去年被用來攻擊的漏洞中，高達7成為零日漏洞

Google麾下的資安業者Mandiant本周公布了2023年的漏洞分析報告，指出去年遭到利用的138個安全漏洞中，有97個屬於零日漏洞（Zero-day），41個為N日漏洞（N-day），儘管先前即曾預測駭客對零日漏洞的利用會愈來愈多，但現況比他們原本以為的更嚴重。

所謂的零日漏洞指的是尚未修補就被攻陷的安全漏洞，N日漏洞則是已公開且有修補程式之後再被攻陷的漏洞。

資安業者通常是以利用時間（Time-to-exploit，TTE）來定義漏洞自被修補（或未修補）至實際遭到攻擊的平均時間，Mandiant則發現，駭客利用漏洞的時間逐年縮短，例如2018至2019年的TTE為63天，2020到2021年是44天，2021到2022再減少至32天，然而，去年的TTE降幅是史上最大，平均只有5天。

其實最近這幾年遭到攻擊的零日漏洞數量都比N日多，但維持穩定比例，例如2020至2021年的比例為61:39，2021年至2022年為62:38，卻在去年脫序至70:30，Mandiant尚不確定這是一次性的，或為一個重要的轉折。

此外，對於那些N日漏洞遭到利用的時間點，有12%的漏洞是在修補程式現身的第一天就被利用，29%是在修補的一周內被利用，56%是在一個月內被利用。顯示漏洞最有可能遭到利用的時間點是在修補後的一個月內，與以往的統計一致。在41個N日漏洞中，有75%的攻擊程式是在漏洞尚未被利用前就發布，只有25%是在漏洞遭利用後才發布。

在去年被利用的138個漏洞中，分屬53家不同的業者，有8個源自Google，微軟與蘋果各占7個，第四名的Adobe也有6個。