اگه بخوای خیلی ساده بدونی YARA rule چیست؟ باید بگم این یه ابزار هوشمند برای شناسایی بدافزار تو فایلها و سیستمهاست. تیمهای امنیتی با تعریف یهسری قوانین (rule) خاص، میتونن بفهمن یه فایل مشکوکه یا نه. حالا شرکت سایا ارتباط از همین روش استفاده میکنه تا به سازمانها کمک کنه خیلی سریع تهدیدها رو شناسایی کنن و جلوشونو بگیرن. این یعنی یه سیستم دفاعی قوی که از دل خود تجربه و تکنولوژی بیرون اومده.
قانونهای YARA از ۴ بخش اصلی ساخته شدن. اول از همه یه اسم خاص براش انتخاب میکنی که منحصربهفرد باشه. بعدش یه سری اطلاعات درباره سازنده قانون و هدفش وارد میکنی که میشه متادیتا. حالا میرسی به قسمت اصلی یعنی رشتهها؛ چیزایی که دنبالشون میگردی تو فایلها (مثلاً یه تیکه کد خاص). آخر سر هم یه شرط تعیین میکنی که بگی اگه اینا دیده شدن، پس این فایل مشکوکه! همه اینا کنار هم، میشن یه YARA rule حسابی.
نوشتن یه YARA rule درستوحسابی، فقط کپی کردن چندتا رشته از یه فایل نیست. باید بدونی چی خاصه، چی عمومیه، چی ممکنه تو فایل سالم هم باشه. قانونت نباید خیلی گُنگ باشه. بهتره قبل از اجرا، حسابی تستش کنی که تو فایلای سالم اخطار الکی نده. تازه ابزارهایی مثل yarGen یا FLOSS هستن که خیلی راحت بهت کمک میکنن قانونهات رو حرفهایتر بنویسی.
یکی از باحالترین چیزای YARA اینه که میتونی تو خیلی از ابزارهای امنیتی ازش استفاده کنی. چه EDR، چه NDR، چه SIEM، چه حتی ابزارهای تحلیل ابری! مخصوصاً وقتی با سیستمهایی مثل پادویش EDR ترکیب میشه، کلی مزیت داره و میتونه خیلی سریع فایلهای مشکوک رو بکوبه. حتی میتونی تو شبکه هم فایلهایی که رد و بدل میشن رو با همین قوانین بررسی کنی.
در یک کلام، YARA یه جور قاعدهگذار هوشمنده تو دنیای امنیت سایبری. اگه یه سازمان یا تیم امنیتی بخواد واقعاً از تهدیدات جلو بزنه، YARA یه ابزار فوقالعادهست. حالا وقتی این ابزار بیفته دست یه تیم حرفهای مثل سایا ارتباط که سالهاست تو این حوزه فعاله، دیگه میشه به امنیت شبکهات کاملاً مطمئن بود. خلاصه اینکه، اگه دنبال یه سد قوی در برابر بدافزاری، یارا رو دست کم نگیر!
