Hopp til hovedinnhold
NHN
Gå tilbake til Publikasjoner

Hastegrad sikkerhetsoppdateringer

Sårbarhetsvarslene vi sender ut til NBP-saarbarhet-patch inkluderer en anbefaling som sier noe om hvor fort en virksomhet burde oppdatere eller mitigere et system som er sårbar for en eller flere sårbarheter.

#
Hastegrad
Beskrivelse
Tidsvindu
1
Hasteoppdatering
Sårbarheten er kritisk, og det er få eller ingen faktorer som senker alvorlighetsgraden totalt sett.
Så raskt som mulig
2
Høy prioritet
Sårbarheten er kritisk, men det finnes noen faktorer som er med på å senke alvorlighetsgraden totalt sett.
Senest om 3 dager
3
Prioritet
Sårbarheten er kritisk eller alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden totalt sett.
Senest om 7 dager
4
Rutine
Sårbarheten er alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden og vi vurderer det som lite sannsynlig at sårbarheten vil utnyttes.
I vanlig oppdateringssyklus.
Senest om 14 dager
Anbefalingene gis med bakgrunn i en vurdering rundt en total alvorlighetsgrad av aktuell sårbarhet. Gradene vi benytter oss av går fra Grad 1 Hasteoppdatering, der vi anbefaler å agere umiddelbart, til Grad 4 rutine, der vi anbefaler at oppdatering burde forekomme innen to uker.
Vi anbefaler at uavhengig av hastegrad først at sårbarheter lukkes ved oppdatering. Er ikke det mulig kan mitigerende tiltak være:
  • Fjern internetteksponering
  • Sett enheten bak tilgangsstyring
  • Mitigerende tiltak anbefalt av leverandør
Selv om mitigerende tiltak settes inn anbefaler vi alltid at man oppdaterer når mulig.
For vurdering av kritikalitet og anbefalt oppdateringshastighet bruker vi en rekke vurderingsparametere. Blant annet:
  • CVSS-score
  • Om utnyttelseskode (POC) er tilgjengelig
  • Er sårbarheten observert brukt
  • Er sårbarheten enkel å utnytte
  • Er berørte enheter sårbare default, eller krever det et ikke-standard oppsett
  • Skjønnsmessig vurdering
Anbefalingen fra oss er veiledende, og vi antar at mottakere bruker vår anbefaling som grunnlag inn i egen vurdering hvor de i tillegg tar høyde for lokale forhold og kjennskap til egne systemer.