Сегодня просматривал статистику Wildfire и стало интересно по каким приложениям ходит zero-day и как часто. На картинке приведена статистика по приложениям и частоте атак через это приложение. Во втором столбце указано сколько дней в году в этом приложении выдели zero-day. В третьем столбце - число сессий этого приложения или по сути число семплов в год. Статистика взята за весь 2018 год с января по декабрь.
Интересно, что есть приложения по которым ВПО ходит каждый день, но редко - например SOAP. Есть где каждый день и в больших объемах. Я на своем опыте вижу, что самые частые приложения для проверки в песочницах - SMTP и web-browsing. Остальные приложения как правило игнорируются. Скорее всего атаки и проходят как раз там, где их не ждут.
