Получается что первый эшелон защиты голова пользователя.
ИМХО точно! Иногда это и самая главная проблема (но это уже и про другое).
А что делать с 0-day?
Он опасен разве что людям, за которыми другие люди ведут слежку, и т.д. Если вы не очередной Сноуден, или другой человек обладающей важной информацией для других (или ваша организация не "того сорта"), вам нечего бояться. Не зря же утекли в сеть наборы малвари/эксплойтов от АНБ несколько лет назад. У каждого уважающего себя и свою защиту государства (а также у других групп людей) есть спец отдел с людьми и уже разработанным спец. ПО. Вот уже в таких делах и используют зачастую 0-day.
0-day и в современных версиях ОС/ПО находят и будут находить потому что их в любом случае специально ищут/оставляют.
Наверное, лучше всего использовать XP без доступа к сети. С точки зрения безопасности. Слишком велик риск подцепить гадость в интернете. Флешки и другие носители никто не отменял, но там шанс хоть немного, но меньше.