Antivirüs yetersizliği meselesini tartışmak, garip bir şekilde hâlâ provokasyon gibi karşılanıyor. Oysa güvenlik araştırmacıları bu konuyu yıllardır belgeli biçimde ele alıyor. Antivirüs yazılımı, kullanıcıların büyük bölümünün zihninde 'kurdum, korunduk' anlamına geliyor. Bu algı, gerçeklikten önemli ölçüde sapıyor. Antivirüs yazılımının temel çalışma mantığı imza tabanlı tespite dayanır: Bilinen zararlı yazılımların parmak izleri bir veritabanında tutulur ve her dosya bu veritabanıyla karşılaştırılır. Bu yaklaşımın yapısal sınırı açık: Daha önce görülmemiş zararlı yazılımlar, yani sıfırıncı gün tehditleri, bu yöntemi doğrudan atlatır. Saldırganlar mevcut zararlı yazılımları küçük değişikliklerle defalarca yeniden paketleyebilir; her varyant imza tabanına eklenene kadar tespit edilmeden çalışır. Antivirüs yetersizliğinin ikinci boyutu davranış tabanlı tespitin sınırlarında yatıyor. Modern antivirüs ürünlerinin önemli bir kısmı yalnızca imza tabanına güvenmez; davranış analizi de yapar. Ama bu analizin etkin olabilmesi için zararlı yazılımın çalışmaya başlamış olması gerekir. Kum havuzu (sandbox) ortamlarını tespit eden ve analiz ortamında pasif davranan gelişmiş zararlı yazılımlar bu mekanizmayı da aşabiliyor. Bir diğer gözden kaçan boyut: Antivirüs yazılımının kendisi büyük sistem ayrıcalıklarıyla çalışır ve bu durum onu yüksek değerli bir hedef hâline getirir. Güvenlik araştırmacılarının defalarca gösterdiği üzere, antivirüs motorlarındaki açıklar saldırganlara yüksek ayrıcalıklı kod çalıştırma imkânı tanıyabilir. Koruma aracı, saldırı vektörüne dönüşebilir. Katmanlı savunma bu nedenle bir seçenek değil, zorunluluk. Antivirüs yazılımı bu katmanlardan biri olabilir; ama ağ segmentasyonu, uygulama beyaz listeleme, ayrıcalık minimizasyonu, düzenli yama yönetimi ve kullanıcı eğitimi olmadan tek başına anlamlı bir güvence sağlamaz. Antivirüs kurulu ağlarda gerçekleşen başarılı saldırılar, antivirüs yetersizliğini teoriden pratiğe taşıyor. Bunu kabul etmeden savunma stratejisi kurulamaz.