弱點的生命周期

近年來造成重大災害的電腦蠕蟲，如Code Red、Nimda、Blaster及Sasser等蠕蟲，都不需要使用者的介入（執行程式或開啟郵件附加檔），就會自行攻擊系統漏洞，加上大部分使用者沒有即時修補漏洞，讓災情持續擴大。

弱點的生命周期可以分成4個時期：
1.弱點潛伏期：一些公信的資訊安全單位，如CERT/CC、X-Force等，為了促進系統與網路的安全，會分析與比對通報的資安事件，找出駭客的攻擊方式與系統漏洞，並將漏洞通報給系統廠商進行修補工作。這個時期的弱點鮮為人知，只有極少數的駭客知道如何進行攻擊。

2.弱點公布期：廠商獲知漏洞後，會進行產品修補並發布更新程式。一旦弱點公布後，許多駭客就會開始研發攻擊程式。在此時期，攻擊弱點仍然不容易，但被攻擊的機率卻大大的提高。

3.攻擊程式發布期：攻擊程式會被公布在一些駭客社群網站，此時駭客的攻擊難度大幅降低，只要知道門路，就能夠下載到攻擊程式。在此時期，只要會下指令，甚至用滑鼠點選，就可以進行入侵。

4.蠕蟲流竄期︰攻擊程式被研發出來後，將攻擊程式包裝成能夠自我複製的蠕蟲也就不是難事。一般而言，防毒廠商必須在這個時期才能找出蠕蟲特徵來製作特徵檔，公布新的病毒碼。

值得注意的是，整個弱點的生命周期，已經從數個月縮短至幾十天，例如微軟RPC漏洞於2003年7月16日公布，攻擊程式於7月24日釋出，Blaster蠕蟲於8月11日開始蔓延，不到一個月的時間；微軟LSASS弱點於2004年4月13日公布，4月24日攻擊程式釋出，Sasser蠕蟲於5月1日開始蔓延，僅剩兩個多禮拜。

弱點的生命周期越來越短，反應速度就變得很重要，越早進行防禦，災害也會越小。防禦蠕蟲最好的方法就是修補漏洞，但實際執行起來卻有些困難，因為我們不可能每天都上網尋找更新程式；另一個解決之道就是安裝防駭軟體或設備，這時，資安廠商的反應速度就是關鍵，最好尋找具備弱點研究能力的廠商，在「弱點潛伏期」與「弱點公布期」就能夠提供防禦機制。