Главная задача такой технологии заключается в обнаружении угроз, которые могут быть замаскированы под легитимные файлы или программы. Сетевая песочница позволяет воспроизводить действия различных вредоносных объектов в подготовленной для этого среде, поэтому она особенно эффективна против неизвестного деструктивного ПО, целевых атак и сложных угроз, использующих методы обхода стандартных механизмов обнаружения.
Работа сетевой песочницы построена на контролируемой изоляции ресурсов системы. Сначала подозрительные файлы или программы помещаются в виртуальное окружение: код, выполняемый в песочнице, не имеет прямого доступа к дискам, памяти, системным реестрам или сети основной инфраструктуры. После этого выполняется запуск проверяемого объекта. Песочница анализирует собранные данные и делает вывод об уровне безопасности файлов. При обнаружении подозрительной или вредоносной активности применяются меры для блокировки угрозы.
Сетевая песочница состоит из нескольких ключевых технологических компонентов, которые работают совместно для обнаружения и анализа потенциальных угроз. Среди главных составляющих — изолированный контур, модули мониторинга, аппаратная визуализация и инструменты для оценки рисков. При этом при использовании сетевых песочниц необязательно предоставлять доступ во внешнюю или внутреннюю сеть для проверки поведения вредоносных программ.
Некоторые функции можно эмулировать, например, подключение к Интернету или подсоединение внешних накопителей. Для повышения эффективности многие платформы используют методы машинного обучения и облачные базы данных с информацией о вредоносных объектах, что помогает быстрее выявлять новые варианты атак.
Одна из важных функций сетевой песочницы заключается в обнаружении вредоносного ПО, для которого еще не существует решений в антивирусных базах. Поэтому технология часто используется для защиты особо значимых систем от кибершпионажа и других целенаправленных атак. Вместе с этим сетевая песочница позволяет анализировать подозрительные вложения электронной почты, проверять загружаемые файлы, выявлять попытки эксплуатации уязвимостей и отслеживать сетевые коммуникации вредоносных программ.