AI forvandler cyberangreb og firedobler angrebstempo

Cyberkriminelle er gået fra at eksperimentere med AI til at bruge det målrettet i stor skala. Samtidig udnyttes svagheder i digital identitetsstyring i næsten ni ud af ti sikkerhedsbrud. Det fremgår af analyserne fra Unit 42 hos Palo Alto Networks i cybersikkerhedsrapporten ’Global Incident Response Report 2026’. 
Rapporten giver et detaljeret billede af, hvordan moderne angreb gennemføres, hvor hurtigt de udvikler sig – og hvor forsvaret halter ude i virksomheder og offentlige institutioner.

En af hovedkonklusioner er, at AI i løbet af året er blevet en tydelig kraftmultiplikator. I de hurtigste tilfælde er tiden fra indtrængen til dataeksfiltration reduceret fra næsten fem timer til godt én time (72 minutter). Det vil sige en firedobling af angrebstempoet. For forsvarere betyder det, at manuelle processer og traditionelle arbejdsgange ikke længere er tilstrækkelige.

Identitet er fortsat den dominerende indgangsvej for angribere. I næsten 90 procent af alle undersøgelser spillede svagheder i identitetsstyringen en afgørende rolle. 65 procent af den indledende adgang skete via identitetsbaserede teknikker som social manipulation, mens sårbarheder stod for 22 procent. I takt med at antallet af maskin- og tjenesteidentiteter vokser hurtigt, forværres problemet yderligere, da disse ofte har unødigt høje rettigheder og overvåges inkonsekvent.

Også angreb relateret til leverandørkæden er under forandring. Angreb, der involverer tredjeparts-SaaS-applikationer, er steget 3,8 gange siden 2022 og udgør nu 23 procent af hændelserne. I stedet for at bryde ind udnytter angribere betroede forbindelser gennem stjålne OAuth-tokens eller API-nøgler for at bevæge sig videre i systemerne.

Læs også: Nyt våben i kampen mod hackere

Rapporten viser desuden, at kompleksiteten i angrebene stiger. 87 procent af bruddene spænder over flere angrebsflader – i nogle tilfælde op til ti. Trusler bevæger sig mellem klienter, netværk, cloudmiljøer, SaaS-platforme og identitetssystemer, hvilket stiller krav om sammenhængende synlighed på tværs af hele infrastrukturen.

Browseren er desuden blevet en almindelig angrebsflade, hvor næsten halvdelen (48 procent) af alle hændelser involverer browserbaseret aktivitet, hvilket afspejler, hvordan daglige aktiviteter som e-mail, webbrug og anvendelse af cloudtjenester ofte bliver springbræt for angreb.

Også afpresningsangreb ændrer karakter. Andelen af hændelser, hvor angribere krypterer data, er faldet til 78 procent sammenlignet med 92 procent året før. I stigende grad fravælges kryptering til fordel for direkte datatyveri og systemforstyrrelser – hurtigere, mere diskret og med øjeblikkelig effekt.

Kilde: Palo Alto Networks

/ PiB