Песочницу часто воспринимают как "запустили – посмотрели – решили". На практике все сложнее: поток объектов потенциально бесконечный, часть атак в ней не раскрывается, обходы стали нормой, а выбор между быстрым и глубоким анализом – это всегда компромисс. Где у динамического анализа реальные границы и какое место ему отвести рядом с EDR и поведенческой аналитикой – об этом мы и спросили экспертов. Есть вполне логическое объяснение ограничения размера объектов, отправляемых в песочницу. Атакующие редко используют тяжелые файлы для первичного проникновения (они шумные)...