Песочница под нагрузкой: как построить эффективный конвейер файлового трафика

Современные песочницы (Sandbox) давно перестали быть просто модным дополнением к корпоративному антивирусу. Сегодня это мощнейший инструмент динамического анализа, необходимый для выявления целевых атак и сложной вредоносной нагрузки. Однако чем глубже становится анализ, тем острее встает классическая проблема любой системы глубокой проверки: как пропустить через «сито» анализа весь объем входящих данных и при этом не потерять в производительности?

Поиск баланса между глубиной исследования и пропускной способностью становится ключевой задачей построения архитектуры ИБ. Именно здесь на помощь приходит концепция многоуровневой фильтрации и оркестрации файлов.

Чтобы понять, почему даже самая совершенная песочница может оказаться бесполезной, нужно посмотреть на то, как файлы попадают в организацию. В типовом крупном enterprise сегодня существует множество точек входа: это и корпоративная почта (шлюзы и клиенты), и прокси-серверы, и FTP-репозитории, и файловые хранилища, и веб-приложения, загружающие пользовательский контент.

Чаще всего у клиента нет единого центра управления этими потоками. Файлы обрабатываются разрозненно: где-то работает антивирус на почтовом шлюзе, где-то — DLP на прокси-сервере. Песочницы же, если они есть, подключаются точечно и получают далеко не все подозрительные объекты на анализ.

Что мы имеем в итоге?

Основной объём файлового трафика компании генерирует электронная почта — на неё приходится до 60–70% всего потока. Через неё проходят преимущественно офисные документы, PDF и архивы, причём около 85% объектов дублируются (пользователи во вложениях по кругу гоняют одни и те же документы), а значительная часть представлена небольшими файлами сравнительно безопасных форматов вроде изображений или текстов. Чтобы подготовить почтовый трафик для песочницы, необходимо уметь распаковывать архивы (не все СЗИ корректно работают с архивами), проводить дедупликацию по хешам и исключать из динамического анализа файлы txt, png, jpg, mp4 меньше 1 МБ — это снижает нагрузку на песочницу до 70% и убирает из очереди те файлы, чья проверка в эмуляторе заведомо бессмысленна. Дополнительно стоит применять технологию CDR для очистки документов от макросов и скриптов, чтобы пользователь мог получить «обезвреженный» файл немедленно, не дожидаясь результатов глубинного анализа из песочницы.

Веб-трафик, занимающий второе место по объёму, несёт в себе исполняемые файлы, архивы и скрипты, поэтому здесь требуется усиленный контроль: особое внимание уделяется EXE-объектам, а зашифрованные архивы без явно переданного пароля лучше не пропускать вовсе, так как подбор паролей к архивам на потоке может создавать довольно высокую нагрузку на песочницу.

Мессенджеры отличаются жёсткими требованиями к скорости доставки — задержка даже в 30–60 секунд здесь недопустима, поэтому в этом канале приоритет отдаётся CDR и статическому анализу, а на динамический анализ попадают лишь объекты, вызывающие обоснованные подозрения после первичной проверки.

В сетевых хранилищах файлы живут годами, создавая риски каскадного заражения, поэтому оптимально контролировать поток в момент копирования, а если требуется сканирование уже накопленных данных, проводить его в часы минимальной нагрузки, временно заменяя подозрительные файлы ярлыками с уведомлением пользователя о проверке.

Наконец, трафик из СЭД, CRM и ERP на 95% состоит из документов размером 1-10 МБ, здесь на первый план выходит защита от утечек, а песочница подключается только для особо подозрительных объектов, не перегружая систему анализом заведомо безопасных данных.

По сути, нам нужен не просто еще один антивирус, а оркестратор, который возьмет на себя функции диспетчера. Именно такой подход реализован в системе управления безопасностью файлами xFP, разработанной NGR Softlab.

Такой подход решает сразу несколько задач, критически важных для эффективной работы песочницы.

Первая и главная боль любой песочницы — нагрузка. Современные высокоинтерактивные песочницы эмулируют работу целой операционной системы, запуская файл в виртуальной среде. Это требует времени и ресурсов. Запускать там каждый входящий PDF-файл — непозволительная роскошь.

Система управления файлами берет на себя роль сита. Она применяет политики, которые отсеивают до 90-95% входящего потока еще до того, как дело дойдет до эмуляции. Как это работает?

• Верификация по типу и размеру. Небольшие файлы безопасных форматов отсеиваются сразу.
• Дедупликация. Дубликаты файлов не попадают в СЗИ повторно в течении заданного периода времени.
• Статический анализ. Проверка на соответствие формату, выявление «мусорных» данных или простейших упаковщиков.
• Репутация. Обращение к базам репутации файлов.

В результате в песочницу уходит не более 1% от исходного потока. Это именно те файлы, которые действительно вызывают подозрения после первичного анализа: новые исполняемые файлы, документы с подозрительными макросами или файлы, пришедшие из нетипичного для компании источника. Песочница перестает работать как мусоросжигательный завод и превращается в инструмент глубокого анализа для сложных угроз.

Даже тот 1% трафика, который отправляется в песочницу, требует подготовки. Просто перебросить файл из почтового шлюза в песочницу недостаточно для качественного анализа.

Оркестратор обогащает файл метаданными перед отправкой в СЗИ:

• Источник: откуда пришел файл (внешняя почта, USB-носитель конкретного сотрудника, скачивание по HTTP).
• Классификация: файл содержит персональные данные или коммерческую тайну.
• Результаты первичных проверок: что показали антивирусы на первом уровне, есть ли подозрения на шифровальщика (по поведенческим признакам на уровне агента).

Песочница получает не «голый» файл, а полноценную карточку с набором тегов. Это позволяет организовать эффективную маршрутизацию файла по цепочкам СЗИ без лишних этапов проверки и с максимальной скоростью обеспечения эффективной защиты.

В крупных инфраструктурах редко используется одна песочница. Могут применяться решения от разных вендоров: одни лучше детектируют угрозы для Windows, другие специализируются на Android или Linux, третьи используются для изоляции проверки APT. Система управления файлами в этом случае выступает в роли маршрутизатора.

Мы можем выстроить конвейер следующим образом:

1. Файл приходит в систему.
2. Определяется его тип (PE-файл, скрипт, документ Office) и категория содержимого (ПДн)
3. Запускается политика: «Все исполняемые файлы отправлять в Песочницу А, все документы Office — сначала в DLP, затем в Песочницу Б для глубокой эмуляции офисных приложений».
4. Результаты из разных СЗИ собираются обратно в оркестратор, коррелируются и выдается единый вердикт.

Именно роль центрального оркестратора выполняет система управления безопасностью файлов xFP от NGR Softlab. Она становится единой точкой контроля, через которую проходят все файлы независимо от их источника. Система берёт на себя рутинные, но критически важные задачи: дедуплицирует входящий поток по хешам, определяет реальный тип файла по сигнатурам, может самостоятельно выявлять вредоносные образцы по их характерным признакам с помощью YARA-правил, а при необходимости очищать содержимое от потенциально опасных элементов с помощью технологии CDR. На основе гибких правил и кастомных цепочек проверок xFP маршрутизирует объекты в нужные СЗИ — антивирусы, песочницы, DLP-системы — равномерно распределяя нагрузку между ними и не допуская возникновения узких мест. После завершения всех проверок система собирает результаты в едином окне, формирует консолидированные отчёты.

С технической стороны решение легко встраивается в существующую инфраструктуру благодаря поддержке протоколов ICAP, FTP, SFTP, S3, NFS/SMB и отправке логов по Syslog. При типовой инсталляции система способна обрабатывать до 200 000 файлов в сутки на обычных HDD, что делает её пригодной для компаний любого масштаба без необходимости покупки дорогостоящего оборудования.

Помимо чисто технических аспектов, создание «хаба» для файлов дает важные организационные преимущества. У многих клиентов сегодня нет единого окна для расследования инцидентов, связанных с файлами. Журналы почтового шлюза живут отдельно, отчеты песочницы — отдельно, а DLP-системы фиксируют факт отправки файла, но не видят, что с ним было дальше.

Централизованная система управления безопасностью файлов становится единым реестром. Она позволяет:

• Проследить полный жизненный цикл файла внутри периметра.
• Автоматически реагировать на угрозы: если спустя час после проверки песочница (получив обновленные сигнатуры) изменила вердикт с «чисто» на «заражено», оркестратор может найти все копии этого файла в почтовых ящиках или файловых хранилищах и поместить их в карантин.
• Формировать отчетность для регуляторов о том, как именно обрабатываются входящие данные.

Стоит отметить, что будущее песочниц действительно лежит в плоскости гибридных решений. Мы уже видим, как технологии EDR и Sandbox сближаются: поведенческий анализ на хосте дополняет эмуляцию в изолированной среде.

Но какой бы сложной ни стала песочница завтрашнего дня, ей всегда будет требоваться чистый, отфильтрованный и контекстно-обогащенный входной поток. И в этом смысле система управления файлами перестает быть просто «опцией» и становится обязательным элементом зрелой инфраструктуры информационной безопасности. Она не подменяет собой песочницу, а выводит ее работу на качественно новый уровень, позволяя командам ИБ заниматься реальными угрозами, а не разбором завалов из файлового «мусора».

Автор: Алексей Дашков, директор центра развития продуктов NGR Softlab
Источник: Журнал Information Security, 1/2026