ブラックリストが基本負け戦だと思うのは、運用側が永遠にメンテし続けることになるからなんだけど、結局このアプローチで成功というか、辛うじて運用できているのはウイルス対策関連だけですよね。つまり、あれだけ資金力があっても何とか運用できるというレベルにしかならないといいますか。
ホワイトリストには、「○○はOK、それ以外はNG」というふうに定義できる＝リストメンテの手間がかからないんじゃないかという期待があるわけですが、メンテし続けなければならない「ホワイトリスト」ってのは、シグネチャがホワイトなだけのブラックリストと言わざるを得ないので、期待されるホワイトリストとはちょいと違うっちゅーかねえ。
ブラックにしろホワイトにしろ、リストの量やメンテコストを極小化できないならば、リストを定義する際の基準とかシグネチャの考え方を変えるしかなさそうな気がするなー。