For the complete documentation index, see /llms.txt. Markdown version of this page: /insights/exposure/exposure-og-sarbarhetshandtering.md.
EN / NB Kontakt oss →
EN / NB

Rådgivning

MDR / SOC

Sårbarhetshåndtering

Identitet

Compliance

AI-sikkerhet

CrowdStrike

Aikido

Tenable

Idira (CyberArk)

Innsikt

Serier

Hendelser og ressurser

Om oss

Selskapsinfo

Kontakt

Partnere

Sårbarhetshåndtering ↗

Exposure management og sårbarhetshåndtering, hvorfor begrepene ikke er det samme

Sårbarhetshåndtering forteller hva som er ødelagt. Exposure management forteller hva som kan ramme kontrakten dere nettopp signerte.

6 min lesetid Av Anders Helgesplass
Tenable-logo og Exposure vs Vulnerability, FM CyberSecurity forsidegrafikk

Sårbarhetshåndtering forteller hva som er ødelagt. Exposure management forteller hva som kan ramme kontrakten dere nettopp signerte. De to er ikke synonymer, og forskjellen får betydning før dere signerer neste innkjøpsordre.

TL;DR: Sårbarhetshåndtering rangerer funn etter teknisk alvorlighet (CVSS). Exposure management legger utnyttbarhet, angrepsstier, identitetseksponering og forretningskontekst oppå, slik at listen styret ser, er listen som kan ramme virksomheten. Exposure management erstatter ikke sårbarhetshåndtering. Det er det sårbarhetshåndtering må bli når skanneren spytter ut mer enn dere rekker å lese.

På tvers av kartleggingsoppdragene jeg har gitt råd i år, er gapet jeg ser oftest ikke teknisk. Skanneren kjører. Funnene lander. Så går sikkerhetsleder inn i et styremøte med 6 000 linjer CVSS-rangert utskrift og får et spørsmål skanneren aldri ble laget for å svare på: hvilke av disse truer kundeforpliktelsene dere nettopp signerte. Samtalen stopper der. Styret vil ikke ha en lengre rapport. Styret vil ha en kortere liste, med trygghet bak.

Det gapet er exposure management ment å lukke, og derfor tok leverandørene i bruk uttrykket. Uttrykket har vært brukt løst nok til at det nå framstår som markedsføring. Det er det ikke. Den operative forskjellen er reell.

Tenable-logo og Exposure vs Vulnerability, FM CyberSecurity

Hva sårbarhetshåndtering løser godt

Sårbarhetshåndtering er det driftsprogrammet de fleste sikkerhetsbevisste norske foretak allerede kjører, eller vet at de burde. Dere skanner miljøet. Skanneren returnerer en liste med Common Vulnerabilities and Exposures (CVE), hver med en poengsum etter Common Vulnerability Scoring System (CVSS). Dere prioriterer fra Critical og nedover. Dere patcher.

Det programmet er nødvendig. Revisor forventer det, ISO 27001 forventer det, kunder i innkjøpsrunder spør etter det. Nessus-skanneren som ligger under de fleste norske sårbarhetsprogrammer, har vært den anerkjente grunnlinjen i to tiår, og med god grunn. Kjører dere ikke noe sårbarhetsprogram i det hele tatt, er det det første dere må rydde opp i. Vi har skrevet om hvordan vi kjører et slikt program i sårbarhetsprogrammet i Tenable One.

Begrensningen ligger ikke i verktøyet. Begrensningen ligger i hva CVSS måler. CVSS rangerer en sårbarhet abstrakt, på en offentlig skala, uten å vite noe om miljøet deres. CVSS vet ikke hvilken av serverne deres som kjører lønnssystemet dere lovet en kunde 99,9 prosent oppetid på. CVSS vet ikke hvilken database som inneholder data dere har forpliktet dere til å holde innenfor EØS. CVSS vet heller ikke at verten med Critical-funnet har vært luftgapet i tre år, mens verten med Medium-funnet sitter rett mot internett.

I et sammensatt oppdrag med et norsk programvarefirma dette kvartalet returnerte den første skanningen 4 800 funn fordelt på 230 aktiva. Sortert på CVSS Critical og High ble listen 420 lang. Teamet hadde jobbet seg gjennom listen ovenfra og ned i to måneder. Ingen hadde spurt hvilke funn som lå på systemene som er navngitt i foretakets største kundekontrakt. Svaret viste seg å være 38.

Hva exposure management legger oppå

Exposure management starter fra de samme skannedataene. Deretter stiller plattformen fire spørsmål til, før noe når styret.

For det første, er denne sårbarheten utnyttbar i dag. Exploit Prediction Scoring System (EPSS) og Cybersecurity and Infrastructure Security Agency sin Known Exploited Vulnerabilities-katalog (KEV) publiserer begge daglig evidens på hvilke CVE-er som blir utnyttet aktivt av angripere. En CVSS 9,8 uten offentlig exploit og en EPSS under 0,01 rangerer lavere enn en CVSS 7,0 med fungerende exploit-kode og aktiv utnyttelse. CVSS alene forteller ikke det. Utnyttbarhetsdata gir svaret.

For det andre, hvor sitter sårbarheten på en angrepssti. Tenables angrepsstianalyse kartlegger ruten en angriper kan ta fra en internettvendt ressurs til systemene som betyr noe, på tvers av rundt 150 dokumenterte angrepsteknikker koblet til MITRE ATT&CK (ifølge Tenables Tenable One-produktside). Et Medium-funn to hopp fra en domenekontroller kan være farligere enn et Critical-funn som sitter alene på en isolert vert. Sårbarhetshåndtering alene tegner ikke den grafen.

For det tredje, hvordan ser identitetsflaten rundt sårbarheten ut. Tenable Identity Exposure leser Active Directory- og Entra ID-konfigurasjoner, overprivilegerte kontoer, svake passordregler og foreldede tillitsforhold, og viser hvor en angriper som får fotfeste på en sårbar vert kan pivotere videre. Dette er innsyn i identitetseksponering, ikke identitetskontroll. FM CyberSecuritys identitetspraksis kjører på CyberArk for håndtering av privilegert tilgang. Tenable Identity Exposure forteller hvor gapet er. CyberArk er verktøyet dere lukker det med. To forskjellige problemer, to forskjellige verktøy, og å blande dem sammen i et styrenotat er en feil jeg ser ofte.

For det fjerde, hvilken forretningsressurs ligger sårbarheten på. Det er taggearbeidet, og det er den lite glamorøse halvdelen av jobben. I det samme sammensatte oppdraget over reduserte tagging av aktiva mot de fire kritiske forretningssystemene som er navngitt i kundekontrakten, 4 800 funn til 38, på rundt seks timer analytikerarbeid. De andre 4 762 jobbes fortsatt gjennom. De er ikke det revisjonsutvalget gjennomgår.

Hvorfor forskjellen betyr noe i en tilbudsrunde

Når en norsk kjøper sender ut et anbud eller en kunde sender et sikkerhetsskjema, er spørsmålet de stiller sjelden “kjører dere sårbarhetsskanninger”. Det er en eller annen variant av “beskriv prosessen for å identifisere og lukke sårbarheter mot systemene som støtter kontrakten vår”. Sårbarhetsprogrammet svarer på første halvdel. Exposure management-programmet svarer på andre halvdel.

Av innkjøpsskjemaene jeg har lest i år, spør rundt to tredjedeler nå om forretningskontekst-prioritering eller bevissthet om angrepsstier i en eller annen form (sammensatt observasjon på tvers av rundt 15 skjemaer). Vokabularet varierer, intensjonen gjør det ikke. Kjøperen vil vite at leverandøren ikke bare kjører skanninger og arkiverer rapporter, men tar beslutninger om hvilke funn som rettes først basert på hvilke systemer som bærer kundens data.

Hvis svaret i tilbudet deres er “vi kjører månedlige Nessus-skanninger og retter Critical-funn innen 30 dager”, er det et sårbarhetsprogram-svar. Det er sant, det er reviderbart, og i 2026 blir det stadig tynnere mot spørsmålet som stilles.

Hva FM CyberSecurity kjører

Vi standardiserte på Tenable fordi plattformen samler sårbarhetsfunn, webapplikasjonsfunn, skyfeilkonfigurasjoner, identitetseksponering og funn på angrepsflaten i ett risikobilde, og fordi FM CyberSecurity drifter plattformen ende-til-ende for foretakene vi jobber med. Vi videreselger den ikke. Resonnementet bak valget ligger i hvorfor vi valgte Tenable. Hvordan de tre produktlagene Nessus, Tenable Vulnerability Management og Tenable One forholder seg til hverandre, ligger i Nessus, Tenable VM eller Tenable One.

Arbeidet vi gjør oppå plattformen er det som gjør den til exposure management og ikke bare sårbarhetshåndtering med flere dashbord. Vi tagger aktiva mot forretningssystemer og kundekontrakter. Vi justerer skanneregler så plattformen stiller de riktige spørsmålene til de riktige vertene. Vi skriver det kvartalsvise styrenotatet som navngir trenden i sårbarhetsbildet, ny sårbarhet på systemer som har kommet på nett, og enhver post som krysser en avtalt eskaleringsgrense. Den første skanningen i et nytt oppdrag er den enkle delen. Oversettelsen til en beslutning styret kan handle på, er arbeidet. Vi beskrev hvordan vi setter opp den første i første sårbarhetsanalyse i Tenable One.

Konsekvensen

Behandler dere exposure management som en omdøping av sårbarhetshåndtering fra en leverandør, fortsetter dere å betale for en lengre liste CVE-er som ingen i styret har tid til å lese. Revisjonsfunnet lukkes. Kontraktsrisikoen gjør det ikke.

Behandler dere exposure management som det er, altså det operative laget som gjør skanneutskrift om til forretningsprioriterte beslutninger, ender dere opp med en kortere liste med mer trygghet bak, og dere kan svare ærlig på innkjøpsskjemaet. Det er den versjonen av programmet som er verdt å kjøre.

Hvis dette traff:

  • Les hvorfor vi valgte Tenable for innkjøpssiden av plattformvalget.
  • Send artikkelen videre til compliance-ansvarlig eller den som skriver sikkerhetsskjema-svarene deres, gapet mellom de to svarene er der arbeidet ligger.
  • Ta direkte kontakt med Anders for en 30-minutters gjennomgang av dagens sårbarhetsprogram og hva som skal til for å legge exposure management oppå, eller bestill en exposure management-analyse hvis dere vil ha en skriftlig gap-analyse.

Mer om Sårbarhetshåndtering

3. juni 2026 · Sårbarhetshåndtering
Cyber Index #61 - Tid til utnyttelse ned til en halv dag, nordiske budsjettall og dobling av sårbarheter i bilbransjen

Ukens Cyber Index-oppsummering: 7 rapporter om AI-komprimert utnyttelsestempo, dobling av bilsårbarheter, AI-sikkerhet i skyen, nordiske CISO-budsjetter og flertrinnsangrep mot frontmodeller.

29. mai 2026 · Sårbarhetshåndtering
Slik får du en gratis Tenable One-tenant fra oss

Slik får du en gratis prøve-tenant av Tenable One fra FM CyberSecurity, skanner din egen infrastruktur, og sitter igjen med en skriftlig overlevering du kan handle på.

26. mai 2026 · Sårbarhetshåndtering
Slik kjører vi første sårbarhetsanalyse i Tenable One

To uker, dag for dag, fra avgrensningssamtale til forsvarlig baseline i Tenable One hos en ny norsk SMB-kunde.

← Tilbake til all innsikt
Spørsmål eller forespørsel? [email protected] Kontakt oss →