Hastegrad sikkerhetsoppdateringer

Sårbarhetsvarslene vi sender ut til NBP-saarbarhet-patch inkluderer en anbefaling som sier noe om hvor fort en virksomhet burde oppdatere eller mitigere et system som er sårbar for en eller flere sårbarheter.

#	Hastegrad	Beskrivelse	Tidsvindu
1	Hastepatch	Sårbarheten er kritisk, og det er få eller ingen faktorer som senker alvorlighetsgraden totalt sett.	Umiddelbart
2	Høy prioritet	Sårbarheten er kritisk, men det finnes noen faktorer som er med på å senke alvorlighetsgraden totalt sett.	Innen 3 dager
3	Prioritet	Sårbarheten er kritisk eller alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden totalt sett.	Innen 7 dager
4	Rutine	Sårbarheten er alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden og vi vurderer det som lite sannsynlig at sårbarheten vil utnyttes.	I vanlig oppdateringssyklus. Senest innen 14 dager

Anbefalingene gis med bakgrunn i en vurdering rundt en total alvorlighetsgrad av aktuell sårbarhet. Gradene vi benytter oss av går fra Grad 1 HASTEPATCH, der vi anbefaler å agere umiddelbart, til Grad 4 VANLIG RUTINE, der vi anbefaler at oppdatering burde forekomme innen to uker.

Vi anbefaler at uavhengig av hastegrad først at sårbarheter lukkes ved oppdatering. Er ikke det mulig kan mitigerende tiltak være:

Fjern internetteksponering
Sett enheten bak tilgangsstyring
Mitigerende tiltak anbefalt av leverandør

Selv om mitigerende tiltak settes inn anbefaler vi alltid at man oppdaterer når mulig.

For vurdering av kritikalitet og anbefalt oppdateringshastighet bruker vi en rekke vurderingsparametere. Blant annet:

CVSS-score
Om utnyttelseskode (POC) er tilgjengelig
Er sårbarheten observert brukt
Er sårbarheten enkel å utnytte
Er berørte enheter sårbare default, eller krever det et ikke-standard oppsett
Skjønnsmessig vurdering

Anbefalingen fra oss er veiledende, og vi antar at mottakere bruker vå anbefaling som grunnlag inn i egen vurdering hvor de i tillegg tar høyde for lokale forhold og kjennskap til egne systemer.