Hva er Time to Exploit (TTE)?

TTE er tiden fra en sårbarhet blir offentlig kjent til den blir aktivt utnyttet i angrep.

Hvor raskt utnyttes nye sårbarheter?

I gjennomsnitt innen tre dager (72 timer) etter offentliggjøring.

Hva bør virksomheter gjøre når en kritisk sårbarhet oppdages?

Identifisere berørte systemer, prioritere tiltak og installere sikkerhetsoppdateringer raskt, helst innen 72 timer.

Risikobasert sårbarhetshåndtering, hvor man vurderer alvorlighet, systemets betydning og faktisk utnyttelse for å prioritere tiltak.

Hvorfor holder ikke kvartalsvis patching lenger?

Fordi angripere utnytter sårbarheter innen tre dager, mens tradisjonelle oppdateringssykluser ofte tar uker.

Hvordan kan driftspartnere bidra til rask håndtering av sårbarheter?

Ved å ha sikkerhetsoppdateringer som en integrert del av tjenesten, avtalefestede SLAer og regelmessig rapportering om status.

Tre døgn til angrep: Hvorfor sårbarheter må lukkes raskere

Angrepene starter før virksomheten rekker å reagere

Angripere utnytter i dag nye sårbarheter bare 72 timer etter at de blir offentlig kjent. For mange virksomheter går det derimot uker eller til og med måneder før oppdateringene faktisk installeres. Denne tidsforskjellen utgjør et nytt risikovindu, og det er nettopp her mange IT-driftsleverandører svikter.

Et kappløp mot klokka

Begrepet Time to Exploit (TTE) beskriver hvor lang tid det tar fra en sårbarhet blir offentliggjort til den aktivt utnyttes i angrep. I dag er gjennomsnittet rundt tre dager. Det betyr at angripere ofte har ferdig fungerende kode før virksomheten i det hele tatt har rukket å teste en sikkerhetsoppdatering.

Ifølge Rapid7s Attack Intelligence Report 2024 starter mer enn 35 prosent av alle angrep med kjente, men ikke oppdaterte sårbarheter.

Hvorfor går det så galt?

Det er flere grunner til at mange virksomheter blir hengende etter. For det første bruker cyberkriminelle stadig mer avanserte verktøy som automatisk skanner internett etter systemer med kjente svakheter. Samtidig har mange virksomheter komplekse IT-miljøer, ofte med flere driftsleverandører, mange teknologier og liten oversikt over hva som faktisk er eksponert.

En annen utfordring er trege rutiner på patching. Mange IT-avdelinger følger kvartalsvise oppdateringssykluser, mens angriperne jobber kontinuerlig. I tillegg tilbyr flere driftsleverandører sikkerhetsoppdateringer som en tilleggstjeneste, ikke som standard. Resultatet er at mange systemer forblir åpne lenge etter at sårbarheten er kjent.

Når kvartalsvis patching ikke lenger holder

Tradisjonelle, planlagte oppdateringer holder ikke tempoet lenger. Når sårbarheter utnyttes innen tre døgn, må organisasjoner kunne reagere i løpet av timer eller dager, ikke uker. Dette handler ikke bare om IT, men om beredskap, tillit og virksomhetens omdømme.

Strengere krav i både lovverk og rammeverk

Den nye Digitalsikkerhetsloven, som tredde i kraft 1. oktober 2025, stiller tydelige krav til ansvar, styring og risikohåndtering for digitale tjenester, både i offentlig og privat sektor. Loven legger særlig vekt på rask håndtering av sårbarheter og dokumentert sikkerhetsstyring.

Også NSMs grunnprinsipper for IKT-sikkerhet understreker betydningen av raske reaksjoner. Prinsippene identifisere, beskytte, oppdage, respondere og gjenopprette, utgjør fundamentet for et robust sikkerhetsarbeid. Virksomheter som følger disse reduserer risikoen betraktelig.

De første 72 timene teller

Når en ny sårbarhet blir kjent, må ledelsen handle raskt. Første steg er å skaffe oversikt: Er systemene våre berørt? Deretter må det prioriteres. Hvis sårbarheten står på en internasjonal Known Exploited Vulnerabilities-liste, bør den behandles som kritisk.

Dersom oppdatering ikke kan installeres umiddelbart, må virksomheten sette inn midlertidige tiltak. Det kan innebære å isolere systemer, blokkere trafikk, slå av unødvendige tjenester og kreve multifaktor-pålogging. Parallelt bør oppdateringene planlegges og gjennomføres så raskt som mulig, helst innen 72 timer.

Fra etterpåklokskap til handlingskraft

Mange virksomheter mangler fortsatt et helhetlig system for å håndtere sårbarheter. I stedet for å reagere tilfeldig bør de ta i bruk risikobasert sårbarhetshåndtering (RBVM). Her vurderes ikke bare hvor alvorlig svakheten er, men også hvor viktig systemet er for virksomheten, og om svakheten faktisk utnyttes i praksis.

Målet er å redusere tiden fra oppdagelse til lukking, ofte omtalt som Mean Time To Remediate (MTTR), til under 72 timer for kritiske svakheter.

Driftspartnere må skjerpe seg

For mange virksomheter ligger ansvaret for oppdateringer hos driftsleverandørene. Men når én leverandør drifter Windows-miljøet, en annen skyplattformen og en tredje applikasjonene, blir ansvaret fort uklart, og tempoet lavt.

Derfor bør virksomhetsledelsen stille tydelige krav i kontrakter og avtaler. Sikkerhetsoppdateringer skal ikke være en opsjon, men en integrert del av tjenesten. Leverandører bør ha avtalefestede krav (SLA) for håndtering av kritiske feil, og de må rapportere jevnlig om oppdateringsstatus og sårbarheter.

Mot en mer motstandsdyktig virksomhet

På lengre sikt handler det om å bygge motstandskraft. Det betyr å automatisere oppdateringer slik at de skjer fortløpende, segmentere nettverket slik at angrep ikke sprer seg, og gjennomføre øvelser for å teste om tiltakene faktisk virker.

Sikkerhet må også forankres som et lederansvar, ikke et rent IT-problem. Virksomheter som flytter tjenester til moderne plattformer med støtte for hyppige og sikre oppdateringer, står langt bedre rustet til å møte fremtidens trusler.