA köré, hogy megkönnyítse annak mindennapi használatát. Egy tipikus megközelítés magában foglalja egy alkalmazás létrehozását a következőhöz: állítsd össze a saját biztonsági készletedet amely automatikusan beolvassa egy mappában található összes szabályt, és alkalmazza azokat egy elemzési könyvtárra.

Az ilyen típusú házi készítésű eszközök általában egyszerű könyvtárszerkezettel működnek: egy mappa a internetről letöltött szabályok (például „rulesyar”) és egy másik mappa a gyanús fájlok elemzése (például „kártevő”). Amikor a program elindul, ellenőrzi, hogy mindkét mappa létezik-e, listázza a szabályokat a képernyőn, és felkészül a végrehajtásra.

Amikor megnyomsz egy gombot, például a „Indítsa el az ellenőrzéstAz alkalmazás ezután elindítja a YARA futtatható fájlt a kívánt paraméterekkel: a mappában lévő összes fájl beolvasása, az alkönyvtárak rekurzív elemzése, statisztikák kimenete, metaadatok nyomtatása stb. Az esetleges találatok egy eredményablakban jelennek meg, jelezve, hogy melyik fájl melyik szabálynak felelt meg.

Ez a munkafolyamat lehetővé teszi például az exportált e-mailek kötegében található problémák észlelését. rosszindulatú beágyazott képek, veszélyes mellékletek vagy látszólag ártalmatlan fájlokba rejtett webshell-ekSzámos vállalati környezetben végzett kriminalisztikai vizsgálat pontosan erre a mechanizmusra támaszkodik.

A YARA meghívásakor a leghasznosabb paramétereket tekintve az alábbiak emelkednek ki: -r rekurzív kereséshez, -S statisztikák megjelenítéséhez, -m metaadatok kinyeréséhez és -w figyelmeztetések figyelmen kívül hagyásáhozEzen jelzők kombinálásával a viselkedést az adott esethez igazíthatja: egy adott könyvtár gyors elemzésétől kezdve egy összetett mappastruktúra teljes vizsgálatáig.

Bevált gyakorlatok a YARA szabályok írásakor és karbantartásakor

Annak érdekében, hogy a szabálytárház kezelhetetlen káoszsá váljon, ajánlott néhány bevált gyakorlatot alkalmazni. Az első az, hogy következetes sablonokkal és elnevezési konvenciókkal dolgozzunk.hogy bármely elemző egy pillantással megérthesse, mit csinál az egyes szabályok.

Sok csapat szabványos formátumot alkalmaz, amely magában foglalja fejléc metaadatokkal, a fenyegetés típusát, a szereplőt vagy a platformot jelző címkékkel, valamint a detektált tartalom egyértelmű leírásávalEz nemcsak belsőleg segít, hanem akkor is, amikor szabályokat osztasz meg a közösséggel, vagy hozzájárulsz a nyilvános adattárakhoz.

Egy másik ajánlás az, hogy mindig emlékezzünk arra, hogy A YARA csak egy újabb védelmi rétegNem helyettesíti a víruskereső szoftvereket vagy az EDR-t, hanem kiegészíti azokat a következő stratégiákban: Védje Windows PC-jétIdeális esetben a YARA-nak illeszkednie kellene tágabb referenciakeretrendszerekbe, például a NIST keretrendszerbe, amely az eszközök azonosításával, védelmével, felderítésével, reagálásával és helyreállításával is foglalkozik.

Technikai szempontból érdemes időt szánni rá kerülje a hamis pozitív eredményeketEz magában foglalja a túlságosan általános karakterláncok elkerülését, több feltétel kombinálását és olyan operátorok használatát, mint például az összes o bármelyik Használd a fejed, és használd ki a fájl szerkezeti tulajdonságait. Minél konkrétabb a rosszindulatú program viselkedését övező logika, annál jobb.

Végül, tartsd fenn a fegyelmet verziókezelés és időszakos felülvizsgálat Ez kulcsfontosságú. A kártevőcsaládok fejlődnek, a jelzők változnak, és a ma működő szabályok elégtelenné válhatnak vagy elavulttá válhatnak. A szabályrendszer rendszeres felülvizsgálata és finomítása a kiberbiztonság macska-egér játékának része.

A YARA közösség és az elérhető erőforrások

A YARA idáig eljutásának egyik fő oka a közösségének ereje. A világ minden tájáról származó kutatók, biztonsági cégek és reagáló csapatok folyamatosan megosztják egymással a szabályokat, példákat és dokumentációkat.egy nagyon gazdag ökoszisztémát teremtve.

A fő viszonyítási pont az A YARA hivatalos GitHubon található adattáraOtt megtalálod az eszköz legújabb verzióit, a forráskódot és a dokumentációra mutató linkeket. Innen követheted a projekt előrehaladását, jelentheted a problémákat, vagy akár fejlesztéseket is végezhetsz, ha szeretnél.

A hivatalos dokumentáció, amely olyan platformokon érhető el, mint a ReadTheDocs, a következőket kínálja: teljes szintaxis útmutató, elérhető modulok, szabálypéldák és használati hivatkozásokEz egy alapvető erőforrás a legfejlettebb funkciók, például a PE-vizsgálat, az ELF, a memóriaszabályok vagy más eszközökkel való integrációk kihasználásához.

Ezenkívül léteznek közösségi YARA szabályok és aláírások tárházai, ahol a világ minden tájáról érkező elemzők... Használatra kész vagy az Ön igényeihez igazítható gyűjteményeket tesznek közzé.Ezek a tárházak jellemzően tartalmaznak szabályokat bizonyos kártevőcsaládokra, exploit kitekre, rosszindulatúan használt behatolásvizsgáló eszközökre, webshellekre, kriptobányászokra és sok másra.

Ezzel párhuzamosan számos gyártó és kutatócsoport kínál Speciális képzés a YARA-nál, az alapoktól a haladó tanfolyamokigEzek a kezdeményezések gyakran virtuális laboratóriumokat és valós helyzeteken alapuló gyakorlati feladatokat is tartalmaznak. Néhányat ingyenesen is kínálnak nonprofit szervezeteknek vagy a célzott támadásoknak különösen kitett szervezeteknek.

Ez az egész ökoszisztéma azt jelenti, hogy egy kis odaadással eljuthatsz az első alapvető szabályok megírásától a kifinomult csomagokat fejleszthetnek, amelyek képesek nyomon követni az összetett kampányokat és észlelni a példátlan fenyegetéseketA YARA hagyományos víruskeresővel, biztonságos biztonsági mentéssel és fenyegetésfelderítéssel való kombinálásával jelentősen megnehezítheti az interneten barangoló rosszindulatú szereplők dolgát.

A fentiek alapján egyértelmű, hogy a YARA sokkal több, mint egy egyszerű parancssori segédprogram: ez egy kulcsdarab bármely fejlett kártevő-észlelési stratégiában egy rugalmas eszköz, amely alkalmazkodik az elemzői gondolkodásmódjához és közös nyelv amely világszerte összeköti a laboratóriumokat, a SOC-okat és a kutatói közösségeket, lehetővé téve minden új szabály számára, hogy egy újabb védelmi réteget biztosítson az egyre kifinomultabb kampányokkal szemben.