Un ejemplo sería un ataque de desbordamiento de búfer. Estos a menudo están dirigidos específicamente contra versiones específicas de software de aplicación. Si tuvieras un exploit que funcionara contra IIS 7.0, ese mismo exploit no funcionaría también en Apache.
Un ejemplo contrario sería un ataque de secuencias de comandos entre sitios, que solo ataca el navegador del cliente y es contrario a las aplicaciones internas.
Con un ecosistema homogéneo, un virus que puede infectar un sistema vulnerable puede propagarse fácilmente para infectar a todos los sistemas idénticos, o un exploit que puede ejecutarse en una máquina puede ejecutarse en muchos.
La diversidad proporciona redundancias, y pueden ayudar a limitar su daño. Si tiene dos marcas de gasolineras en su tienda y un virus comienza a robar tarjetas de crédito, es posible que solo robe la mitad de las tarjetas de sus clientes.
El inconveniente de la diversidad es que presenta dos superficies de ataque para que un atacante elija. El ejemplo anterior de la bomba de gas es uno de esos escenarios. Como atacante, puedo intentar atacar el más sencillo de los dos softwares de bombeo, y si incumplo cualquiera de los dos, puedo robar la mitad de sus tarjetas de crédito. Como ladrón, robar la mitad de tu oro sigue siendo mucho oro, y vale la pena.
EDIT
La diversidad es ahora menos valiosa de lo que sugiere este documento. Como las prácticas de seguridad han mejorado dramáticamente desde 2003, las amenazas también se han vuelto cada vez más sofisticadas. El documento se ocupa solo de los vectores de ataque "tontos", como los virus, que fueron una ruina hace una década, pero gracias a la mejora de la seguridad ahora son mucho menos exitosos de lo que eran entonces.
Las amenazas modernas están dirigidas y adaptadas al sistema víctima. Identifican el software a través de métodos de toma de huellas dactilares y luego crean un ataque diseñado para derrotarlo. Las herramientas como autopwn significan que un entorno diverso simplemente brinda oportunidades adicionales para que un sistema sea vulnerable.
La diversidad solo aprovecha la seguridad a través de la oscuridad. Un sistema diverso podría considerarse seguro solo porque existen tan pocos que un atacante nunca se molestó en explorarlo para encontrar sus debilidades, o que el objetivo es de tan bajo valor que no había ninguna razón para atacarlo. Los avances en la tecnología de botnets significan que incluso los objetivos de valor ultra bajo, como refrigeradores o termostatos, pueden proporcionar valor a un atacante a través de actividades de spam, o tal vez como un objetivo para el ransomware, por lo que los atacantes están estudiando cada vez más las vulnerabilidades. Eso significa que el servicio en la nube de un termostato en su red doméstica puede terminar siendo el punto de entrada para que un atacante se ponga detrás de su cortafuegos, donde puede atacar su PC de la banca a su gusto. En este caso, la diversidad sin querer habilita al atacante.
Hasta hace poco, pensaba que la diversidad era una buena estrategia. Después de ver a los atacantes ejercer su oficio, ahora estoy convencido de que es casi irrelevante, y que las prácticas de seguridad efectivas deben seguir siendo el enfoque principal de los equipos de seguridad. Simplificar los sistemas, reducir las superficies de ataque, las revisiones de aplicaciones y los análisis de seguridad, la separación de tareas, el aislamiento de credenciales, la administración de claves y certificados y las políticas de seguridad claras, son prácticas efectivas.