Sandbox technológiák összehasonlítása
Az AMTSO (Anti-Malware Testing Standards Organization) 2025 márciusában publikált „Sandbox Evaluation Framework” című dokumentuma egy egységes értékelési rendszert mutat be a sandbox technológiák objektív, szempontalapú összehasonlítására. A jelentés kiindulópontja az a megfigyelés, hogy a malware-elemzésre és fenyegetések azonosítására szolgáló sandbox rendszerek különféle típusai – például virtuális gép-alapú, emulációs vagy valósidejű környezetek – nagyon eltérő képességekkel és célokkal rendelkeznek, és jelenleg hiányzik az ezek teljesítményét szabályozottan értékelő, iparági szinten elfogadott módszertan.
A dokumentum célja, hogy strukturált keretet biztosítson a sandbox rendszerek összevetéséhez hat kulcsfontosságú mutató (KPI) mentén: ezek az elemzési képesség, az anti-evasion technikák hatékonysága, a sebesség és méretezhetőség, a jelentéskészítés és threat intelligence integrációk, az automatizálhatóság és rendszerintegrációk, valamint a biztonság és karbantartási jellemzők. Az értékelés során nemcsak az elérhető funkciók meglétét vizsgálják, hanem azok minőségét és gyakorlati hatását is – például az IOC-k (indikátorok) mélységét, a viselkedési elemzés pontosságát vagy a sandboxok által felfedezett elrejtett (evasive) viselkedésmintázatokat.
A dokumentum külön hangsúlyt fektet arra, hogy a sandboxok különböző felhasználási szinteken is eltérő szerepet töltenek be: inline védelmi rendszerek (pl. e-mail gatewayek), dinamikus triage környezetek, threat intelligence rendszerek vagy akár mély, forenzikus szintű elemzések során más-más elvárások fogalmazódnak meg. Ezért az értékelési modellben külön súlyozási profilokat is javasolnak, amelyek az adott felhasználási kontextushoz igazítják a KPI-k jelentőségét.
A keretrendszer része egy pontozási algoritmus is, amely a funkcionális jellemzőket súlyozza és végül egy összehasonlítható eredménnyé alakítja át. A jelentés nemcsak elméleti irányelveket nyújt, hanem gyakorlati példákon keresztül is bemutatja, hogyan lehet egy sandbox megoldást végigvezetni az értékelési folyamaton. Fontos elvárás a transzparencia, az automatizált tesztelés támogatása, valamint az, hogy az eszköz képes legyen felismerni a tipikus sandbox-ellenes trükköket, például az időzített vagy csak fizikai hardveren aktiválódó kártékony viselkedést.
A dokumentum tehát nemcsak tesztelők, hanem gyártók és üzemeltetők számára is referenciaértékű lehet, hiszen olyan szempontrendszert biztosít, amely egyaránt figyelembe veszi a teljesítményt, a mélységet, a biztonságot és az operatív alkalmazhatóságot. Az AMTSO célja egy iparágfüggetlen, módszertanilag alátámasztott minőségi mérce kialakítása, amely elősegíti a sandbox technológiák valódi képességeinek megértését és összevetését a növekvő fenyegetések korában.
