Malware-ul tradițional include boots, viermi, troieni, viruși. În aceste cazuri, caracterisiticile atacului permit identificarea sa și apărarea organizației.

Problemele se complică cînd ne confruntăm cu ceea ce industria și mediul academic au definit ca fiind „advanced malware„ sau altfel spus atacuri cu o țintă bine definită. În aceste cazuri antivirusul nu mai este suficient fiind necesară adăugarea unui nivel suplimentar de protecție: analiza de tip „sandbox„.

Pe scurt, „sandbox„ este un echipament hardware dedicat/appliance sau o soluție software folosită la testarea unui fișier într-un mediu virtual. Această analiză ar trebuie să poată fi realizată atît static cît și dinamic.

Analiza statică poate presupune verificarea semnăturii și a headerului fișierului și, suplimentar, dezasamblarea malware-ului și parcurgerea secvențială a acestuia cu identificarea porțiunilor executabile. Adică analiza fișierului fără execuție.

Analiza dinamică (aceasta este denumită de fapt  sandboxing pentru că se realizează prin intermediul unui hypervisor) presupune doar rularea malware și monitorizarea comportamentului său.

Imaginea anterioară caută să arate ce interesează în cazul unei implementări:

• să fie identificate fișierele descărcate în rețea
• fișierele să poată fi analizate
• să se permită blocarea aceluiași fișier în viitor, dacă a fost identificat ca fiind malware
• să se poată identifica stațiile afectate (cele care ar executa malware) și să le pună în carantină pînă este eliminat fișierul.

Din punctul de vedere al performanțelor echipamentului folosit interesează în principal două aspecte: numărul de obiecte analizate/zi și metodele de analiză. Intresează bineînțeles și tipul fișierelor analizate: PE, Adobe, MS Office, arhive, Java, Android.

În funcție de modul în care se dorește instalarea în rețeaua unei organizații, poate interesa și gradul de integrare al „sandbox„ cu alte echipamente.