Als erste Schwachstelle nennt ANY.RUN den ständigen Werkzeugwechsel. Tier-1-Analysten verlieren demnach Zeit, wenn sie zwischen verschiedenen Tools, Oberflächen und Abläufen wechseln müssen, um verdächtige Aktivität über mehrere Betriebssysteme hinweg zu untersuchen. Aus einer einzelnen Warnung werde so schnell ein zersplitterter Arbeitsablauf, der den Fokus unterbricht und das Risiko erhöht, Zusammenhänge zu übersehen – besonders, wenn ein Vorfall mehr als eine Umgebung betrifft und nicht in einen Windows-zentrierten Prozess passt.

Die vorgeschlagene Lösung ist ein einheitlicher Arbeitsablauf für die Analyse verdächtiger Dateien und URLs über Windows, macOS, Linux und Android hinweg. Das werde umso wichtiger, je stärker macOS in Unternehmensumgebungen vertreten ist und Angreifer über klassische Windows-Kampagnen hinausgehen. Mit der ANY.RUN-Sandbox lasse sich Aktivität auf diesen Plattformen an einem Ort untersuchen. Als Beispiel führt der Anbieter eine Analyse des Miolab Stealer in einer macOS-Umgebung an: Die Schadsoftware imitiere eine legitime macOS-Authentifizierungsabfrage, stehle das Passwort des Nutzers, sammle Dateien aus zentralen Verzeichnissen und sende die Daten an einen entfernten Server. In der Sandbox werde dieses Verhalten früh sichtbar.

Der zweite Punkt betrifft die Erstbewertung selbst. Tier-1 verbringe zu viel Zeit mit Warnungen, statischen Indikatoren und verstreutem Kontext, bevor klar werde, ob eine Datei oder URL tatsächlich bösartig ist. Statische Daten zeigten zwar, dass etwas verdächtig wirkt, aber nicht, was ein Objekt bei der Ausführung tatsächlich tut. Viele moderne Bedrohungen offenbarten ihr volles Verhalten zudem erst nach Nutzeraktionen wie dem Öffnen einer Datei oder dem Durchklicken einer Seite.

ANY.RUN empfiehlt deshalb einen Wechsel von der warnungsorientierten zur verhaltensorientierten Triage, unterstützt durch Automatisierung und Interaktivität. Statt an QR-Codes, CAPTCHA-Prüfungen und anderen Verzögerungsmechanismen Zeit zu verlieren, könne der Arbeitsablauf eigenständig fortschreiten, bis relevantes Verhalten auftritt. Nach Angaben des Anbieters wird in 90 Prozent der Fälle das zur Bestätigung einer Bedrohung nötige Verhalten innerhalb der ersten 60 Sekunden nach der Detonation sichtbar.

Als dritte Lücke beschreibt ANY.RUN unvollständige Eskalationen: Zu viele Untersuchungen erreichten die nächste Ebene ohne ausreichend klare Belege, sodass Tier 2 und Incident-Response-Teams den Kontext neu aufbauen müssen. Die Sandbox erzeuge dagegen automatisch einen strukturierten Analysebericht mit Verhaltensbelegen, Prozessaktivität, Netzwerkdetails, Screenshots und weiterem Kontext aus der Detonation. So erhalte Tier 2 von Anfang an ein klareres Bild der Angriffskette, was Doppelarbeit reduziere und den Übergang von der Triage zur Reaktion beschleunige.