网络安全圈最昂贵、最有杀伤力、且始终站在食物链顶端的攻击方式，是什么？或者，你的企业武装到牙齿的时候，你最怕遇到的，是什么？

你心中一定在疾呼：“0day，只有0day”。

0day漏洞为何物

大家潜意识里只把那些未知且没有补丁，并能利用的安全漏洞，称为0day漏洞。一旦软件厂商发布安全补丁，安全圈子有了细节，那么这个漏洞就不再是0day了。所以有人说，0day的发布之日就是0day的灭亡之时。

而只要掌握目标服务的0day漏洞，黑客基本就可以为所欲为了。比如你有一个Word的0day，你可以利用将木马和word进行绑定，利用社工和钓鱼控制目标。再比如你有一个weblogic漏洞，你可以直接控制目标服务器。

黑客善于制造和利用信息的不对称，而0day将这种不对称发展到了极致。所以，那些拥有0day漏洞的黑客，自然也就站在食物链的顶端。这其中不仅因为0day潜伏性高，破坏性大，具有相当的稀缺性，更重要的是这些高质量的漏洞通常都价值不菲。在公开市场，0day漏洞根据重要性的不同，可卖到几万到几百万美元不等。

更为可怕的是，0day漏洞非常隐蔽，从产生到发现再到厂商修复漏洞可能会需要几个月、几年甚至更久。比如，MS17-010在公布之前黑客已经使用了将近十年了。

攻防演练之下，激增的0day漏洞攻击

这里有一个我们都不太愿相信的事实：0day漏洞的数量近几年在不断增多。从谷歌“零项目”（Project Zero）的数据来看，国外2020年发现的在野利用0day漏洞为25个，2021年至少有66个，是2020年的两倍多，比跟踪调查这10年以来的任何一年都要多。

国内，作为所有关键基础设施行业提升日常安全运营能力的重要手段，攻防演练近几年越来越频繁，攻防双方的技战术也不断迭代与升级。红队作为攻击方，从一开始的渗透，演进出了武器化、漏洞、渗透等不同领域的专业团队，分工越来越细化和明确，对防守方的攻击效率大大提升，漏洞的挖掘也更有针对性。

而0day漏洞这样一个威力巨大的攻击能力，则更是加大了攻防双方实力的不平衡。不论是Windows还是Linux, Wordpress还是vBulltin, 国外各大知名软件厂商都是经历了一次又一次"黑客洗礼"的产品。而国内软件厂商当前仍处于不断成熟的阶段，还没有经历这个刀光剑影腥风血雨的过程，自然会暴露更多问题。

尤其是供应链攻击的泛滥和成熟，攻击队只需要找到企业长期使用的某个软件的漏洞，就能轻而易举地打进企业内部网络，让防守方的防御体系瞬间瓦解。越来越强调对抗与实战的攻防演练之中，0day漏洞变得越来越关键了。

TDP新增的0day检测能力

0day漏洞是不易检测的，所有的安全产品的检测都是基于“已知”的。目前业内能检测“未知”0day的大多是文件型漏洞，如PDF、Word、Excel， 对基于流量的0-click漏洞依然束手无策。

也有企业期望通过“已知”推演“未知”，就有了TDP前不久挑战赛中的通用检测和机器学习。但这些都不能解决100%的捕捉未知0day的困难。

面对这样的现状，我们有了一个大胆的想法：“重金收购0day，然后把收到的高价值0day放入我们NDR检测的能力中”。我们利用X情报社区从安全研究员、红队、黑客手里收集近百个影响范围广、危害大，且红队利用率极高的0day漏洞，实现高危0day的全面覆盖，并将应用于TDP的检测能力中，结合TDP的阻断能力，能做到检测0day并即时阻断的效果！

不仅如此，对于这些漏洞，我们陆续也会通知对应厂商，建议进行及时修复。同时，我们也希望能够通过TDP对0day漏洞的准确检测能力，帮助更多企业提升威胁发现与攻防演练实战效果，提高各行业整体的安全检测与防御水平。