Hotaktörer är påhittiga. När de upptäcker att en viss väg är blockerad ger de inte upp. Istället letar de helt enkelt efter en annan. Ta bara en titt på Googles senaste Rapport om molnhothorisonter för första halvåret 2026. Google Cloud har byggt in en robust uppsättning bästa praxis i sin plattform för att minimera riskerna för identitetskompromettering och missbruk. Så, vad gjorde skurkarna under andra halvan av 2025? De bytte helt enkelt sina initiala åtkomstinsatser från att kompromettera autentiseringsuppgifter till att utnyttja sårbarheter.
Det är en av flera intressanta insikter från rapporten som kan hjälpa IT-chefer i deras arbete med att kontinuerligt förbättra sin säkerhetsställning.
Från buggar till intrång
Två diagram illustrerar perfekt den dynamiska naturen hos dagens hotlandskap: ett som beskriver initiala åtkomstvektorer som utnyttjas i Google Cloud, och det andra en plattformsoberoende version. I Google Cloud stod "svaga eller frånvarande inloggningsuppgifter" endast för 27 % av intrången under andra halvåret 2025, en minskning från 47.1 % under de föregående sex månaderna. Däremot stod utnyttjande av sårbarheter i tredjepartsprogramvara för 45 % av intrången, en ökning från endast 3 % under första halvåret 2025.
Även om de senare attackerna är "mer sofistikerade och kostsamma" för hotaktörer, blir de också bättre på dem. Fönstret mellan avslöjande av sårbarheter och massutnyttjande har minskat från veckor till bara dagar eller timmar, säger Google. React2Shell var ett av de mest populära målen för utnyttjande förra året – vilket resulterade i ett större intrång på LexisNexis, bland flera andra företag.
När vi tittar på bilden över alla plattformar återigen framstår identitet som den primära attackvektorn för incidenter som involverar stora moln- och SaaS-hostade miljöer – och står för 83 % av den initiala åtkomsten. Utnyttjande av sårbarheter stod bara för 2 % förra året. Om man tittar på detaljer inom identitet var nätfiske (17 %) mer populärt än e-postnätfiske (12 %). Men vanligare än båda var användningen av stulna inloggningsuppgifter (21 %) och komprometterade betrodda relationer med tredje part (21 %), såsom den ökända Salesforce Drift OAuth-kampanjen.
Bli mer Google
Rapporten ger inte bara en användbar ögonblicksbild av aktuella hottrender, den visar också vad som fungerar defensivt. I en ideal värld skulle IT-chefer kunna efterlikna Google Clouds djupgående försvar och en säker standardmetod för att blockera så många initiala åtkomstvägar som möjligt. Ur ett identitetsperspektiv innebär detta:
- Tillämpa principen om minsta möjliga behörighet och regelbundet granska/ta bort överdrivna behörigheter
- Ersätta tillåtande brandväggsregler med identitetscentrerade proxyservrar för att skydda administrativa gränssnitt från fjärrkodkörning (RCE) och stulna lösenord
- Tillämpa kontextmedveten, phishing-resistent MFA (t.ex. hårdvarunycklar eller lösennycklar)
- Begränsa de data som tredjepartsapplikationer kan komma åt (dvs. via OAuth-integration)
- Upprätta strikta verifieringsprotokoll för IT-helpdeskspersonal (t.ex. krav på visuell verifiering vid videosamtal eller godkännande från sekundär chef) för att minska försök att visa information via internet.
Principen ”säker som standard” är ett av de mest effektiva sätten att minska risker i moderna molnmiljöer, menar Vysiions tekniska chef Peter Clapton.
”Plattformar bör levereras med starka grundläggande skydd för identitet, autentisering och behörighetshantering så att organisationer inte är beroende av att administratörer konfigurerar ett flertal kontroller korrekt innan de uppnår skydd”, säger han till IO (tidigare ISMS.online). ”I molnmiljöer, där infrastruktur kan driftsättas snabbt och i stor skala, minskar dessa standardskyddsräcken avsevärt sannolikheten för att felkonfiguration blir en ingångspunkt för angripare.”
Säkerhet som standard bör dock betraktas som en baslinje. ”Identitet har i praktiken blivit den moderna säkerhetsperimetern, så organisationer behöver fortfarande stark styrning, övervakning och policyer för minsta möjliga behörighet för användare, tjänstekonton och tredjepartsintegrationer för att hantera risker effektivt”, säger Clapton.
IT-chefer kan också följa Googles råd om att minska utnyttjande av sårbarheter, vilket beskrivs i rapporten. Detta inkluderar att uppdatera patchpolicyn för att säkerställa att CVE:er skyddas praktiskt taget inom 24 timmar och åtgärdas helt inom 72 timmar. Automatiserad sårbarhetsskanning kommer att stödja dessa insatser genom att hitta programvara som inte har patchats.
”Säkerhetsteam bör prioritera sårbarheter baserat på utnyttjandemöjligheter, exponering och kritiska tillgångar snarare än att enbart förlita sig på CVSS-poäng”, råder Clapton. ”Att integrera sårbarhetsskanning i utvecklingspipelines och upprätthålla synligheten av snabbt föränderliga molntillgångar är avgörande.”
ISO-skillnaden
Shane Barney, CISO på Keeper Security, menar dock att även om Google Clouds säkra standardinställning är bra för kunderna, så verkar de flesta företag i hybrid- och multimolnmiljöer där dessa kontroller inte fungerar på ett konsekvent sätt.
”Prioriteten för IT-chefer bör inte vara att replikera en enda leverantörs modell, utan att säkerställa konsekventa säkerhetsresultat i alla miljöer. Det innebär att tillämpa identitetsstyrda säkerhetskontroller som följer med användaren, snarare än själva plattformen”, säger han till IO.
”En ’säker som standard’-position är bara effektiv när den förstärks av en nollförtroendemodell som antar att ingen identitet eller system implicit kan litas på, tillämpar åtkomst med lägst privilegium för att eliminera permanenta behörigheter och tillämpar kontinuerlig verifiering och sessionsövervakning för att upptäcka och begränsa missbruk i realtid – särskilt över privilegierade konton.”
Lyckligtvis har CISO:er en allierad i form av standarder och ramverk för bästa praxis som ISO 27001.
”Ramverk som ISO/IEC 27001 ger en viktig grund genom att formalisera kontroller över sårbarhetshantering, identitets- och åtkomststyrning samt säkerhetsmedvetenhet”, fortsätter Barney. ”De omsätter regulatoriska avsikter till strukturerade, granskningsbara metoder för att hantera informationsrisker, integrera kontroller över åtkomsthantering, sårbarhetsåtgärder och incidenthantering som kan skalas över komplexa, molndrivna miljöer.”
KnowBe4:s huvudsakliga CISO-rådgivare, Javvad Malik, förespråkar också formaliserade metoder för bästa praxis som denna, så länge avsikten inte är att följa reglerna i en enda ruta.
”Standarder som ISO27001 är användbara eftersom de kan styra organisationer för att få grunderna på plats, såsom tillgångshantering, patchning, åtkomstkontroll, incidenthantering, mänskliga risker och så vidare”, säger han till IO.
”Isolerat sett kan standarderna i sig ha begränsat värde, särskilt om organisationer bara tillämpar dem för att säkerställa efterlevnad. De bör användas för att bygga upp stark styrning, integreras i den dagliga verksamheten och underbygga den övergripande säkerhetskulturen så att säkra val är de normala och föredragna valen.”
Utöka din kunskap
Podcast: Nätfiske för problem Avsnitt #05: Vem har nycklarna till ditt företag?
Webinar: Säkra din molnmiljö
