必要ないサービスはインストールしない、無駄なポートを開かない、意味なく管理者権限でプログラムを実行しない、などごく普通の運用をしていれば、世間で騒いでるゼロデイ脆弱性の99％は無害だよ。
# 残り1％も防ごうと思ったらコストがえらいことになるから、あとは
# 大切なデータはWANからアクセスできる場所に置かないなどの対策になる。
# 規模が大きくなると、すべてのマシンを守るのは現実的でなくなる。

今時の侵入は（実行ファイルを踏ませるものも含めて）ブラウザやメールを窓口にすることが圧倒的に多いわけだから「変なファイルを開かない」のがもっともコストパフォーマンスの良い（はずの）対策だと思う。
# 怪しいファイルを平気で開く人たちの存在の方が、
# ルーターの後ろにいれば問題ないゼロデイの穴よりずっと怖い