Журнал "Information Security/ Информационная безопасность" #1, 2026

Песочница необходима не только для прикрытия SEG: с ВПО в почте сталки- ваются даже те компании, которые не считают себя мишенью для хакеров. Опасные угрозы проникают не только через целевые атаки, но и через массовые фишинговые рассылки или взлом контр- агентов. При этом письма могут выглядеть абсолютно легитимно: в них нет признаков спама, а в качестве отправителя значится один из надежных партнеров. В результате – конфигурационный ад При построении архитектуры безопас- ности почты легко прийти к знакомой многим схеме: l Почтовый сервис защищен настроен- ными параметрами и "навесными" сред- ствами одного вендора. l На подступах к инфраструктуре уста- новлен шлюз безопасности другого про- изводителя. Он фильтрует спам и опас- ные сообщения. l Шлюз прикрывает песочница третьего вендора – она не только проверяет вло- жения, но и блокирует продвинутое ВПО. Казалось бы, компания полностью защищена. Но почему тогда ИБ и ИТ становится все сложнее отвечать на простой вопрос: где письмо, которое должно было прийти вчера? Его не принял почтовый шлюз из-за плохой спам-гигиены отправителя? Оно оста- лось в шлюзе как фишинг? Или застряло в карантине почтового сер- виса? А может, его заблокировала песочница, заподозрив вредоносное вложение? Инженеры и операторы безопасности в результате оказываются в так называемом конфигурационном аду. Одни и те же параметры защиты от спама и фишинга приходится дублировать в разных про- дуктах, у каждого из которых своя фило- софия и своя консоль управления. Часть функций сознательно игнорируют в одном решении и переносят в другое – что уменьшает путаницу, но ставит под вопрос ценность отдельных инструментов и не позволяет раскрыть их потенциал. Все это парадоксальным образом ведет не к усилению, а к ослаблению защиты ком- пании. Потому что чем больше разнород- ных продуктов, тем выше риск ошибок конфигурации и тем сложнее найти спе- циалиста, который понимает их все. Экосистема вместо зоопарка Как производителям средств защиты отвечать на эти проблемы? Самое реа- листичное решение – экосистемный под- ход. Вся цепочка защиты почты – шлюз безопасности и песочница – объеди- няется в одно комплексное решение, управляемое из единой консоли. Прин- цип единственной ответственности закрывает все описанные проблемы и дает несколько важных преимуществ. Управляемая настройка защи- ты. Одно решение – одна конфигура- ция, а значит не нужно согласовы- вать дублирующие параметры и учиты- вать сложные инфраструктурные связи между разны- ми инструментами. Это не только удоб- но, но и снижает риск критически опасных ошибок. Про з ра чный расчет ресурсов. Защита не дублиру- ется, нет отключен- ных или повторяю- щихся функций. Компания оптимизи- рует расходы на железо и не платит за то, чем не пользуется. Единое окно коммуникации с производителем. У комплексного решения один вендор, который отвечает и за работу продукта, и за экспертизу, и за техническую поддержку. Пользова- телю не нужно тратить время на общение с разными поставщиками, а срочные вопросы не теряются в цепочках согла- сований. Удобный аудит. Комплексное решение само подскажет, на каком этапе и что случилось с конкретным письмом, а значит не нужно настраивать мониторинг для каждого средства защи- ты отдельно. Разграничить функции опе- раторов безопасности и ИТ-специали- стов поможет управление доступом на основе ролей (RBAC), который настраи- вается в том же едином окне. Новые возможности по блоки- ровке продвинутых атак. В отли- чие от независимых песочницы и шлюза, которые могли проводить толь- ко несвязанные проверки, комплексное решение учитывает весь контекст пере- писки. Оно обнаруживает ВПО по сово- купности признаков письма, объединяя статический и поведенческий анализ, а блокировку выстраивает на основе кон- текста всего потока сообщений. Это открывает путь к автоматическому пред- отвращению сложных многоэтапных целевых атак. Остается единственный вопрос: вокруг какого средства защиты должна выстраиваться такая экосистема? Иными словами, мы хотим получить шлюз без- опасности с подключаемым модулем песочницы или песочницу с модулем шлюза? Ведущую роль должно брать на себя самое значимое и универсальное средство защиты. Почтовый шлюз – узкоспециализированный компонент с конкретной задачей фильтровать тра- фик. Его технологическая роль сводится к приему письма, проверке параметров SMTP-сессии (кто отправитель, кому письмо, с какого сервера пришло) и передаче по назначению. Песочница же в нашей практике тра- диционно предназначена не только для проверки почтовых вложений. Она также может анализировать файлы из всевоз- можных источников: перехваченные системой анализа трафика (NTA), извле- ченные из общих папок, переданные другими средствами защиты. Проверка в песочнице более ресурсоемкая, но и более глубокая: например, в PT Sand- box3 реализованы не только поведенче- ские проверки в виртуальных средах, но и статические, репутационные, анти- вирусные. Именно поэтому мы выстраиваем ком- плексное решение для защиты почты – PT Email Security. Оно создано на базе PT Sandbox – песочницы, которая заре- комендовала себя в борьбе со сложными угрозами не только в почтовом трафике, но и во всех векторах атак с применени- ем ВПО. Вывод Наиболее перспективное направление развития защиты почты – экосистемный подход. Он объединяет в одном решении защиту от спама и фишинга, статические и репутационные проверки, антивирус- ный анализ и поведенческий анализ в песочнице. Это позволяет упростить кон- фигурацию, выстроить защиту в режиме единого окна, сделать затраты прозрач- ными, а аудит – удобным. Такой подход одинаково хорошо подойдет как для инфраструктуры компании, так и для облачных решений. l • 15 ПЕСОЧНИЦЫ www.itsec.ru Рис. 2. Схема с SEG 3 https://ptsecurity.com/products/sandbox/ На правах рекламы