Журнал "Information Security/ Информационная безопасность" #1, 2026

Современные песочницы (Sandbox) давно перестали быть просто модным дополнением к корпоративному антиви- русу. Сегодня это мощнейший инстру- мент динамического анализа, необхо- димый для выявления целевых атак и сложной вредоносной нагрузки. Но чем основательнее становится анализ, тем острее ощущается классическая про- блема любой системы глубокой провер- ки: как пропустить через сито анализа весь объем входящих данных, не потеряв при этом в производительности? Проблема "дикого запада" файловых потоков Чтобы понять, почему даже самая совершенная песочница может оказать- ся бесполезной, нужно посмотреть, как файлы попадают в организацию. В типо- вом крупном Enterprise существует мно- жество точек входа: корпоративная почта (шлюзы и клиенты), прокси-серверы, FTP-репозитории, файловые хранилища и веб-приложения, загружающие поль- зовательский контент. Чаще всего в компании нет единого центра управления этими потоками. Файлы обрабатываются разрозненно: где-то работает антивирус на почтовом шлюзе, а где-то – DLP на прокси-серве- ре. Песочницы же, если они есть, под- ключаются точечно и получают далеко не все подозрительные объекты на ана- лиз. Что имеем в итоге? l Дублирование нагрузки – один и тот же файл может быть проверен несколь- кими СЗИ по пути следования. Стати- стика показывает, что из 100 тыс. фай- лов, поступающих за сутки, уникальными оказываются лишь 10–15 тыс., а осталь- ные 85% – дубликаты, и это дополни- тельно нагружает СЗИ. l Слепые зоны – потоки со второсте- пенных (на первый взгляд) каналов связи остаются без динамического анализа. l Шум – песочница захлебывается от мусора. Вместо анализа сложных APT- угроз, она вынуждена переваривать тонны безобидных обновлений ПО, изоб- ражений, рекламных баннеров и макро- сов, которые лучше было отсеять на ранних этапах. При этом каждое 500-е письмо может содержать реальную угро- зу, но обнаружить ее в общем потоке становится все труднее. Источники трафика и их особенности Основной объем файлового трафика компании генерирует электронная почта, на которую приходится до 70% всего потока. Через нее проходят преимуще- ственно офисные документы, PDF и архивы, причем около 85% объектов дублируются (пользователи во вложе- ниях по кругу гоняют одни и те же доку- менты), а значительная часть представ- лена небольшими файлами сравнитель- но безопасных форматов вроде изобра- жений или текстов. Чтобы подготовить почтовый трафик для песочницы, необходимо уметь рас- паковывать архивы (не все СЗИ кор- ректно работают с архивами), проводить дедупликацию по хешам, исключая из динамического анализа файлы txt, png, jpg, mp4 меньше 1 МБ, – это снижает нагрузку на песочницу до 70% и убирает из очереди те файлы, чья проверка в эмуляторе заведомо бессмысленна. Дополнительно лучше применять техно- логию CDR для очистки документов от макросов и скриптов, чтобы пользова- тель мог получить обезвреженный файл немедленно, не дожидаясь результатов глубинного анализа из песочницы. Веб-трафик, занимающий второе место по объему, несет в себе испол- няемые файлы, архивы и скрипты, поэто- му к нему требуется применять усилен- ный контроль: особое внимание следует уделять EXE-объектам, а зашифрован- ные архивы без явно переданного пароля лучше не пропускать вовсе, так как под- бор паролей к архивам на потоке может создавать довольно высокую нагрузку на песочницу. Мессенджеры отличаются жесткими требованиями к скорости доставки – задержка даже в 30–60 сек. здесь недо- пустима, поэтому в этом канале приори- тет отдается CDR и статическому ана- лизу, а на динамический анализ попада- ют лишь объекты, вызывающие обосно- ванные подозрения после первичной проверки. В сетевых хранилищах файлы живут годами, создавая риски каскадного зара- жения, поэтому применительно к ним оптимальным решением является конт- роль потока в момент копирования. Если требуется сканирование уже накоплен- ных данных, то стоит проводить его в часы минимальной нагрузки, временно заменяя подозрительные файлы ярлы- ками с уведомлением пользователя о проверке. Наконец, трафик из СЭД, CRM и ERP на 95% состоит из документов размером 1–10 МБ. Здесь на первый план выходит защита от утечек, а песочница подклю- чается только для особо подозрительных объектов, не перегружая систему ана- лизом заведомо безопасных данных. Умный хаб вместо разрозненных сенсоров Нам нужен не просто еще один анти- вирус, а оркестратор, который возьмет на себя функции диспетчера. Именно такой подход реализован в Системе управления безопасностью файлов (СУБФ) 1 , разработанной NGR Softlab. Основная идея заключается в том, чтобы превратить хаотичное движение файлов в четкий конвейер (Pipeline). Все входящие файлы, независимо от источ- ника их появления (почта, веб-трафик, сменные носители, сетевые папки), сте- каются в единый хаб. Здесь они проходят первичную обработку и классификацию, и только потом направляются к конкрет- ным инструментам детектирования – будь то сигнатурный антивирус, песочница или система класса DLP (см. рис. 1). Такой подход решает сразу несколько задач, критически важных для эффек- тивной работы песочницы. 16 • СПЕЦПРОЕКТ Строим эффективный конвейер файлового трафика для песочницы оиск баланса между глубиной исследования и пропускной способностью становится ключевой задачей построения архи- тектуры ИБ. И в этом случае на помощь приходит концепция многоуровневой фильтрации и оркестрации файлов. П Алексей Дашков, директор центра развития продуктов NGR Softlab Фото: NGR Softlab 1 https://www.ngrsoftlab.ru/multicheck