YARA rules

Yara rules

door Laurens Kalverboer

Op 23 januari 2024 hebben we een webinar georganiseerd samen met vele van onze vaste klanten over back-up en herstel met Veeam. In de nieuwe versie zijn veel nieuwe tools en functionaliteiten toegevoegd.. Daar kwam het toepassen van YARA (Yet Another Recursive Acronym) rules naar voren. Op zich niets nieuws in de IT-wereld maar wel een functionaliteit om eens bij stil te staan. Wat kan het toepassen van YARA Rules betekenen voor jouw organisatie?

De ontwikkelingen in de wereld van cyber dreigingen voorblijven is een uitdagende klus. Een hulpmiddel in het arsenaal van IT beveiling is YARA. Een tool voor het matchen van patronen die veel wordt gebruikt voor de detectie en analyse van malware. In deze blog wil ik daar iets verder op ingaan.

YARA is een open-source tool bedacht om te helpen met het analyseren en identificeren van malware samples. In de basis helpt het gebruikers om custom rules te maken die patronen en karakteristieken herkennen. Hierdoor automatiseer je detectie van malware/ongewenste data.

Een van de voordelen van YARA ligt in de eenvoud en flexibiliteit van het creëren van detectie rules. Deze kan je definieren op basis van verschillende factoren zoals file attributes, strings maar ook gedrag van malware. Deze eenvoud en flexibilteit zorgen ervoor dat security teams maatwerk kunnen leveren voor hun type organisatie of data. Denk bijvoorbeeld aan het burgerservicenummer (BSN) in de zorg of creditcardgegevens in de retail. En YARA kan zoeken naar een specifiek stuk code in malware of eigenschappen van een type file. De extensie van “.onion” kan bijvoorbeeld wijzen op data afkomstig van het darkweb.

YARA rules zijn een instrument voor real-time detectie. Hierdoor kan de afdeling of de security systemen sneller identificeren of reageren op een bedreiging. Door het toevoegen van deze regels binnen bijvoorbeeld Veeam kan je dit proces automatiseren. Dit vergroot de kans op snelle detectie.

Een andere kracht van YARA is dat het verder kan ingrijpen dan de individuele organisatie en vanuit een community actief samenwerkt om te verbeteren en te delen. Vanuit een collectief kan je de regels overnemen en toepassen binnen jouw eigen IT-omgeving. Kijk eens bij “GitHub” een platform dat vol staat met toepassingen en tips.

Mijn conclusie: YARA als tool is een stuk extra gereedschap in het verbeteren van de IT-omgeving en het detecteren van bedreigingen. Meer weten? Neem dan contact met mij op.

 

 

Group 2824
ZOEKT U EEN OPLOSSING?

Welke uitdaging heeft uw bedrijf? Wij denken met u mee!