Na minha experiência, as ameaças de dia zero sempre encontrarão uma maneira de infectar um sistema se um usuário não tiver o cuidado de evitar clicar em banners ou arquivos zip anexados a e-mails de spam, etc.
Mesmo com firewalls corporativos, gerenciamento de patches e antivírus atualizados instalados - muitos malwares de dia zero cortam tudo isso como uma faca quente na manteiga. Normalmente, os que correm maior risco são menos usuários com conhecimento de informática que gostam muito de cliques.
No entanto, o gerenciamento de patches reduz a superfície de ataque para alguma extensão e, no que diz respeito a ramificações legais: tomar medidas para reduzir a superfície de ataque ajudará a proteger sua carreira e até mesmo você pessoalmente responsabilidade legal se você mora na Europa.
No que diz respeito aos benefícios práticos , não acho que você verá uma diferença notável em termos de infecções por vírus reduzidas se usar o gerenciamento de patches. Os maiores fatores são seus usuários e seus hábitos de navegação, combinados com antivírus atualizados, com (espero) uma taxa de detecção relativamente boa.
Em um ambiente corporativo no qual trabalhei US $ 10 mil por ano no gerenciamento de patches da Numara, infecções por vírus em sua rede de 200 computadores não eram incomuns (tivemos de 10 a 20 infecções graves por malware por ano).
Em outro local que eu tenho apoiado no meu tempo livre por 5 anos (apenas 25 estações de trabalho), eles não tiveram um único vírus por mais de 3 anos. Tudo o que fiz foi definir a atualização do Windows para instalar as atualizações diariamente e instalar o Adblock Plus em todos os navegadores da Web (o IE permite que o script seja usado no lugar do complemento). Ao impedir quase todos os banners (e outros anúncios, como os anúncios do Youtube), consegui reduzir drasticamente a superfície de ataque usada por muitos dos malwares de hoje, bem como melhorar a experiência de navegação dos usuários. Se você pode tirar os anúncios de banner da equação, você não fornece um malware que usa isso como um vetor para infectar os sistemas com uma chance de lutar.
Parece-me que há muito foco no gerenciamento de patches (algo que, por si só, raramente pode ser usado para interromper o malware) e os administradores de sistemas esquecem que existem outras maneiras altamente eficazes de reduzir a superfície de ataque. que não custa um centavo para implementar.
Está tudo bem fazendo algo que reduz suas chances de ser processado, mas também é necessário lembrar que ele também deve funcionar .