Что такое «песочница» в информационной безопасности и зачем она вашему бизнесу

«Песочница» — это среда для безопасного размещения и проверки подозрительных объектов. Вложения из почты, скачанные файлы или ссылки не попадают сразу к сотрудникам — их сначала запускают в изолированной виртуальной среде, где безопасно наблюдают за поведением объекта и в случае обнаружения подозрительной активности происходит его дальнейшая блокировка.

Бизнесу «песочницы» нужны, поскольку в атаках часто используются новые или модифицированные вредоносные программы, под которые ещё нет сигнатур антивирусов, то есть признаков, по которым антивирус сравнивает объекты с базой знаний и распознает в них угрозу. Нет сигнатуры в базе — вирус с высокой вероятностью пройдет незамеченным. Поэтому параллельно с работой антивирусов целесообразно применять дополнительные возможности по отправке подозрительных файлов или URL в «песочницу».

«Песочницы» используют специальные среды, в которых имитируется реальное окружение на рабочих станциях: офисные приложения, браузеры, настройки ОС и прочее. Это провоцирует подозрительный файл раскрыть себя: запустить скрытые скрипты, установщики, разведку окружения, кражу ключей, генерацию подозрительной сетевой активности. Так файл полностью себя компрометирует и не попадает в рабочую среду: вирус, программа-вымогатель или другое вредоносное ПО отправляется в карантин, компания остается в безопасности, а нагрузка на исследующих угрозы ИБ-специалистов снижается.

На примере Т1 Облако изучим, как «песочница» защищает от угроз.

Начинаем читать схему сверху. Сотрудники заходят в интернет, скачивают файлы и получают почту. Всё это не отправляется сразу к людям: сначала сетевой и почтовый трафик обрабатывается на межсетевом экране (NGFW), анализаторе трафика и почтовом шлюзе. У каждой системы своя зона ответственности: одна смотрит трафик, вторая — анализирует его и ищет подозрительную активность, третья — проверяет письма и вложения. От них подозрительные объекты поступают в «песочницу» на дополнительный анализ.

Кружки внизу на схеме — дополнительные системы защиты, которые позволяют расширять аналитику песочницы напрямую с конечных точек, например, агенты антивируса или EDR-агенты. Они фиксируют действия: какие процессы стартуют, что меняется в системе, к каким адресам идут сетевые обращения, появляется ли попытка шифровать файлы или закрепиться в автозагрузке или реестре. Для этих процессов используется комбинация машинного обучения, статических и динамических методов, проверка антивирусными движками, обмен информацией с базами данных глобальных и новых угроз.

После анализа объекта песочница выдаёт свой вердикт и отчёт. При отсутствии угроз передается сигнал, что объект можно передать пользователю. При наличии подозрения на угрозу или при явной вирусной активности объект блокируется, помещается в карантин, признаки передаются в системы мониторинга, чтобы автоматически поставить блок-правила на будущее и оповестить сотрудников по информационной безопасности.

Важно отметить, что на проверку файлов и почтовых вложений нужно время, поэтому веб-загрузки могут начинаться с задержкой. То же касается доставки почты — письмо не придет моментально, но будет проверенно и безопасно.

«Песочница» пригодится крупным и средним компаниям, где сотрудники получают множество писем с вложениями и скачивают большой объем файлов из интернета. Согласно свежему отчету Verizon, человеческий фактор фигурирует примерно в 60% утечек (клики по фишинговым ссылкам, работа с вложениями и др.), а наличие шифровальщиков — в 44%. В России в 2024 году 37% успешных кибератак на бизнес начинались с компрометации учетных данных сотрудников.

«Песочница» страхует от ошибок пользователей, проверяя вложения и загрузки до того, как они попадут в инфраструктуру организации.

Есть отрасли, где риск особенно заметен: финансовый сектор, здравоохранение, промышленность, ритейл и госорганизации. В них последствия утечки персональных данных и заражения систем наиболее велики.

Приведем ряд критериев, на которые стоит обратить внимание при выборе «песочницы»:

Подведем итоги. «Песочница» не заменяет антивирус или EDR, а дополняет их поведенческим фильтром для комплексной проверки перед передачей объекта пользователю. Благодаря этому заметно снижается риск проникновения шифровальщиков и других инцидентов. Такое решение будет особенно полезно тем компаниям, где сотрудники получают большой объем электронной почты и обмениваются файлами.