mentre ovviamente gli aggiornamenti automatici avranno un impatto sulla riduzione della vulnerabilità per i bug a livello di sistema operativo in Windows 10, direi che realisticamente il sistema operativo stesso è meno spesso l'obiettivo in questi giorni per gli attacchi lato client, quindi l'impatto sarà limitato.
Solitamente per gli attacchi lato client, il vettore sarà o ingegneria sociale (ad esempio "hey hai un virus, installa questo") che non è influenzato da patching o da uno dei software comunemente non aggiornati e esposti a Internet ( es. Flash, Java, Adobe Reader) viene attaccato usando un patch o un problema di 0 giorni.
Per i tester per la penetrazione esterna, di solito andresti con qualcosa come una campagna di phishing seguita dall'accesso di credenziali o dall'ingegneria sociale per ottenere l'obiettivo di eseguire un software che ti consenta di accedere al loro sistema.
Per i tester interni di nuovo l'auto-aggiornamento avrà un impatto limitato, direi che di solito i tester una volta che hanno accesso a una macchina si serviranno di strumenti di crack / pass-the-hash / password come mimikatz per ottenere credenziali, nessuna delle quali si basa sulle patch di Windows mancanti. I giorni in cui le cose come MS08-067 mancano e i sistemi facilmente compromettenti basati su questo, stanno arrivando alla fine per la maggior parte delle organizzazioni.
Questo non vuol dire che Windows 10 non renderà le cose più difficili da sfruttare, ma non penso che gli aggiornamenti automatici saranno il più grande elemento di differenziazione.