情境示意图（Photo by Scott Rodgerson on Unsplash）

Google麾下的资安业者Mandiant本周公布了2023年的漏洞分析报告，指出去年遭到利用的138个安全漏洞中，有97个属于零日漏洞（Zero-day），41个为N日漏洞（N-day），儘管先前即曾预测骇客对零日漏洞的利用会愈来愈多，但现况比他们原本以为的更严重。

所谓的零日漏洞指的是尚未修补就被攻击者利用的安全漏洞，N日漏洞则是「已公开且有修补程序之后才被攻击者首次利用」的漏洞。

资安业者定义漏洞自被修补（或未修补）至实际遭到攻击的平均时间，通常是以Time-to-exploit（TTE）来表示，Mandiant则发现，骇客利用漏洞的时间逐年缩短，例如2018至2019年的TTE为63天，2020到2021年是44天，2021到2022再减少至32天，然而，去年的TTE降幅是史上最大，平均只有5天。

其实最近这几年遭到攻击的零日漏洞数量都比N日多，但维持稳定比例，例如2020至2021年的比例为61:39，2021年至2022年为62:38，却在去年脱序至70:30，Mandiant尚不确定这是一次性的，或为一个重要的转折。

此外，对于那些N日漏洞遭到利用的时间点，有12%的漏洞是在修补程序现身的第一天就被利用，29%是在修补的一周内被利用，56%是在一个月内被利用。显示漏洞最有可能遭到利用的时间点是在修补后的一个月内，与以往的统计一致。在41个N日漏洞中，有75%的攻击程序是在漏洞尚未被利用前就发布，只有25%是在漏洞遭利用后才发布。

在去年被利用的138个漏洞中，分属53家不同的业者，有8个源自Google，微软与苹果各占7个，第四名的Adobe也有6个。