一家供應商收到零時差漏洞通知，通常需花費約90至120天的時間來修復這些漏洞，如微軟、蘋果會在90天後發布修補更新，若是工業控制系統（ICS）出現漏洞，廠商修補的時間可能更長，達180或200天。這還未考慮到在收到通知前漏洞被發現的時間。

在更新發布後，企業可能隔一段時間才開始在受影響的軟體上進行更新修補漏洞，這段期間可能長達180天，因此從收到漏洞通知到實際修補漏洞可能需要300天。Brian Goren坦言，這段空窗期間，等於是讓駭客有可乘之機。

廠商收到0-day漏洞通知到企業實際修補漏洞可能長達300天

Brian Gorenc指出，傳統漏洞管理發布周期，包含發現錯誤、披露錯誤、修補錯誤等過程，大多是由軟體供應商，如微軟、甲骨文等定期發布修補程式，由企業定期更新有問題的程式，但這樣的做法，不僅耗時費日，在這樣的發布週期中，駭客可以利用廠商的漏洞披露期，在漏洞被披露但尚未修補之前對企業發動攻擊。

他表示，零時差漏洞並不罕見，他們的團隊每年向不同的供應商揭露超過1,000個漏洞資訊。關健在於企業如何根據身處的產業和生產環境，來擬定漏洞修補策略。

垂直產業漏洞管理的4種類型

相較於傳統的漏洞管理方式，Brian Gorenc另外還提出3種垂直產業漏洞管理的類型，分別是敏捷漏洞管理模式（rapid release cycle）、客戶部署導向漏洞管理模式（customer notification first）、以及OTA更新，這些模式對應到不同垂直產業對於漏洞管理的做法。

在敏捷漏洞管理模式中，提供的是一種最低限度的披露方式，使企業能夠採用快速修補策略來進行漏洞修補，將補丁發布到企業實際套用完成更新的時間縮短為30天內。如Google等雲端服務供應商就是採用這種管理模式。

對於製造業常用的工控系統或 SCADA 系統，在漏洞管理上則通常採用客戶部署導向漏洞管理模式。他表示，這是因為這些系統的客群相對較小，可以透過付費平臺或客戶支援系統等方式，來提供軟體漏洞的補丁，減少對任何資訊揭露或僅提供有限資訊，以便讓這些客戶在公告前就完成更新。

OTA更新是最後一類漏洞管理類型，常見於終端行動裝置、汽車等領域，供應商通常透過OTA更新向用戶更新軟體。然而，Brian Gorenc指出，OTA軟體更新在漏洞揭露生命週期中產生了新問題，例如無法同時讓所有受影響的用戶進行更新，而是需要分批完成更新修補，這也增加了遭受駭客攻擊的風險。

在處理漏洞揭露和修補漏洞上，他強調，沒有一套做法可以適用到所有的產業， 每個垂直行業都有各自獨特應對方式，用以管理內部的漏洞。此外，進行風險評估時，必須基於適合企業所在產業的真實揭露風格，這樣才能更好地應對漏洞帶來的風險。

這兩年，生成式AI快速竄紅，Brian Gorenc相信生成式AI將會對現有的漏洞發現和揭露過程產生影響，例如駭客可能利用生成式AI或LLM來加快新漏洞的建立等，未來也可能影響漏洞揭露的流程。他提醒，企業必須及早開始準備制定因應對策。