Zdaniem Trend Micro konwencjonalne zabezpieczenia przed szkodliwym oprogramowaniem wymagają gromadzenia jego próbek, opracowywania „wzorców”, a następnie szybkiego udostępnienia użytkownikom „plików z wzorcami”. Ponieważ rodzaje szkodliwych programów oraz ich liczba są coraz większe, samoreplikujący się kod w wielu przypadkach ulega także samomodyfikacji w takim stopniu, że nie może zostać zdefiniowany przez ciąg znajdujący się w próbce. Większość niereplikującego się kodu jest usuwana z obiegu w ciągu kilku minut (wkrótce będzie to kilka sekund). Według Davida Perry’ego, dyrektora ds. szkoleń w firmie Trend Micro „te fakty stanowią jasny dowód podjęcia środków zaradczych przeciwko branży rozwiązań antywirusowych. Widać stąd, że cyberprzestępcy działają obecnie we własnej, świetnie prosperującej branży”.

Jak zauważa Trend Micro, ponieważ większość zagrożeń internetowych to jednak ataki mieszane i wprawdzie można gromadzić pojedyncze próbki szkodliwych programów, to obecnie o wiele trudniej jest wykryć całe rozwiązanie stanowiące zagrożenie w sieci. Ponadto ogromna (i cały czas rosnąca) liczba wariantów szkodliwego oprogramowania wykorzystuje różne metody przesyłania informacji (np. spam, komunikatory i serwisy internetowe), co sprawia, że standardowy proces gromadzenia próbek, tworzenia wzorców oraz ich wdrażania jest niewystarczający.

Problemy związane z wdrażaniem zabezpieczeń

W opinii ekspertów branża zabezpieczeń z początku reagowała na rosnącą liczbę szkodliwego oprogramowania poprzez częstsze aktualizacje programów zabezpieczających. Niektórzy producenci przeszli z aktualizacji cotygodniowych na codzienne lub nawet na udostępniane nowych plików z wzorcami co pół godziny. Ilość aktualizacji wpłynęła w znacznym stopniu na zasoby systemowe i sieciowe wymagane do zarządzania pobieraniem tych plików, co w wielu przypadkach prowadziło do powstawania problemów z wydajnością oraz było źródłem dużych kosztów.

Według Trend Micro wystarczy wyobrazić sobie na przykład przepustowość wymaganą do pobierania częstych aktualizacji na komputery użytkowników w przedsiębiorstwie zatrudniającym 250 000 pracowników na całym świecie. Wdrożenie jednej aktualizacji pliku z wzorcem w całym przedsiębiorstwie wymaga co najmniej pięciu godzin, a niektóre firmy otrzymują aktualizacje nawet osiem razy dziennie w celu zapewniania najbardziej aktualnej ochrony przed zagrożeniami internetowymi.

Ponadto, jak zauważają eksperci, wiele dużych firm testuje pliki z wzorcami w laboratorium lub w kontrolowanym środowisku przed udostępnieniem ich w całej sieci. Ponieważ aktualizacji jest coraz więcej, administratorzy sieci poświęcają więcej czasu na zarządzanie nimi. Dodatkowo pracownicy zdalni lub mobilni są szczególnie narażeni na ataki, gdyż mogą nie otrzymywać plików z wzorcami przez kilka godzin lub dni, w zależności od tego, jak długo nie są zalogowani do sieci firmy. Oczywiście ciągłe wprowadzanie tak wielu aktualizacji plików z wzorcami nie może trwać długo.