Przyglądając się ewolucji kodów złośliwych można zaobserwować podobne zjawiska, jakie występują w naturze. Kluczową zasadą ewolucji, którą można tu zauważyć, jest ciągła adaptacja kodów złośliwych do środowiska. Nie jest to "wyścig zbrojeń" a raczej relacja drapieżca - ofiara, występująca pomiędzy kodami złośliwymi a środkami przeciwdziałania.

Jeżeli rozpatruje się świat komputerów jako środowisko, w którym egzystują kody złośliwe, to można zaobserwować jak zmiany w tym środowisku wymuszają procesy adaptacyjne w kodach złośliwych. Zarówno środowisko jak i same kody złośliwe są kierowane przez czynnik ludzki (napastnicy i specjaliści od ochrony) a nie losowe mutacje, ale proces ewolucyjny jest tu oczywisty. W miarę jak obrona staje coraz bardziej wymyślna, dostosują się do niej również kody złośliwe. Z kolei coraz bardziej maskowane kody złośliwe wymuszają dostosowanie środków ochrony do tego kierunku rozwoju ataków.

Można zaobserwować jak działania rozwojowe w zakresie ochrony wyzwalają procesy ewolucyjne i wynajdywanie środowiskowych nisz dla nowych kodów złośliwych. Jeżeli wszystkie formy ochronny są posobne, to są także przewidywalne i w rezultacie łatwe do obejścia. Stosowane powszechnie systemy operacyjne są jak klony - w przeważającej liczbie narażone na tego samego rodzaju ataki. Jednak chociaż cele są podobne, to ataki są bardzo urozmaicone. Mutacje kodów złośliwych liczone są w setkach tysięcy (według różnych źródeł od 300 do 500 tys.). Taka duża liczba różnych odmian, a tak niewielka liczba wariantów środków odpornościowych. Nic więc dziwnego, że liczba atakowanych codziennie systemów jest tak duża.

Ewolucja jest także użyteczna w spojrzeniu na darknety (ukryte sieci P2P), gdzie istnieje zależność pomiędzy P2P i siłami reprezentującymi szeroko pojęte prawa autorskie. W tym wypadku drapieżnikami są prawnicy dużych firm medialnych, a ofiarami indywidualni użytkownicy korzystający z technologii współdzielenia plików (lub odwrotnie - w zależności od punktu widzenia). Z biegiem czasu, wraz z powtarzalnym cyklem udoskonalania technologii wykrywaniu piractwa, sieci P2P ewoluowały w kierunku unikania wykrycia drogą ulepszonych technik maskowania.

Można zaobserwować, jak jedna scentralizowana i homogeniczna sieć, taka jak np. Napster, przerodziła się w co najmniej cztery generacje coraz skuteczniej ukrywających się technologii P2P, w reakcji na różnorodne techniki wykrywania stosowane przez prawników. Dzisiejsze technologie P2P są w istocie zdecentralizowane i wykorzystują w celu uniknięcia wykrycia takie techniki, jak szyfrowanie, zmiany portów, proxy czy zapory ogniowe. Każda próba ich zamknięcia prowadzi do pojawienie się nowej generacji P2P, która adaptuje się usuwając ujawnione słabe punkty.

Jak widać, biologia i ewolucja mogą dostarczyć nam użytecznej wiedzy również o kierunkach zmian systemów bezpieczeństwa IT.