Trusselaktører er intet mindre end opfindsomme. Når de opdager, at en bestemt vej er blokeret, giver de ikke op. I stedet søger de blot efter en anden. Bare tag et kig på Googles seneste Rapport om cloud-trusselshorisonter for 1. halvår 2026. Google Cloud har indbygget et robust sæt af bedste praksisser i sin platform for at minimere mulighederne for identitetskompromittering og misbrug. Så hvad gjorde de onde fyre i andet halvår af 2025? De ændrede simpelthen deres indledende adgangsindsats fra kompromittering af legitimationsoplysninger til udnyttelse af sårbarheder.
Det er en af flere interessante indsigter fra rapporten, der kan hjælpe CISO'er i deres arbejde med løbende at forbedre deres sikkerhedstilstand.
Fra fejl til brud
To diagrammer illustrerer perfekt den dynamiske karakter af nutidens trusselslandskab: det ene beskriver de indledende adgangsvektorer, der udnyttes i Google Cloud, og det andet en platformuafhængig version. I Google Cloud var "svage eller manglende legitimationsoplysninger" kun ansvarlige for 27 % af bruddene i andet halvår af 2025, et fald fra 47.1 % i de foregående seks måneder. Til sammenligning tegnede udnyttelse af sårbarheder i tredjepartssoftware sig for 45 % af bruddene, en stigning fra kun 3 % i 1. halvår 2025.
Selvom sidstnævnte angreb er "mere sofistikerede og dyre" for trusselsaktører, bliver de også bedre til dem. Tidsrummet mellem afsløring af sårbarheder og masseudnyttelse er faldet fra uger til blot dage eller timer, siger Google. React2Shell var et af de mest populære mål for udnyttelse sidste år – hvilket resulterede i et større brud på LexisNexis, blandt flere andre virksomheder.
Når vi ser på billedet på tværs af alle platforme, gentager identitet sig dog som den primære angrebsvektor for hændelser, der involverer store cloud- og SaaS-hostede miljøer – og tegner sig for 83 % af den indledende adgang. Udnyttelse af sårbarheder tegnede sig kun for 2 % sidste år. Når man ser på specifikke forhold inden for identitet, var vishing (17 %) mere populært end e-mail-phishing (12 %). Men mere almindeligt end begge var brugen af stjålne legitimationsoplysninger (21 %) og kompromitterede tillidsforhold til tredjeparter (21 %), såsom den berygtede Salesforce Drift OAuth-kampagne.
Vær mere Google
Rapporten giver ikke blot et nyttigt øjebliksbillede af aktuelle trusselsudviklinger, den viser også, hvad der fungerer defensivt. I en ideel verden ville CISO'er være i stand til at efterligne Google Clouds dybdegående forsvar og en sikker standardtilgang til at blokere så mange indledende adgangsveje som muligt. Fra et identitetsperspektiv betyder dette:
- Håndhævelse af princippet om færrest rettigheder og regelmæssig revision/fjerning af overskydende tilladelser
- Udskiftning af tilladte firewallregler med identitetscentrerede proxyer for at beskytte administrative grænseflader mod fjernkodeudførelse (RCE) og stjålne adgangskoder
- Håndhævelse af kontekstbevidst, phishing-resistent MFA (f.eks. hardwarenøgler eller adgangsnøgler)
- Begrænsning af de data, som tredjepartsapplikationer kan tilgå (f.eks. via OAuth-integration)
- Etablering af strenge verifikationsprotokoller for IT-helpdeskpersonale (f.eks. krav om visuel verifikation på et videoopkald eller godkendelse fra en sekundær leder) for at mindske forsøg på at "visualisere" (hashing).
Princippet om "sikker som standard" er en af de mest effektive måder at reducere risiko i moderne cloud-miljøer, argumenterer Vysiions CTO, Peter Clapton.
"Platforme bør leveres med stærke grundlæggende beskyttelser til identitet, godkendelse og privilegiestyring, så organisationer ikke er afhængige af administratorer til at konfigurere adskillige kontroller korrekt, før de opnår beskyttelse," fortæller han IO (tidligere ISMS.online). "I cloud-miljøer, hvor infrastruktur kan implementeres hurtigt og i stor skala, reducerer disse standardbeskyttelser sandsynligheden for, at fejlkonfiguration bliver et indgangspunkt for angribere betydeligt."
Dog bør "sikkerhed som standard" betragtes som en basislinje. "Identitet er reelt blevet den moderne sikkerhedsperimeter, så organisationer har stadig brug for stærk styring, overvågning og politikker for adgang med færrest rettigheder på tværs af brugere, servicekonti og tredjepartsintegrationer for at håndtere risici effektivt," siger Clapton.
CISO'er kan også følge Googles råd om at afbøde udnyttelse af sårbarheder, som beskrevet i rapporten. Dette inkluderer opdatering af patchpolitikken for at sikre, at CVE'er er beskyttet praktisk talt inden for 24 timer og fuldt ud afhjulpet inden for 72 timer. Automatiseret sårbarhedsscanning vil hjælpe med at understøtte disse bestræbelser ved at finde upatchet software.
"Sikkerhedsteams bør prioritere sårbarheder baseret på udnyttelighed, eksponering og aktivernes kritiske karakter i stedet for udelukkende at stole på CVSS-scorer," råder Clapton. "Det er afgørende at integrere sårbarhedsscanning i udviklingspipelines og opretholde synligheden af hurtigt skiftende cloud-aktiver."
ISO-forskellen
Shane Barney, CISO hos Keeper Security, argumenterer dog for, at selvom Google Clouds sikre standardindstilling er god for kunderne, opererer de fleste virksomheder i hybrid- og multi-cloud-miljøer, hvor disse kontroller ikke strækker sig på en ensartet måde.
"Prioriteten for CISO'er bør ikke være at kopiere en enkelt udbyders model, men at sikre ensartede sikkerhedsresultater på tværs af alle miljøer. Det betyder at håndhæve identitetsførende sikkerhedskontroller, der følger brugeren, snarere end selve platformen," fortæller han IO.
"En 'sikker-som-standard'-holdning er kun effektiv, når den forstærkes af en nultillidsmodel, der antager, at ingen identitet eller system implicit kan stoles på, håndhæver adgang med færrest rettigheder for at eliminere stående tilladelser og anvender kontinuerlig verifikation og sessionsovervågning for at opdage og inddæmme misbrug i realtid – især på tværs af privilegerede konti."
Heldigvis har CISO'er en allieret i form af standarder og rammer for bedste praksis som ISO 27001.
"Rammer som ISO/IEC 27001 giver et afgørende fundament ved at formalisere kontroller på tværs af sårbarhedsstyring, identitets- og adgangsstyring samt sikkerhedsbevidsthed," fortsætter Barney. "De omsætter lovgivningsmæssige intentioner til strukturerede, auditerbare praksisser til styring af informationsrisici, integration af kontroller på tværs af adgangsstyring, sårbarhedsafhjælpning og hændelsesrespons, der kan skaleres på tværs af komplekse, cloud-drevne miljøer."
KnowBe4's ledende CISO-rådgiver, Javvad Malik, er også fortaler for formaliserede bedste praksis-tilgange som denne, så længe hensigten ikke er "afkrydsningsfelter"-compliance.
"Standarder som ISO27001 er nyttige, fordi de kan styre organisationer i retning af at få de grundlæggende elementer på plads, såsom aktivstyring, patching, adgangskontrol, hændelsesrespons, menneskelig risiko og så videre," fortæller han IO.
"Isoleret set kan standarderne i sig selv have begrænset værdi, især hvis organisationer kun anvender dem for at overholde reglerne. De bør bruges til at opbygge stærk styring, integreres i den daglige drift og understøtte den overordnede sikkerhedskultur, så sikre valg er de normale og foretrukne valg."
Udvid din viden
Podcast: Phishing for Trouble Episode #05: Hvem har nøglerne til din virksomhed?
Webinar: Sikring af dit cloudmiljø
