操作系统、应用程序或设备的某个版本从发布的那一刻起就存在零日漏洞，但软件供应商或硬件制造商并不知道。相关漏洞可能会隐藏数天、数月或数年，直到有人发现为止。

理想的情况下，安全研究人员或软件开发人员能在威胁参与者之前发现漏洞。然而，有时黑客会抢先一步发现漏洞。

无论是谁先发现，很快这个漏洞就会变得众所周知。供应商和安全专业人士通常会告知客户，以便其采取预防措施。黑客之间可能会互相传播威胁，研究人员可能会通过观察网络罪犯的活动来了解威胁。一些供应商可能会在开发软件更新或其他修复程序之前对漏洞保密，但这可能是一场赌博 – 如果黑客在供应商修复之前发现漏洞，组织可能会措手不及。

发现任何的新零日漏洞都将引发竞赛，其中一方是致力于修复漏洞的安全专业人士，另一方则是开发利用漏洞入侵系统的零日漏洞的黑客。一旦黑客成功开发出可用的零日漏洞，他们就会加以利用来发起网络攻击。

黑客开发漏洞的速度通常会比安全团队开发补丁的速度更快。据一项估计（ibm.com 外部链接）显示，零日攻击通常会在漏洞披露后的 14 天内出现。但是，一旦开始零日攻击，补丁通常会在短短几天内紧随其后。这是因为供应商可以利用攻击中的信息来明确他们需要修复的缺陷。因此，虽然零日漏洞可能很危险，但黑客通常无法长期利用。

零日攻击是最难应对的网络威胁之一。黑客可以在目标发现零日漏洞之前利用这些漏洞，让威胁参与者能够在不被察觉的情况下潜入网络。

即使漏洞已众所周知，软件提供商也可能需要一段时间才能发布补丁，在此期间，组织依然可能面临风险。

近年来，黑客对零日漏洞的利用愈发频繁。2022 年的一份 Mandiant 报告发现，仅在 2021 年，遭到利用的零日漏洞就比 2018-2020 年的总和还要多（ibm.com 外部链接）。

零日攻击的增加可能与公司网络的复杂程度增加有关。如今，组织依赖于云和本地部署应用程序的组合、公司拥有和员工拥有的设备以及物联网 (IoT) 和运营技术 (OT) 设备。所有这些都扩大了组织的攻击面，零日漏洞可能会潜伏在其中任何地方。

由于零日漏洞为黑客提供了宝贵的攻击机会，现在，网络罪犯会在黑市上交易零日漏洞和零日漏洞，以换取丰厚的报酬。例如，在 2020 年，黑客以高达 500,000 美元的价格（ibm.com 外部链接）出售 Zoom 零日漏洞。

众所周知，国家/地区级的参与者也会寻找零日漏洞。许多参与者选择不透露他们发现的零日漏洞，而是倾向于制作自己的秘密零日漏洞来对抗对手。很多供应商和安全研究人员都在批判这种做法，认为这会让不知情的组织面临风险。

安全团队在面对零日漏洞时常常处于劣势。由于这些缺陷未知且未修补，组织无法在网络安全风险管理或漏洞缓解工作中加以考虑。

然而，公司可以采取一些措施来发现更多漏洞并减轻零日攻击的影响。

补丁管理：供应商得知零日漏洞后立即急于发布安全补丁，但许多组织未能及时应用这些补丁。正式的补丁管理计划可以帮助安全团队掌握这些重要补丁。

漏洞管理：深入的漏洞评估和渗透测试可以帮助公司先黑客一步发现其系统中的零日漏洞。

攻击面管理 (ASM)：ASM 工具可支持安全团队识别其网络中的所有资产并检查当中是否存在漏洞。ASM 工具从黑客的角度评估网络，重点关注威胁参与者如何利用资产来获取访问权限。由于 ASM 工具可帮助组织通过攻击者的眼睛查看其网络，因此这些工具也可以帮助发现零日漏洞。

威胁情报订阅源：安全研究人员通常是最早发现零日漏洞的人。及时了解外部威胁情报的组织可能会更早得知新的零日漏洞。

基于异常的检测方法：零日恶意软件可以逃避基于签名的检测方法，但使用机器学习实时发现可疑活动的工具通常都可以捕获零日攻击。常见的基于异常的检测解决方案包括用户和实体行为分析 (UEBA)、扩展检测和响应 (XDR) 平台、端点检测和响应 (EDR) 工具以及一些入侵检测和入侵防御系统。

零信任架构：如果黑客利用零日漏洞入侵网络，零信任架构可以限制损害。零信任通过持续身份验证和最低权限访问来防止横向移动，并阻止恶意行为者访问敏感资源。