Bei der Sandbox-Analyse wird eine verdächtige Datei in einer isolierten virtuellen Umgebung ausgeführt und ihr Verhalten beobachtet. Die Sandbox protokolliert Dateisystem-Änderungen, Netzwerkverbindungen, Registry-Zugriffe und Prozessstarts. Dadurch lassen sich auch bisher unbekannte Schadsoftware-Varianten erkennen, die signaturbasierte Scanner übersehen. Du setzt Sandbox-Analysen typischerweise im E-Mail-Gateway oder im SOC ein. Im ISMS gehört die Sandbox-Analyse zu den Maßnahmen für Malware-Schutz und Threat Intelligence. Beachte, dass fortgeschrittene Malware Sandbox-Umgebungen erkennen und ihr Verhalten anpassen kann.