Журнал "Information Security/ Информационная безопасность" #1, 2026

Дмитрий Черников, F6 Нет. Легковесный анализ (статика, эмуляция, репутация) – это фильтр пер- вой линии, но не песочница. Полноцен- ная песочница предполагает исполнение объекта в реальной ОС с контролируе- мым окружением. MDP F6 поддерживает Windows и Linux, обе разрядности, авто- матическую повторную детонацию в дру- гой ОС при обнаружении несоответствия, видеозапись экрана и извлечение кон- фигурации ВПО. Статика хороша для скорости, но только динамика выявляет реальное поведение. Юрий Иванов, АВ Софт Легковесный анализ обычно нельзя считать полноценной песочницей. Как правило, это ускоренные методы: эмуля- ция, ограниченное исполнение или анализ отдельных признаков объекта. Они поз- воляют быстро отсеивать часть угроз, но не раскрывают полный поведенческий профиль. Поэтому на практике исполь- зуется комбинированный подход. В ATHENA, например, реализован быст- рый поведенческий анализ URL и сайтов в браузере, а при выявлении подозри- тельной активности объект может быть открыт уже в полноценной песочнице. Алексей Дашков, NGR Softlab Скорее нет, чем да. Основная задача песочницы – выявление угроз, которые сложно обнаружить тем же антивирусом. Легковесный анализ – это компромисс, который сильно снизит качество обна- ружения угроз. Кирилл Одиноков, СберТех Нет, на мой взгляд легковесный ана- лиз нельзя считать полноценной песоч- ницей, это скорее быстрый предвари- тельный этап, который дает базовое понимание и помогает отфильтровать объекты, но не способен полноценно воспроизвести поведение в реалистич- ной среде, отследить сложные цепочки действий. Полноценная песочница пред- полагает запуск в изолированной среде с возможностью углубленного анализа и дополнительных сценариев. Константин Рудаков, Positive Technologies Легковесный анализ не является пол- ноценной заменой песочницы и может снизить уровень защищенности. Поэтому более эффективно проводить полную проверку потенциально опасных объ- ектов на этапе предварительного (ста- тического) анализа. И затем проверять в изолированной виртуальной среде песочницы поток файлов, отфильтро- ванный от заведомо безопасных и заве- домо опасных объектов. Дмитрий Черников, F6 Песочница эффективна для детонации объектов и первичного анализа, но не заменяет EDR и поведенческую анали- тику там, где атака развивается уже в реальной инфраструктуре. Длительное присутствие, горизонтальное перемеще- ние, бесфайловые техники, злоупотреб- ление штатными утилитами и сетевые коммуникации лучше выявляются за счет телеметрии хоста и сети. Поэтому песочница – важный, но не единственный слой защиты. Константин Рудаков, Positive Technologies Не на всех источниках песочница может блокировать опасные объекты, получаемые пользователем в реальном времени. Отсюда и необходимость интег- рировать песочницу с другими классами средств. Сами по себе классы песочницы и EDR значительно отличаются, но при этом дополняют друг друга: песочница позволяет EDR заранее проверять подо- зрительные файлы и осуществлять реа- гирование (блокирование файла, рабо- чей станции, сети) до момента реализа- ции угрозы. Юрий Иванов, АВ Софт Песочница анализирует отдельные объекты (файлы, ссылки) до их попада- ния в инфраструктуру, тогда как EDR и поведенческая аналитика наблюдают за активностью уже на рабочих станциях и серверах. Как правило, песочница работает на периметре – почтовый тра- фик, ICAP, файловые хранилища. Таким образом она дополняет EDR, обеспечи- вая более раннее выявление вредонос- ных объектов. При этом важно, чтобы EDR поддерживал интеграцию с песоч- ницей для обмена индикаторами, резуль- татами анализа или для передачи файла на анализ, который прошел мимо песоч- ницы. Алексей Дашков, NGR Softlab Песочница бессильна там, где нет файла для анализа. Она не заменяет EDR там, где вредоносная активность происходит в оперативной памяти. На этапе Lateral Movement, когда нужно смотреть сетевую активность между хостами. Аномалии на длинных времен- ных промежутках также не подвластны песочницам. Кирилл Одиноков, СберТех Песочница не заменяет EDR и пове- денческую аналитику в сценариях, где важны непрерывный мониторинг хостов, выявление действий уже внутри сети, расследование цепочки событий и быстрое реагирование на инцидент. Сама по себе песочница хорошо прове- ряет отдельные файлы и объекты в изо- ляции, но не видит полной картины поведения пользователя или процесса в реальной среде. Поэтому при тихой атаке, работе с легитимными утилитами и внутренних атаках песочница лишь дополняет защиту на рабочей станции. Сергей Крутских, "Лаборатория Касперского" Песочница и EDR – это два класса решений, которые прекрасно дополняют друг друга для детектирования сложных угроз. Существует ряд техник, которые более глубоко раскрываются в песочни- це, нежели в классическом EDR при мониторинге хостовой телеметрии. При- мерами таких техник являются Access Token Manipulation T1134, Process Injection T1055, Obfuscated Files or Infor- mation T1027 и др. В каких сценариях песоч- ница не заменяет EDR и поведенческую аналитику, а лишь дополняет их? Если бы сегодня нужно было спроектировать систему динамического анализа заново, какой один принцип вы сделали бы ключевым – масштаби- руемость, реалистичность среды или поведенческую аналитику? 24 • СПЕЦПРОЕКТ Рисунок: Гротек