Почему обнаружение опаздывает: dwell time и контейнеризация

Dwell time — это время, в течение которого злоумышленник или вредоносный код находится в системе незамеченным. Оно есть у любой защиты, которая работает по логике обнаружения: чтобы остановить угрозу, её сначала нужно узнать — по сигнатуре, по поведению, по аномалии. Пока модель не распознала угрозу как вредоносную, файл считается допустимым и выполняется.

Для известных угроз это работает быстро. Проблема — в новом и замаскированном. По отраслевым отчётам о расследовании инцидентов медиана скрытного присутствия (dwell time) выросла до 14 дней (Mandiant M-Trends 2026), а полный жизненный цикл взлома — от проникновения до выявления и сдерживания — в среднем занимает 241 день при среднем ущербе $4,44 млн за инцидент (IBM Cost of a Data Breach, 2025). И это при том, что сами атаки ускорились радикально: по тем же отчётам передача доступа между группировками сжалась с восьми часов в 2022-м до 22 секунд. Получается структурный разрыв: защита догоняет, а не опережает.

Машинное обучение и поведенческий анализ — серьёзный шаг вперёд от сигнатур, но они не меняют саму природу обнаружения: чтобы остановить, надо сначала распознать. Четыре места, где это ломается:

• Zero-day. По-настоящему новый образец, которого ещё нет ни в одной базе и чьё поведение не похоже на известное, может не вызвать тревоги.
• Атаки «за счёт системы» (living-off-the-land). Злоумышленник не приносит новый файл, а использует уже доверенные системные инструменты — и для детектора это выглядит как обычная работа. По отраслевым данным, всё большая доля атак вообще не содержит вредоносного файла.
• Маскировка и обход. Существуют отработанные техники, которые специально обходят слой, за которым наблюдает EDR (исполнение в памяти, подмена доверенных процессов).
• Человеческий фактор. Даже когда тревога сработала, её нужно вовремя увидеть и разобрать — а в независимых оценках бывало, что сигнал был, но на него никто не отреагировал.

EDR нужен — но строить на одном обнаружении всю оборону нельзя: ставка на единственный детектор оставляет ровно те четыре дыры выше. Это признают и независимые методички по защите, рекомендуя многослойность.

Контейнеризация переворачивает логику. Вместо «допускай, пока не распознал плохое» — «изолируй всё, что не доказано хорошим» (принцип Default Deny). Каждый запускаемый процесс попадает в одну из трёх корзин:

• известно-хороший → работает свободно;
• известно-плохой → блокируется;
• неизвестный → автоматически запускается в изолированном контейнере на уровне ядра.

В контейнере программа исполняется как на обычной машине — пользователь ничего не замечает, — но её доступ к файловой системе, реестру и системным вызовам виртуализирован: она думает, что меняет систему, а на деле все изменения уходят в изолированную область и не трогают реальную машину. Параллельно выносится вердикт. Хороший файл выпускается из контейнера; плохой удаляется вместе со всеми своими «изменениями». Ключевая мысль: чтобы защитить, не нужно доказывать, что файл вредоносный. Достаточно того, что он не доказан безопасным. Поэтому даже неизвестный шифровальщик, попав на машину, оказывается в изоляции и не добирается до реальных данных — dwell time стремится к нулю по дизайну. Именно так устроена платформа Xcitium (технология ZeroDwell), которую мы внедряем в Азербайджане как эксклюзивный дистрибьютор: вендор настолько уверен в модели, что подкрепляет её финансовой гарантией — 0% успешных проникновений при корректной настройке. Как это покупается и сопровождается — на странице защиты конечных точек на Xcitium.

Аналогия: обычный антивирус — охранник со стопкой фотороботов, сверяющий входящих с известными преступниками; новый или переодетый пройдёт. Контейнеризация — это когда любой незнакомец автоматически попадает в стеклянную комнату-«аквариум»: ходит, «работает», уверен, что внутри здания, но стены вокруг виртуальные, до ценностей не дотянется.

По этим пунктам сравнивайте два подхода, когда выбираете защиту:

Параметр	Изоляция-первой (контейнеризация)	Обнаружение-первого (EDR/антивирус)
Базовая логика	Неизвестное изолируется по умолчанию	Неизвестное допускается, пока не распознано плохим
Новая угроза (zero-day)	Нейтрализована сразу — вердикт не нужен для защиты	Зависит от качества анализа; можно пропустить
Окно ущерба (dwell time)	Стремится к нулю	Существует структурно (дни, не минуты)
Если детектор ошибся	Файл всё равно был изолирован	Угроза работает в системе
Нагрузка на администратора	Изолированное ≠ инцидент → меньше тревог	Поток алертов, нужен аналитик на разбор
Слабое место	Доверенные инструменты и скрипты	Пропуск нового и маскировки

У изоляции-первой та же логика, что и у детекции, оставляет свои дыры — и их надо назвать. Контейнеризация закрывает неизвестные исполняемые файлы, но её обходят атаки «за счёт системы» (через уже доверенные инструменты и скрипты) и работа в памяти, где нового файла на диске нет. Плюс редкий или самописный софт без вердикта первое время работает в контейнере — это требует настройки правил, иначе пользователь почувствует трение.

Поэтому правильный ответ — не «контейнеризация вместо EDR», а слои: изоляция на устройствах закрывает неизвестные файлы и обнуляет dwell time для них, а мониторинг сверху (EDR + SOC) ловит то, что работает через доверенное. Каждый слой закрывает слабое место другого. Кто продаёт одну технологию как ответ на всё — лукавит.

У силы есть цена. Защита конечных точек работает на уровне ядра ОС — отсюда её возможности, но отсюда же системный риск. В июле 2024 дефектный автоматический апдейт CrowdStrike одновременно положил миллионы Windows-машин по всему миру. Это была не атака, а ошибка контроля качества, но урок общий: чем глубже агент сидит в системе, тем серьёзнее последствия его сбоя. Практический вывод для бизнеса — не «не ставить защиту», а держать проверенное резервное копирование и план восстановления как страховку на случай отказа любого звена. Это касается любого агента в ядре, включая решение, которое внедряем мы, — поэтому проверенный бэкап мы считаем обязательным слоем, а не опцией, и говорим об этом прямо.

Для организации без штатных аналитиков разница принципиальна. Обнаружение-первого генерирует поток тревог, которые кто-то должен разбирать — а на разбор одного ложного срабатывания уходят минуты квалифицированного времени, которого нет. Изоляция-первой снимает значительную часть этой нагрузки: то, что попало в контейнер, не инцидент, и тревог меньше. В связке с SOC как услугой это закрывает вопрос «а кто будет реагировать»: большинство угроз гасится автоматически, остальное берёт на себя дежурная команда. Вам не нужно нанимать собственный отдел безопасности, чтобы получить защиту корпоративного уровня.

• Что такое dwell time простыми словами? Это время, в течение которого угроза находится в системе незамеченной — от заражения до обнаружения. У защиты, основанной на обнаружении, оно по природе больше нуля; по отраслевым отчётам — обычно дни.
• Почему EDR может пропустить угрозу? Потому что должен сначала её распознать. По-настоящему новый образец (zero-day), атака через доверенные системные инструменты или исполнение в памяти могут не вызвать тревоги.
• Что такое контейнеризация (изоляция-первой)? Подход, при котором любой файл, не доказанный безопасным, автоматически запускается в изолированном контейнере и не может навредить системе, пока ему не присвоен вердикт. Окно ущерба при этом стремится к нулю.
• Контейнеризация заменяет антивирус и EDR? Нет — это слой поверх. Она закрывает неизвестные файлы, но не атаки через доверенные инструменты; поэтому надёжная защита — это связка контейнеризации и мониторинга.
• Это подходит компании без отдела безопасности? Да, и особенно ей: изоляция гасит большинство угроз без разбора тревог, а реагирование можно взять как услугу. Подробнее — защита конечных точек.
• Защитит ли это от шифровальщика, которого ещё нет в базах? Да — даже неизвестный шифровальщик запускается в изоляции и не доберётся до реальных файлов. Но проверенный бэкап всё равно нужен как последний рубеж.
• Если контейнеризация так хороша, почему её нет в Gartner Magic Quadrant? Категории Gartner построены вокруг обнаружения (AV/EDR/XDR); подход, который убирает саму зависимость от обнаружения, в готовую категорию пока не вписан — она появляется после того, как технология себя докажет. Платформа Xcitium на этом подходе при корректной настройке даёт ноль проникновений, подкреплённых финансовой гарантией вендора.