Журнал "Information Security/ Информационная безопасность" #1, 2026

Кирилл Одиноков, СберТех Я бы сделал ключевым принципом реалистичность среды, потому что без нее и масштабируемость, и поведенчес- кая аналитика начинают терять смысл. Если объект понимает, что находится в искусственной среде, он просто не покажет настоящее поведение, и тогда хоть анализируй его, хоть собирай пове- денческие сигналы, данные будут непол- ными или ложными. Сергей Крутских, "Лаборатория Касперского" При проектировании песочницы боль- шой упор следует делать на возможно- сти имитации инфраструктуры (домен, Active Directory, работ пользователя в домене, доступность некоторых сер- висов внутри имитируемой инфраструк- туры). Шаих Галиев, Positive Technologies Масштабируемость без двух столпов экспертизы песочницы (реалистичности среды и поведенческой аналитики) не принесет результата. Поскольку решения со слабыми возможностями персонали- зации под реальную инфраструктуру и ограниченными средствами аналитики могут быть уязвимы даже перед массо- выми атаками с использованием вредо- носного ПО. Дмитрий Черников, F6 Ключевым принципом я бы сделал реалистичность среды. Без нее масшта- бируемость теряет смысл: объекты обра- батываются быстро, но вредоносный код распознает искусственное окруже- ние и не раскрывает поведение. Пове- денческая аналитика тоже работает пол- ноценно только там, где образец дей- ствительно исполнился. Поэтому реали- стичность – фундамент динамического анализа, а масштаб и аналитика должны строиться уже поверх него. Алексей Дашков, NGR Softlab Я бы сделал ключевым принципом реалистичность среды. Потому что это единственный принцип, без которого все остальные теряют смысл. Можно построить бесконечно масштабируе- мую систему с самым мощным пове- денческим анализом, но если вредо- носная программа с помощью техник Evasion обнаружит, что она находится в виртуальной среде или песочнице, она просто не запустит свой вредонос- ный код. Юрий Иванов, АВ Софт Ключевым принципом я бы выбрал реалистичность среды, потому что имен- но она напрямую влияет на способность раскрывать современные угрозы и сни- жать эффективность Anti-Sandbox тех- ник. Масштабируемость и поведенческая аналитика критически важны, но без правдоподобной среды даже мощная аналитика может не увидеть полезной активности. На практике оптимальна гибридная архитектура, где реалистич- ность среды дополняется масштабируе- мостью и развитой аналитикой. Юрий Иванов, АВ Софт В ближайшие годы песочницы будут активнее использовать ИИ, в том числе в On-Prem-системах (ранее ИИ в основ- ном использовался в облачных песоч- ницах). Потоковые модели ИИ будут чаще применяться для анализа объектов, а большие модели для интерпретации отчетов и формирования выводов, а также для имитации действий пользо- вателя и управления средой выполнения. Будет расширяться также поддержка новых типов объектов: контейнеров, спе- циализированных приложений и моде- лей машинного обучения. Сергей Крутских, "Лаборатория Касперского" Об актуальности сетевых песочниц для защиты от сложных атак впервые написал Gartner в еще 2016 г. С момен- та выпуска статьи прошло практически десять лет, и теперь с уверенностью можно сказать, что сетевая песочница стала неотъемлемой частью информа- ционной безопасности любой органи- зации. В числе перспективных направ- лений развития решений этого класса – максимальная кастомизация образа и окружения виртуальных машин в песочнице, развитие кросс-продукто- вых интеграций, например с антивиру- сом и MDR. Такие интеграции позво- ляют получить дополнительный кон- текст для расследования (дерево запуска процессов, скачанная полезная нагруз- ка, PCAP-трафика, сгенерированного вредоносом, указание техник MITRE, скриншоты исполнения сэмпла и др., чего антивирус сам по себе при детекте не показывает). Кирилл Одиноков, СберТех Начнут внедрять ИИ и машинное обучение для сбора и обучения песоч- ницы, интеграцию с почтовыми клиен- тами, более кастомизируемый анализ, например имитацию поведения типич- ного пользователя конкретной органи- зации. Дмитрий Черников, F6 Песочницы будут глубже анализиро- вать не только исполняемый код, но и смысловое содержимое объектов: интерфейсы фишинговых страниц, доку- менты с визуальными приманками, QR- коды, поддельные формы авторизации, элементы социальной инженерии. То есть детонация станет одновременно и поведенческой, и семантической – с пониманием того, что именно пытаются внушить пользователю. Константин Рудаков, Positive Technologies Мы видим, что все больше технологий, которые строились на средствах с опре- деленными правилами обнаружения, будут использовать машинное обучение. Мы также ожидаем оптимизацию ресур- сов песочницы, в том числе интеллекту- альное ограничение на виды объектов, отправляемых на проверку. Алексей Дашков, NGR Softlab Думаю, что в ближайшие пару лет в песочницах появится ИИ как для ана- лиза артефактов, так и для более совер- шенной эмуляции. l Какие новые функции появятся в песочницах в ближайшие 1–2 года? • 25 ПЕСОЧНИЦЫ www.itsec.ru Рисунок: Гротек Ваше мнение и вопросы присылайте по адресу is@groteck.ru