Sårbarhetsvarslene vi sender ut til NBP-saarbarhet-patch inkluderer en anbefaling som sier noe om hvor fort en virksomhet burde oppdatere eller mitigere et system som er sårbar for en eller flere sårbarheter.
# | Hastegrad | Beskrivelse | Tidsvindu |
1 | Hastepatch | Sårbarheten er kritisk, og det er få eller ingen faktorer som senker alvorlighetsgraden totalt sett. | Umiddelbart |
2 | Høy prioritet | Sårbarheten er kritisk, men det finnes noen faktorer som er med på å senke alvorlighetsgraden totalt sett. | Innen 3 dager |
3 | Prioritet | Sårbarheten er kritisk eller alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden totalt sett. | Innen 7 dager |
4 | Rutine | Sårbarheten er alvorlig, men det finnes flere faktorer som er med på å senke alvorlighetsgraden og vi vurderer det som lite sannsynlig at sårbarheten vil utnyttes. | I vanlig oppdateringssyklus. Senest innen 14 dager |
Anbefalingene gis med bakgrunn i en vurdering rundt en total alvorlighetsgrad av aktuell sårbarhet. Gradene vi benytter oss av går fra Grad 1 HASTEPATCH, der vi anbefaler å agere umiddelbart, til Grad 4 VANLIG RUTINE, der vi anbefaler at oppdatering burde forekomme innen to uker.
Vi anbefaler at uavhengig av hastegrad først at sårbarheter lukkes ved oppdatering. Er ikke det mulig kan mitigerende tiltak være:
- Fjern internetteksponering
- Sett enheten bak tilgangsstyring
- Mitigerende tiltak anbefalt av leverandør
Selv om mitigerende tiltak settes inn anbefaler vi alltid at man oppdaterer når mulig.
For vurdering av kritikalitet og anbefalt oppdateringshastighet bruker vi en rekke vurderingsparametere. Blant annet:
- CVSS-score
- Om utnyttelseskode (POC) er tilgjengelig
- Er sårbarheten observert brukt
- Er sårbarheten enkel å utnytte
- Er berørte enheter sårbare default, eller krever det et ikke-standard oppsett
- Skjønnsmessig vurdering
Anbefalingen fra oss er veiledende, og vi antar at mottakere bruker vå anbefaling som grunnlag inn i egen vurdering hvor de i tillegg tar høyde for lokale forhold og kjennskap til egne systemer.