Журнал "Information Security/ Информационная безопасность" #1, 2026

Алексей Дашков, NGR Softlab Есть вполне логическое объяснение ограничения размера объектов, отправ- ляемых в песочницу. Атакующие редко используют тяжелые файлы для пер- вичного проникновения (они шумные). Обычно вектором являются легкие скрипты (VBS, PowerShell) или докумен- ты Office (до 10 Мбайт). Поэтому есть смысл ограничить динамический ана- лиз файлами размером до 30 Мбайт, если вам отдельно не нужно проверить APK-/ISO-файлы. Все, что выше, целе- сообразнее проверять статическим ана- лизатором. Константин Рудаков, Positive Technologies Важно учитывать сложность и формат объекта. Во-первых, проверке поддается как большой, но простой по структуре файл, так и небольшой, который может содержать множественные вложения дру- гих объектов и вредоносные мини-про- граммы. Во-вторых, на предел размера влияют форматы больших объектов, кото- рые оказываются несовместимы с запус- ком в конкретной операционной системе, например слепки виртуальных машин или целых дисков. Подобные критерии можно выявить при предварительной проверке (статическом анализе), не открывая при этом сам файл. Юрий Иванов, АВ Софт Объективного порога нет, так как он определяется пропускной способностью системы и временем анализа. Обычно вводят ограничения исходя из трафика (например, до 1 Гбайт) и отправляют более крупные объекты в песочницу только при наличии признаков подозри- тельности. При этом появляются новые типы крупных объектов, например моде- ли ИИ (веса, датасеты, дампы памяти в форматах pkl, pth и др.). В нашей практике реализован анализ таких фай- лов, включая объекты размером более 100 Гбайт, полученных из открытых источников. Сергей Крутских, "Лаборатория Касперского" Файлы, которые поступают на про- верку в песочницу, можно разделить на две группы. Первая – это небольшие файлы, которые передаются по сети и могут быть проверены на потоке. Такие файлы весят немного (до 200 Мбайт) и составляют до 95% от объема всех проверяемых образцов. Как пра- вило, это почтовые вложения и файлы, скачанные по сети (документы, испол- няемые файлы и др.). Вторая группа – это тяжелые файлы (более 200 Мбайт), которые, как правило, не передаются по сети и не используются во время атак. Например, это может быть загру- женный в песочницу Linux-образ для анализа кода. Кирилл Одиноков, СберТех Если мы говорим об исследовании достаточно крупных системных комплек- сов, необходимо разделить исследуемый объект на простые артефакты, объеди- ненные одним набором логических функ- ций. Это могут быть отдельные вспомо- гательные утилиты, крупные программ- ные модули, или исполняемые файлы с набором необходимых библиотек. Размер таких артефактов может варь- ироваться в зависимости от техноло- гического стека, и выдать какую-то абсолютную верхнюю границу размера будет неправильно. Дмитрий Черников, F6 Лимит определяется не столько мега- байтами, сколько сценарием применения песочницы. В поточных песочницах для почты, веб-трафика и агентского анализа размер файла критичен: важно уложить- ся в допустимое время обработки потока. В исследовательской песочнице допу- стимы более крупные объекты и гибкие сценарии анализа. Поэтому корректнее говорить не о потолке, а о балансе между скоростью, полнотой проверки и задачей анализа. F6 MDP поддерживает 338 форматов и автоматически подби- рает пароли к зашифрованным архивам, включая поиск пароля в цепочке писем и может быть как потоковой песочницей, так и исследовательской. Сергей Крутских, "Лаборатория Касперского" Песочница – это мощный инструмент по выявлению киберугроз. Важную роль в этом процессе играет корректная уста- новка и настройка решения. Однако данный класс решений менее эффекти- вен против детектирования техник, кото- рые входят в MITRE, например Recon- naissance (разведка) или Resource Devel- opment (подготовка ресурсов). Класси- ческие песочницы слабо раскрывают атаки на домен, Active Directory и др. Песочницы типа Next Generation данную проблему решают. Есть ли объективный пре- дел размера объектов, которые имеет смысл отправлять в песочницу, и по каким практическим критериям его опреде- лять? Какие этапы атаки или техники принципиально плохо раскрываются в песочнице даже при кор- ректной настройке среды? 22 • СПЕЦПРОЕКТ Тень атаки на песке Круглый стол экспертов Эксперты: Шаих Галиев, руководитель отдела экспертизы PT Sandbox антивирусной лаборатории PT ESC Алексей Дашков, директор центра развития продуктов компании NGR Softlab Юрий Иванов, технический директор ООО “АВ Софт” Сергей Крутских, менеджер по развитию бизнеса в “Лаборатории Касперского” Кирилл Одиноков, начальник центра контроля безопасности стороннего ПО, СберТех Константин Рудаков, лидер продуктовой практики PT Sandbox Дмитрий Черников, бизнес-руководитель департамента детектирования и предотвращения угроз, F6 есочницу часто воспринимают как "запустили – посмотрели – решили". На практике все сложнее: поток объектов потенциально бесконечный, часть атак в ней не раскрыва- ется, обходы стали нормой, а выбор между быстрым и глубоким анализом – это всегда компромисс. Где у динамического анализа реальные границы и какое место ему отвести рядом с EDR и поведенческой аналитикой – об этом мы и спросили экспертов. П