1.Unterschiedliche Methoden der Erkennung: Das System sollte in der Lage sein, sowohl über Emulation als auch Virtualisierung unbekannte Bedrohungen aufzuspüren und geeignete Gegenmaßnahmen einzuleiten.
2.Flexible und realistische virtuelle Umgebungen schaffen: Sandboxing-Lösungen zur Analyse von Malware müssen die Produktivumgebung sehr realitätsnah darstellen und Schadsoftware auffinden, die spezifische Konfigurationen ausnützt.
3.Verhaltensbasierte Klassifizierung und maßgeschneiderte Risikobewertung: Eine Sandboxing-Lösung soll Schadsoftware nicht nur erkennen, sondern auch den Hintergrund der Bedrohung aufklären. Dazu ist es notwendig, verhaltensbasierte Muster zu verwenden anstatt code-basierter Signaturen, um Vorfälle auf ihr Schadenspotenzial hin zu bewerten.
4.Selektive Analyse statt Überprüfung aller Daten: Blind alle Daten zu scannen, die in ein Firmennetzwerk gelangen, bringt oft einen erheblichen Performanceverlust mit sich. Um dies zu vermeiden, sollten das Anti-Malware-Tool und das Analysetool des Netzwerks, das nach verdächtigen und bisher nicht identifizierten Verhaltensweisen sucht, unbekannte Informationen zu einer Bedrohung gezielt an die Sandbox weiterleiten. Diese sollte dann in der Lage sein, Bedrohungen zu beurteilen und zu priorisieren damit das Security-Team die Art der Bedrohung schnell verstehen und beseitigen kann.
5.Erkenntnisse global zugänglich machen: Alle Erkenntnisse einer Sandboxing-Lösung sollten einem weltweiten Netzwerk verfügbar gemacht werden, um künftigen Angriffen vorbeugen zu können. Damit lässt sich beispielsweise eine Quelle polymorpher Attacken unschädlich machen, der Weiterentwicklung bekannter Schadsoftware.