Журнал "Information Security/ Информационная безопасность" #1, 2026

Шаих Галиев, Positive Technologies Базовый сценарий не предусматривает обнаружения фишинга, социальной инженерии, принуждения пользователя к различным манипуляциям на рабочей станции. Малоприменимы также сцена- рии с обнаружением атак с сетевой экс- плуатацией уязвимостей публикуемых серверных приложений. Поэтому совре- менным песочницам необходимо посто- янно совершенствовать механизмы ста- тического, репутационного и действую- щего в динамике с внешними ресурсами анализа объектов. В том числе необхо- димо поддерживать интеграцию с дру- гими системами защиты, к примеру с EDR- и NTA-/NDR-решениями. Кирилл Одиноков, СберТех Я считаю, что хуже всего раскры- ваются отложенные сценарии и проверки на виртуальную среду. Сложно также анализируются атаки, завязанные на внешнюю инфраструктуру. Даже кор- ректно настроенная среда не всегда воспроизводит реальные условия экс- плуатации. Дмитрий Черников, F6 Песочница ограниченно раскрывает техники, которым нужен реальный кон- текст инфраструктуры или длительное присутствие: горизонтальное перемеще- ние, многошаговая эскалация привиле- гий, атаки с отложенной полезной нагрузкой, а также действия через штат- ные инструменты ОС, если их смысл проявляется только в длинной цепочке. Именно поэтому в MXDR F6 песочница MDP работает в связке с EDR и NTA – каждый модуль закрывает слепые зоны другого. Юрий Иванов, АВ Софт Как правило, сложно раскрываются техники, зависящие от длительного вре- мени ожидания, взаимодействия поль- зователя или специфической инфра- структуры, то есть атаки, активируемые только при наличии внутренних серви- сов. При этом часть таких сценариев может выявляться по статическим и поведенческим индикаторам. Кроме того, современные песочницы позволяют настраивать более длительный анализ и различные профили среды выполне- ния. Алексей Дашков, NGR Softlab Прежде всего есть техники обхода песочницы, которые проверяют состоя- ние окружения на хосте и позволяют ВПО не светиться в окружении песочни- цы. Существуют также бесфайловые угрозы, когда файлы не записываются на диск, все хранится в оперативной памяти. Кроме того, можно отметить руткиты, которые выполняются на уровне ядра, и песочница их просто не зареги- стрирует. Шаих Галиев, Positive Technologies Я бы отметил сложные, комбиниро- ванные цепочки атак, использующие методы психологического воздействия на пользователя, включая фишинг с применением социальной инженерии. Поэтому современным песочницам важно взаимодействовать с многоуров- невыми решениями для защиты элек- тронной почты: функции антифишинга и глубокая антивирусная поведенческая проверка используются в нашем реше- нии для многоуровневой защиты почты PT Email Security. Сейчас также часто применяются технологии машинного обучения для семантического анализа писем на предмет яркой эмоциональной окраски, принуждения к действиям и подобных манипуляций с пользовате- лем. Юрий Иванов, АВ Софт Наиболее распространены проверки виртуальной среды, многоступенчатые атаки и отложенная активация вредо- носной логики. В ATHENA используется гибридная архитектура: глубокий муль- тисигнатурный статический и эвристи- ческий анализ выявляет значительную часть угроз еще до запуска в песочнице, а динамический анализ дополняет его поведенческими индикаторами. Допол- нительно поддерживаются кастомизация сред выполнения, настраиваемые инди- каторы и модели ИИ для анализа арте- фактов. Дмитрий Черников, F6 Сегодня наиболее результативны методы, которые позволяют вредонос- ному объекту распознать искусствен- ную среду или скрыть полезную нагруз- ку до момента анализа: артефакты виртуализации, отсутствие пользова- тельской активности, таймерные задержки, а также простые техники антианализа ввиде зашифрованных архивов. В MDP F6 этому противостоят морфинг-профили с имитацией рабо- чей среды заказчика, эмуляция дей- ствий пользователя, полноценная сете- вая доступность, а для почтовых сце- нариев – автоматический поиск паро- лей в тексте письма и связанных вло- жениях. Кирилл Одиноков, СберТех Наиболее эффективны тайминговые техники, отложенная активация и ожи- дание реальной активности пользовате- ля. Усложняет их применение много- этапный анализ: повторные запуски, изменение системного времени и ими- тация пользовательской активности. Важна не глубина одного запуска, а вариативность сценариев. Сергей Крутских, "Лаборатория Касперского" Мы не разделяем данное утверждение. Песочница – это набор большого коли- чества движков, которые работают вме- сте, дополняют друг друга и позволяют использовать сложную детектирующую логику для выявления угроз. Какие методы обхода песочниц сегодня наибо- лее эффективны и какие архитектурные решения действительно усложняют их применение? Можно ли считать легко- весный анализ полноцен- ной песочницей? • 23 ПЕСОЧНИЦЫ www.itsec.ru Рисунок: Гротек