拉斯维加斯 - Google的Project Zero安全研究团队成立已有10年，在实现其"提高零日漏洞攻击难度"的目标方面取得了一定进展。然而，实际环境中仍然存在可被利用的漏洞，这表明网络安全行业还有很长的路要走。

2014年影响零日漏洞形势的许多主要问题至今仍然存在，包括软件质量、安全更新、信息透明度和防御措施等方面的挑战。Google的团队负责人兼安全工程师Natalie Silvanovich表示，软件和硬件提供商在解决这些问题上扮演着关键角色。

"我们越来越清楚地认识到，仅靠安全研究是无法终结零日漏洞时代的，"Silvanovich在Black Hat USA会议上表示。"下一步重大变革需要由软件和硬件提供商来推动，以保护用户免受零日漏洞攻击。这并非易事，自我们开始这项工作以来，许多提供商已经取得了显著进展。但前路依然漫长。"

十年前，人们对零日漏洞的基本认知、其使用方式以及组织如何防范它们的理解与今天大不相同。当时，组织对其软件中潜在的安全问题了解不足，缺乏相关技术信息。安全更新进程缓慢，也没有明确的更新和披露协议。关于安全事件的讨论不够透明，在某些情况下，与研究人员的关系甚至是对立的。

Silvanovich指出，研究人员群体在推动解决这些挑战方面发挥了pivotal作用。例如，2014年至2015年间在Adobe Flash中发现的一系列零日漏洞 - 部分源于更多研究人员的报告、2015年Pwn2Own竞赛，以及间谍软件供应商Hacking Team的机密材料泄露（显示他们掌握了一个未修复的Flash漏洞） - 最终导致Flash在2020年被淘汰。

"我们越来越清楚地认识到，仅靠安全研究是无法终结零日漏洞时代的。"

另一个成功案例是研究人员为零日漏洞制定的披露时间表。Google Project Zero的90天披露政策虽然最初不受欢迎，但最终确实促使公司更加重视修复零日漏洞。在2019年至2021年期间，Project Zero向提供商报告的问题中，有高达93.4%在标准的90天期限内得到修复。

然而，这些领域仍然面临挑战。Silvanovich表示，研究人员仍然观察到Android及其周边OEM生态系统（包括GPU和其他第三方组件）在安全更新方面存在不一致性。另一个问题是，高达40%的实际利用的零日漏洞是现有漏洞的变种，这意味着它们与软件中已修复的漏洞相似。这可能表明提供商在压力和时间限制下匆忙修复零日漏洞，结果导致修复不完整，没有解决漏洞背后的根本问题。

近年来还出现了一个新问题：她指出，"我们观察到的最佳和最差安全实践之间的差距正在扩大"。在这一领域表现最差的似乎是"中间件"提供商，即向上游供应商提供固件和软件的公司，攻击者似乎越来越多地将目标瞄准这些领域。

开发安全程序的提供商首先应该认识到，漏洞是零日攻击的根源，公司应该快速、彻底地修复其软件中的所有漏洞。他们还应该明白，缓解措施不能替代彻底的修复。最后，Silvanovich强调，提供商需要理解信息透明的重要性。

"Project Zero计划继续推进，深化我们对零日漏洞的理解，督促提供商保持透明，并持续对行业施加压力，"Silvanovich表示。"但我们需要更多人参与进来。终结零日漏洞时代需要我们所有人共同努力。"