Saboteur

А почему опасность заражения становится выше?

Пользователи ходят без админ-прав?
Антивирус какой-нибудь стоит, который мелочи будет ловить запуск вредоноса?

Какие еще угрозы?
Если на терминальном сервере не хранить документы, диски на буквы не мапить, то в крайнем случае профайл пользователя почистил, все, пусть заново заходит.

Защита от дурака нужна:
1. во всех процессах, где вероятность человеческой ошибки высока, а цена внедрения защиты от дурака дешевле собственно ошибки
2. во всех процессах, где цена человеческой ошибки слишком велика.

Не скачивайте и не запускайте ни одной программы с левых сайтов, из левых писем, и от друзей.
Вообще старайтесь не лазить по левым сайтам, особенно если они предлагаю чего-то запустить.

Если нужен софт:
Для бесплатного софта, не поленитесь лезть не в первую ссылку гугла, а уточнить что это официальный сайт этого софта, и что софт не содержит всяких приветов от mail.ru и других подобных инсталляторов.
Для ломанного софта - пользуйтесь проверенными торрентами, где требуется регистрация и конкретный торрент скачало и опробовало десятки человек.

Этих нехитрых правил достаточно, чтобы на 99% быть уверенным в надежности защиты, даже если у вас вообще не стоит никакой антивирус.

Уязвимость в ОС и используемых программах конечно возможна, но в принципе атака на вас маловероятна. Если очень нужно проверить какой-то софт - виртуалбокс, сделать бэкап настроенной виртуалки, если нужно откатить, и запускайте проверяйте там.

Для начала, адвоката нанять из расчета, что это будет дешевле, чем 5к баксов.

Никак.
В корпоративных антивирусах кроме файлового антивируса есть модули для защиты от различных уязвимостей, и к этому может идти централизованный менеджер, на котором можно видеть статистику. Следовательно вы можете заметить, что на компы что-то начала лезть какая-то зараза, и попробовать вычислить что это кто-то пришел и распространяет.

С другой стороны подобные проблемы обычно вызывают компьютерные черви, то есть вирусы и malware, которое пытается использовать уязвимость в ОС. Последняя вспышка такого я припомню в районе Win XP service pack 2, с тех пор такие способы уже маловероятны и гораздо чаще встречается социальная уязвимость в виде скачивания и запуска непонятных программ со словами "это не я!"

Разовая передача - winrar с паролем, криптованный диск (truecrypt, или аналог), а сам пароль отдельно.

Регулярная - поднять шифрованный VPN туннель и слать файлы через него.

письма - шифрование gpg, но лучше vpn.

Бинарные данные - это все, что не plain text (то есть обычный текст).
Картинки, видео, архивы, программы - это все бинарные данные.
Суть бинарных данных в том, что их нужно смотреть специальными программами, которая понимает этот формат. Поэтому, например, вордом нельзя открыть mp3 файл - он знает формат других файлов, а не звуков.

Пишут на чем угодно. Смотря куда и каким образом внедряться.
сейчас популярны c, c++, .net, js.

Чтобы писать вирус, нужно знать не столько язык, сколько архитектуру и принципы работы операционки и ПО, в которое собираетесь внедряться.

А зачем вы даете root права пользователям? Что конкретно они должны делать?

Через sudoers можно легко настроить, чтобы пользователи могли выполнять через sudo только определенные команды.
Если им нужно дать возможность ребутить какой-то сервис, пишете скрипт, ставите на него права rx и даете в sudoers выполнение только этого скрипта.
Если нужен мониторинг, то ставите мониторинг, а не даете пользователям root чтобы они вручную что-либо ковыряли.
Можете указать цель задачи на более высоком уровне абстракции, поскольку неудобство технического решения очень часто связано с неправильным подходом к решению задачи в целом.

Нельзя количество дыр и багов сравнивать с уязвимостью, так как и дыры бывают разные и баги могут не относиться к уязвимостям.

Сам Firefox, как, кстати, и другие браузеры, не так уж уязвим.
Чаще уязвимы плагины и сопутствующие технологии на базе открытых и закрытых библиотек (flash player, ssl, протоколы шифрования).

Основная уязвимость - неграмотный пользователь.

Если это касается настольного компьютера, то простой способ поставитьк какой-нить TrueCrypt, завести шифрованный раздел и все файлы с почтовыми ящиками держать в нем. Уходишь - выключил комп, и никто не сможет без пароля залезть в почтовый ящик на криптованном диске.

Если ноут - такое решение тоже может подойти, но нужно размонтировать диск при засыпании, или делать это вручную.

Самое простое - напишите политику информационной безопасности.

Правила использования паролей, политику паролей (длина, сложность).
Старайтесь продумать безопасность так, чтобы она была максимально комфортна для пользователей. Из-за нагромождения, на нее могут забить.
И да - дружите с админом.

Начните с поиска компании, которая сделает вам видеонаблюдение под ключ.
Просто ваш вопрос сформулирован на таком плохом уровне, что лучше обратитесь к специалистам, которые ВСЕ сделают сами.