Jak używać YARA do zaawansowanego wykrywania złośliwego oprogramowania

¿Jak używać YARA do zaawansowanego wykrywania złośliwego oprogramowania? Gdy tradycyjne programy antywirusowe osiągają granice swoich możliwości, a atakujący prześlizgują się przez każdą możliwą lukę, do akcji wkracza narzędzie, które stało się niezastąpione w laboratoriach reagowania na incydenty: YARA – „szwajcarski nóż” do wykrywania złośliwego oprogramowaniaZaprojektowano go do opisywania rodzin złośliwego oprogramowania za pomocą wzorców tekstowych i binarnych. Pozwala on wyjść daleko poza proste dopasowywanie skrótów.

W odpowiednich rękach YARA nie służy tylko do lokalizowania nie tylko znane próbki złośliwego oprogramowania, ale także nowe warianty, luki w zabezpieczeniach typu zero-day, a nawet komercyjne narzędzia ofensywneW tym artykule dogłębnie i praktycznie omówimy, jak używać YARA do zaawansowanego wykrywania złośliwego oprogramowania, jak pisać niezawodne reguły, jak je testować, jak integrować je z platformami takimi jak Veeam lub własnym procesem analizy, a także jakie najlepsze praktyki stosuje społeczność profesjonalistów.

Czym jest YARA i dlaczego jest tak skuteczne w wykrywaniu złośliwego oprogramowania?

YARA to skrót od „Yet Another Recursive Acronym” i stał się de facto standardem w analizie zagrożeń, ponieważ Umożliwia opisywanie rodzin złośliwego oprogramowania za pomocą czytelnych, jasnych i niezwykle elastycznych reguł.Zamiast polegać wyłącznie na statycznych sygnaturach antywirusowych, YARA wykorzystuje wzorce definiowane przez użytkownika.

Podstawowa koncepcja jest prosta: reguła YARA bada plik (lub pamięć, albo strumień danych) i sprawdza, czy spełniony jest szereg warunków. warunki oparte na ciągach tekstowych, sekwencjach szesnastkowych, wyrażeniach regularnych lub właściwościach plikuJeśli warunek jest spełniony, występuje „zgodność” i możesz wysłać alert, zablokować problem lub przeprowadzić bardziej szczegółową analizę.

To podejście pozwala zespołom ds. bezpieczeństwa Identyfikuj i klasyfikuj złośliwe oprogramowanie wszystkich typów: klasyczne wirusy, robaki, konie trojańskie, oprogramowanie wymuszające okup, webshelle, kryptominery, złośliwe makra i wiele innychNie ogranicza się do określonych rozszerzeń plików lub formatów, dlatego wykrywa również ukryte pliki wykonywalne z rozszerzeniem .pdf lub pliki HTML zawierające powłokę internetową.

Co więcej, YARA jest już zintegrowana z wieloma kluczowymi usługami i narzędziami ekosystemu cyberbezpieczeństwa: VirusTotal, piaskownice takie jak Cuckoo, platformy tworzenia kopii zapasowych takie jak Veeam lub rozwiązania do wykrywania zagrożeń od czołowych producentówDlatego też opanowanie języka YARA stało się niemal wymogiem dla zaawansowanych analityków i badaczy.

Zaawansowane przypadki użycia YARA w wykrywaniu złośliwego oprogramowania

Jedną z zalet YARA jest to, że dostosowuje się ona idealnie do różnych scenariuszy bezpieczeństwa, od centrów SOC po laboratoria zajmujące się złośliwym oprogramowaniem. Te same zasady dotyczą zarówno jednorazowych polowań, jak i stałego monitoringu..

Najbardziej bezpośredni przypadek polega na tworzeniu szczegółowe zasady dotyczące konkretnego złośliwego oprogramowania lub całych rodzinJeśli Twoja organizacja jest atakowana przez kampanię opartą na znanej rodzinie (na przykład trojan zdalnego dostępu lub zagrożenie APT), możesz utworzyć profil charakterystycznych ciągów i wzorców oraz utworzyć reguły, które szybko identyfikują nowe powiązane próbki.

Innym klasycznym zastosowaniem jest skupienie YARA oparta na sygnaturachReguły te służą do lokalizowania skrótów, bardzo szczegółowych ciągów tekstowych, fragmentów kodu, kluczy rejestru, a nawet konkretnych sekwencji bajtów, które powtarzają się w wielu wariantach tego samego złośliwego oprogramowania. Należy jednak pamiętać, że wyszukiwanie tylko prostych ciągów znaków wiąże się z ryzykiem wygenerowania wyników fałszywie dodatnich.

YARA sprawdza się również w filtrowaniu według typy plików lub cechy strukturalneMożna tworzyć reguły dotyczące plików wykonywalnych PE, dokumentów biurowych, plików PDF lub praktycznie każdego innego formatu, łącząc ciągi znaków z właściwościami, takimi jak rozmiar pliku, określone nagłówki (np. 0x5A4D w przypadku plików wykonywalnych PE) lub podejrzane importy funkcji.

W nowoczesnych środowiskach jego zastosowanie wiąże się z inteligencia de amenazasPubliczne repozytoria, raporty badawcze i dane IOC są tłumaczone na reguły YARA, które są integrowane z systemami SIEM, EDR, platformami kopii zapasowych lub środowiskami testowymi. Pozwala to organizacjom szybko wykrywaj nowe zagrożenia, które mają cechy wspólne z kampaniami już przeanalizowanymi.

Zrozumienie składni reguł YARA

Składnia języka YARA jest bardzo podobna do składni języka C, jednak jest prostsza i bardziej skupiona. Każda reguła składa się z nazwy, opcjonalnej sekcji metadanych, sekcji ciągu znaków i, koniecznie, sekcji warunku.Od tego momentu siła leży w połączeniu tego wszystkiego.

Lo primero es el nazwa regułyMusi znaleźć się zaraz po słowie kluczowym rule (o regla Jeśli dokumentujesz w języku hiszpańskim, mimo że słowo kluczowe w pliku będzie rulei musi być prawidłowym identyfikatorem: bez spacji, cyfr i podkreśleń. Warto zastosować się do jasnej konwencji, na przykład takiej jak Wariant rodziny złośliwego oprogramowania o Narzędzie APT_Actor, co pozwala na pierwszy rzut oka zidentyfikować, co ma wykrywać.

Następnie następuje sekcja stringsgdzie definiujesz wzorce, których chcesz szukać. Możesz tu użyć trzech głównych typów: ciągi tekstowe, sekwencje szesnastkowe i wyrażenia regularneCiągi tekstowe idealnie nadają się do czytelnych dla człowieka fragmentów kodu, adresów URL, komunikatów wewnętrznych, nazw ścieżek lub baz danych PDB. Systemy szesnastkowe pozwalają na przechwytywanie surowych wzorców bajtów, co jest bardzo przydatne, gdy kod jest zaciemniony, ale zachowuje pewne stałe sekwencje.

Wyrażenia regularne zapewniają elastyczność, gdy trzeba uwzględnić niewielkie zmiany w ciągu, na przykład zmianę domeny lub niewielkie modyfikacje fragmentów kodu. Co więcej, zarówno ciągi znaków, jak i wyrażenia regularne pozwalają na użycie escape'ów do reprezentowania dowolnych bajtów, co otwiera drzwi do bardzo precyzyjnych wzorców hybrydowych.

La sección condition Jest to jedyny obowiązkowy parametr i określa, kiedy reguła jest uznawana za „dopasowaną” do pliku. Używa się w nim operacji logicznych i arytmetycznych (i, lub, nie, +, -, *, /, dowolny, wszystkie, zawiera, itd.) w celu wyrażenia dokładniejszej logiki wykrywania niż proste „jeśli ten ciąg znaków się pojawi”.

Można na przykład określić, że reguła jest ważna tylko wtedy, gdy plik jest mniejszy od określonego rozmiaru, gdy występują wszystkie krytyczne ciągi znaków lub gdy obecny jest przynajmniej jeden z kilku ciągów znaków. Można również łączyć warunki, takie jak długość ciągu, liczba dopasowań, określone przesunięcia w pliku lub rozmiar samego pliku.Kreatywność stanowi tutaj różnicę między ogólnymi zasadami a chirurgicznymi wykryciami.

Na koniec masz sekcję opcjonalną metaIdealny do dokumentowania okresu. Często zawiera autor, data utworzenia, opis, wersja wewnętrzna, odniesienie do raportów lub zgłoszeń i ogólnie rzecz biorąc, wszelkie informacje, które pomagają zachować porządek w repozytorium i uczynić je zrozumiałym dla innych analityków.

Praktyczne przykłady zaawansowanych reguł YARA

Aby spojrzeć na powyższe z szerszej perspektywy, warto przyjrzeć się strukturze prostej reguły i temu, jak staje się ona bardziej złożona, gdy w grę wchodzą pliki wykonywalne, podejrzane importy lub powtarzające się sekwencje instrukcji. Zacznijmy od małej linijki i stopniowo zwiększajmy jej rozmiar..

Minimalna reguła może zawierać tylko ciąg znaków i warunek, który ją obliguje. Na przykład, można wyszukać konkretny ciąg znaków lub sekwencję bajtów reprezentującą fragment złośliwego oprogramowania. W tym przypadku warunek po prostu stwierdzałby, że reguła jest spełniona, jeżeli pojawi się dany ciąg znaków lub wzór., bez dalszych filtrów.

Jednak w rzeczywistych warunkach jest to niewystarczające, ponieważ Proste łańcuchy często generują wiele fałszywych wyników pozytywnychDlatego często łączy się kilka ciągów (tekstowych i szesnastkowych) z dodatkowymi ograniczeniami: plik nie może przekraczać pewnego rozmiaru, musi zawierać określone nagłówki lub musi być aktywowany tylko wtedy, gdy zostanie znaleziony przynajmniej jeden ciąg z każdej zdefiniowanej grupy.

Typowy przykład analizy plików wykonywalnych PE obejmuje importowanie modułu pe z YARA, która umożliwia zapytanie o wewnętrzne właściwości pliku binarnego: zaimportowane funkcje, sekcje, znaczniki czasu itp. Zaawansowana reguła może wymagać zaimportowania pliku Utwórz proces desde Kernel32.dll i pewna funkcja HTTP z wininet.dll, oprócz zawierania określonego ciągu znaków wskazującego na złośliwe zachowanie.

Ten typ logiki doskonale nadaje się do lokalizowania Trojany z możliwością zdalnego połączenia lub eksfiltracjiNawet gdy nazwy plików lub ścieżki zmieniają się między kampaniami. Ważne jest skupienie się na podstawowym zachowaniu: tworzeniu procesów, żądaniach HTTP, szyfrowaniu, trwałości itp.

Inną bardzo skuteczną techniką jest przyjrzenie się sekwencje powtarzanych instrukcji Między próbkami z tej samej rodziny. Nawet jeśli atakujący spakują lub zaciemnią plik binarny, często ponownie wykorzystują fragmenty kodu, które trudno zmienić. Jeśli po analizie statycznej znajdziesz stałe bloki instrukcji, możesz sformułować regułę z symbole wieloznaczne w ciągach szesnastkowych który oddaje ten wzór, zachowując jednocześnie pewną tolerancję.

Dzięki tym „zasadom opartym na zachowaniu kodu” jest to możliwe śledzić całe kampanie złośliwego oprogramowania, takie jak te PlugX/Korplug lub innych rodzin APTNie chodzi tu tylko o wykrycie konkretnego skrótu, ale o analizę stylu rozwoju atakujących.

Wykorzystanie YARA w rzeczywistych kampaniach i zagrożeniach typu zero-day

YARA sprawdziła się zwłaszcza w przypadku zaawansowanych zagrożeń i luk w zabezpieczeniach typu zero-day, gdzie klasyczne mechanizmy ochrony działają zbyt późno. Dobrze znanym przykładem jest użycie YARA do zlokalizowania luki w zabezpieczeniach Silverlight na podstawie minimalnych wycieków informacji..

W tym przypadku na podstawie wiadomości e-mail skradzionych z firmy zajmującej się tworzeniem narzędzi ofensywnych udało się wywnioskować wystarczające wzorce, aby zbudować regułę ukierunkowaną na konkretny przypadek wykorzystania luk. Stosując tę ​​jedną zasadę, badacze byli w stanie prześledzić próbkę w morzu podejrzanych plików.Zidentyfikuj lukę w zabezpieczeniach i wymuś jej załatanie, zapobiegając w ten sposób znacznie poważniejszym szkodom.

Tego typu historie ilustrują, jak YARA może funkcjonować jako sieć rybacka w morzu plikówWyobraź sobie swoją sieć korporacyjną jako ocean pełen „ryb” (plików) wszelkiego rodzaju. Twoje zasady są jak przegródki w sieci trałowej: każda przegródka zatrzymuje ryby o określonych cechach.

Po zakończeniu przeciągania masz próbki pogrupowane według podobieństwa do konkretnych rodzin lub grup napastników: „podobne do gatunku X”, „podobne do gatunku Y” itd. Niektóre z tych próbek mogą być dla Ciebie zupełnie nowe (nowe pliki binarne, nowe kampanie), ale wpisują się w znany wzorzec, co przyspiesza Twoją klasyfikację i reakcję.

Aby w pełni wykorzystać możliwości YARA w tym kontekście, wiele organizacji łączy zaawansowane szkolenia, laboratoria praktyczne i kontrolowane środowiska eksperymentalneIstnieją wysoce specjalistyczne kursy poświęcone wyłącznie sztuce pisania dobrych reguł, często opartych na prawdziwych przypadkach cybernetycznego szpiegostwa, na których studenci ćwiczą na autentycznych próbkach i uczą się szukać „czegoś”, nawet jeśli nie wiedzą dokładnie, czego szukają.

Zintegruj YARA z platformami tworzenia kopii zapasowych i odzyskiwania

Jednym z obszarów, w którym YARA sprawdza się doskonale, a który często pozostaje niezauważony, jest ochrona kopii zapasowych. Jeśli kopie zapasowe zostaną zainfekowane złośliwym oprogramowaniem lub oprogramowaniem wymuszającym okup, przywrócenie danych może uruchomić całą kampanię od nowa.Właśnie dlatego niektórzy producenci wbudowali silniki YARA bezpośrednio w swoje rozwiązania.

Można uruchomić platformy tworzenia kopii zapasowych nowej generacji Sesje analizy opartej na regułach YARA w punktach przywracaniaCel jest dwojaki: zlokalizowanie ostatniego „czystego” punktu przed incydentem i wykrycie złośliwej zawartości ukrytej w plikach, która mogła nie zostać wywołana przez inne kontrole.

W takich środowiskach typowy proces obejmuje wybranie opcji „Przeskanuj punkty przywracania za pomocą linijki YARA„podczas konfiguracji zadania analizy. Następnie określana jest ścieżka do pliku reguł (zazwyczaj z rozszerzeniem .yara lub .yar), który zazwyczaj jest przechowywany w folderze konfiguracyjnym właściwym dla danego rozwiązania do tworzenia kopii zapasowych”.

Podczas wykonywania silnik iteruje po obiektach zawartych w kopii, stosuje reguły i Rejestruje wszystkie dopasowania w specjalnym dzienniku analizy YARA.Administrator może przeglądać te logi z poziomu konsoli, sprawdzać statystyki, sprawdzać, które pliki spowodowały wyświetlenie alertu, a nawet śledzić, do których komputerów i jakich konkretnych dat odnosi się każde dopasowanie.

Integrację tę uzupełniają inne mechanizmy, takie jak: wykrywanie anomalii, monitorowanie rozmiaru kopii zapasowej, wyszukiwanie określonych wskaźników IOC lub analiza podejrzanych narzędziJeśli jednak chodzi o reguły dostosowane do konkretnej rodziny ransomware lub kampanii, YARA okazuje się najlepszym narzędziem do zawężenia wyszukiwania.

Jak testować i weryfikować reguły YARA bez przerywania pracy sieci

Gdy zaczniesz pisać własne zasady, następnym kluczowym krokiem będzie ich dokładne przetestowanie. Zbyt agresywne zasady mogą skutkować falą fałszywych wyników, podczas gdy zbyt łagodne mogą sprawić, że prawdziwe zagrożenia prześlizgną się obok.Dlatego faza testowania jest tak samo ważna jak faza pisania.

Dobra wiadomość jest taka, że ​​nie musisz tworzyć laboratorium pełnego działającego złośliwego oprogramowania i infekować połowy sieci, aby to zrobić. Istnieją już repozytoria i zestawy danych, które oferują te informacje. znane i kontrolowane próbki złośliwego oprogramowania do celów badawczychMożesz pobrać te przykłady i zapisać je w odizolowanym środowisku, gdzie będą służyć jako środowisko testowe dla Twoich reguł.

Zwykle rozpoczyna się od uruchomienia YARA lokalnie, z wiersza poleceń, w katalogu zawierającym podejrzane pliki. Jeśli twoje reguły są zgodne z oczekiwaniami i prawie nie występują w czystych plikach, jesteś na dobrej drodze.Jeśli wyzwalają zbyt wiele zdarzeń, należy przejrzeć ciągi znaków, dopracować warunki lub wprowadzić dodatkowe ograniczenia (rozmiar, importy, przesunięcia itp.).

Kolejnym kluczowym punktem jest upewnienie się, że reguły nie wpływają negatywnie na wydajność. Podczas skanowania dużych katalogów, pełnych kopii zapasowych lub obszernych zbiorów próbek, Źle zoptymalizowane reguły mogą spowolnić analizę lub zużyć więcej zasobów, niż jest to pożądane.Dlatego wskazane jest mierzenie czasów, upraszczanie skomplikowanych wyrażeń i unikanie zbyt ciężkich wyrażeń regularnych.

Po przejściu fazy testów laboratoryjnych będziesz mógł Promuj zasady w środowisku produkcyjnymNiezależnie od tego, czy chodzi o SIEM, systemy kopii zapasowych, serwery poczty e-mail, czy gdziekolwiek chcesz je zintegrować. I pamiętaj o ciągłym cyklu weryfikacji: w miarę rozwoju kampanii Twoje reguły będą wymagały okresowych korekt.

Narzędzia, programy i przepływ pracy z YARA

Oprócz oficjalnej wersji binarnej wielu profesjonalistów stworzyło małe programy i skrypty bazujące na YARA, aby ułatwić jego codzienne używanie. Typowe podejście polega na stworzeniu aplikacji dla zmontuj własny zestaw bezpieczeństwa który automatycznie odczytuje wszystkie reguły w folderze i stosuje je do katalogu analiz.

Tego typu domowe narzędzia zazwyczaj działają w oparciu o prostą strukturę katalogów: jeden folder dla zasady pobrane z Internetu (na przykład „rulesyar”) i inny folder dla podejrzane pliki, które zostaną przeanalizowane (na przykład „malware”). Po uruchomieniu program sprawdza, czy oba foldery istnieją, wyświetla listę reguł na ekranie i przygotowuje się do uruchomienia.

Kiedy naciśniesz przycisk taki jak „Rozpocznij sprawdzanieNastępnie aplikacja uruchamia plik wykonywalny YARA z żądanymi parametrami: skanowanie wszystkich plików w folderze, rekurencyjna analiza podkatalogów, generowanie statystyk, drukowanie metadanych itd. Wszystkie dopasowania są wyświetlane w oknie wyników, wskazując, który plik pasuje do której reguły.

Taki obieg pracy umożliwia na przykład wykrywanie problemów w partii eksportowanych wiadomości e-mail. złośliwe osadzone obrazy, niebezpieczne załączniki lub powłoki internetowe ukryte w pozornie niegroźnych plikachWiele dochodzeń kryminalistycznych w środowiskach korporacyjnych opiera się właśnie na tym typie mechanizmu.

Jeśli chodzi o najbardziej przydatne parametry przy wywoływaniu YARA, na szczególną uwagę zasługują następujące opcje: -r do wyszukiwania rekurencyjnego, -S do wyświetlania statystyk, -m do wyodrębniania metadanych i -w do ignorowania ostrzeżeńŁącząc te flagi, możesz dostosować zachowanie do swojego przypadku: od szybkiej analizy w konkretnym katalogu po kompletne skanowanie złożonej struktury folderów.

Najlepsze praktyki przy pisaniu i utrzymywaniu reguł YARA

Aby zapobiec sytuacji, w której Twoje repozytorium reguł stanie się niekontrolowanym bałaganem, zaleca się stosowanie szeregu najlepszych praktyk. Pierwszym sposobem jest praca ze spójnymi szablonami i konwencjami nazewnictwaaby każdy analityk mógł na pierwszy rzut oka zrozumieć, co robi każda reguła.

Wiele zespołów przyjmuje standardowy format, który obejmuje nagłówek z metadanymi, tagami wskazującymi typ zagrożenia, aktora lub platformę oraz jasny opis tego, co jest wykrywanePrzydaje się to nie tylko wewnętrznie, ale także wtedy, gdy dzielisz się zasadami ze społecznością lub dodajesz coś do publicznych repozytoriów.

Kolejną rekomendacją jest, aby zawsze pamiętać, że YARA to po prostu kolejna warstwa obronyNie zastępuje on oprogramowania antywirusowego ani EDR, lecz uzupełnia je w strategiach Chroń swój komputer z systemem WindowsW idealnym przypadku YARA powinna wpisywać się w szersze ramy odniesienia, takie jak ramy NIST, które również obejmują identyfikację aktywów, ich ochronę, wykrywanie, reagowanie i odzyskiwanie.

Z technicznego punktu widzenia warto poświęcić na to czas evitar falsos positivosPolega to na unikaniu zbyt ogólnych ciągów znaków, łączeniu kilku warunków i stosowaniu operatorów takich jak all of o any of Użyj rozumu i wykorzystaj właściwości strukturalne pliku. Im bardziej szczegółowa logika działania złośliwego oprogramowania, tym lepiej.

Na koniec zachowaj dyscyplinę wersjonowanie i okresowy przegląd To kluczowe. Rodziny złośliwego oprogramowania ewoluują, wskaźniki zmieniają się, a reguły, które działają dzisiaj, mogą okazać się niewystarczające lub stać się przestarzałe. Okresowe przeglądanie i udoskonalanie zestawu reguł jest częścią gry w kotka i myszkę w cyberbezpieczeństwie.

Społeczność YARA i dostępne zasoby

Jednym z głównych powodów, dla których YARA osiągnęła tak duży sukces, jest siła jej społeczności. Naukowcy, firmy ochroniarskie i zespoły reagowania z całego świata nieustannie dzielą się zasadami, przykładami i dokumentacją.tworząc bardzo bogaty ekosystem.

Głównym punktem odniesienia jest Oficjalne repozytorium YARA na GitHubieZnajdziesz tam najnowsze wersje narzędzia, kod źródłowy i linki do dokumentacji. Możesz tam śledzić postępy projektu, zgłaszać problemy lub wprowadzać ulepszenia, jeśli chcesz.

Oficjalna dokumentacja, dostępna na platformach takich jak ReadTheDocs, oferuje kompletny przewodnik po składni, dostępne moduły, przykłady reguł i odniesienia do użyciaJest to podstawowe źródło umożliwiające korzystanie z najbardziej zaawansowanych funkcji, takich jak inspekcja PE, ELF, reguły pamięci czy integracja z innymi narzędziami.

Ponadto istnieją społecznościowe repozytoria reguł i podpisów YARA, w których analitycy z całego świata Publikują zbiory gotowe do wykorzystania lub takie, które można dostosować do swoich potrzeb.Te repozytoria zwykle zawierają reguły dotyczące konkretnych rodzin złośliwego oprogramowania, zestawów exploitów, złośliwie wykorzystywanych narzędzi do testów penetracyjnych, powłok internetowych, kryptokoparek i wiele innych.

Równocześnie wielu producentów i grup badawczych oferuje Szkolenia specjalistyczne w YARA, od poziomu podstawowego do kursów bardzo zaawansowanychInicjatywy te często obejmują wirtualne laboratoria i ćwiczenia praktyczne oparte na rzeczywistych scenariuszach. Niektóre są nawet oferowane bezpłatnie organizacjom non-profit lub podmiotom szczególnie narażonym na ataki ukierunkowane.

Cały ten ekosystem oznacza, że ​​przy odrobinie zaangażowania możesz przejść od napisania pierwszych podstawowych zasad do opracowywać zaawansowane pakiety umożliwiające śledzenie złożonych kampanii i wykrywanie niespotykanych dotąd zagrożeńŁącząc YARA z tradycyjnym oprogramowaniem antywirusowym, bezpiecznym tworzeniem kopii zapasowych i informacjami o zagrożeniach, znacznie utrudniasz działanie złośliwym użytkownikom w Internecie.

Biorąc pod uwagę powyższe, jasne jest, że YARA to coś więcej niż proste narzędzie wiersza poleceń: to pieza clave w każdej zaawansowanej strategii wykrywania złośliwego oprogramowania, elastyczne narzędzie, które dostosowuje się do Twojego sposobu myślenia jako analityka i wspólny język łącząca laboratoria, centra operacji bezpieczeństwa i społeczności badawcze na całym świecie, dzięki czemu każda nowa zasada stanowi dodatkową warstwę ochrony przed coraz bardziej wyrafinowanymi kampaniami.