Minste motstands vei: Hvorfor dybdeforsvar er den beste responsen på skytrusler

Trusselaktører er ressurssterke. Når de oppdager at en bestemt vei er blokkert, gir de ikke opp. I stedet søker de rett og slett etter en annen. Bare ta en titt på Googles nyeste Rapport om skytrusselhorisonter for første halvår 2026. Google Cloud har bygget et robust sett med beste praksis i plattformen sin for å minimere mulighetene for identitetskompromittering og misbruk. Så hva gjorde skurkene i andre halvdel av 2025? De endret ganske enkelt sine første tilgangsinnsatser fra kompromittering av legitimasjon til utnyttelse av sårbarheter.

Det er én av flere interessante innsikter fra rapporten som kan hjelpe IT-sjefer i deres arbeid med kontinuerlig å forbedre sikkerhetsstillingen sin.

Fra feil til sikkerhetsbrudd

To diagrammer illustrerer perfekt den dynamiske naturen til dagens trussellandskap: ett som beskriver innledende tilgangsvektorer utnyttet i Google Cloud, og det andre en plattformuavhengig versjon. I Google Cloud var «svake eller manglende legitimasjonsopplysninger» ansvarlige for bare 27 % av bruddene i andre halvdel av 2025, ned fra 47.1 % i de foregående seks månedene. Til sammenligning sto utnyttelse av sårbarheter i tredjepartsprogramvare for 45 % av bruddene, opp fra bare 3 % i første halvdel av 2025.

Selv om de sistnevnte angrepene er «mer sofistikerte og kostbare» for trusselaktører, blir de også bedre på dem. Vinduet mellom avsløring av sårbarheter og masseutnyttelse har sunket fra uker til bare dager eller timer, sier Google. React2Shell var et av de mest populære målene for utnyttelse i fjor – noe som resulterte i et stort brudd på LexisNexis, blant flere andre selskaper.

Når vi ser på bildet på tvers av alle plattformer, gjenoppstår imidlertid identitet som den primære angrepsvektoren for hendelser som involverer store sky- og SaaS-hostede miljøer – og står for 83 % av den første tilgangen. Utnyttelse av sårbarheter sto for bare 2 % i fjor. Når man ser på spesifikasjoner innen identitet, var vishing (17 %) mer populært enn e-postphishing (12 %). Men vanligere enn begge deler var bruk av stjålet legitimasjon (21 %) og kompromitterte tillitsforhold til tredjeparter (21 %), som for eksempel den beryktede Salesforce Drift OAuth-kampanjen.

Bli mer Google

Rapporten gir ikke bare et nyttig øyeblikksbilde av nåværende trusseltrender, den viser også hva som fungerer defensivt. I en ideell verden ville IT-sjefer kunne etterligne Google Clouds dyptgående forsvar og en sikker standardtilnærming for å blokkere så mange innledende tilgangsveier som mulig. Fra et identitetsperspektiv betyr dette:

• Håndheve prinsippet om minste privilegium og regelmessig revidere/fjerne overdrevne tillatelser
• Erstatte permissive brannmurregler med identitetssentriske proxyer for å beskytte administrative grensesnitt mot ekstern kodekjøring (RCE) og stjålne passord.
• Håndheving av kontekstbevisst, phishing-resistent MFA (f.eks. maskinvarenøkler eller passord)
• Begrense dataene som tredjepartsapplikasjoner har tilgang til (f.eks. via OAuth-integrasjon)
• Etablering av strenge verifiseringsprotokoller for IT-hjelpedesk-ansatte (f.eks. krav om visuell verifisering på en videosamtale eller godkjenning fra sekundærleder) for å redusere forsøk på å vise falske tjenester

Prinsippet om «sikker som standard» er en av de mest effektive måtene å redusere risiko i moderne skymiljøer, argumenterer Vysiions tekniske direktør, Peter Clapton.

«Plattformer bør leveres med sterke grunnleggende beskyttelser for identitet, autentisering og rettighetsadministrasjon, slik at organisasjoner ikke er avhengige av at administratorer konfigurerer en rekke kontroller riktig før de oppnår beskyttelse», forteller han IO (tidligere ISMS.online). «I skymiljøer, der infrastruktur kan distribueres raskt og i stor skala, reduserer disse standardrekkverkene sannsynligheten for at feilkonfigurasjon blir et inngangspunkt for angripere betydelig.»

Imidlertid bør sikker som standard betraktes som en grunnlinje. «Identitet har effektivt blitt den moderne sikkerhetsperimeteren, så organisasjoner trenger fortsatt sterk styring, overvåking og retningslinjer for tilgang med minst mulig rettigheter på tvers av brukere, tjenestekontoer og tredjepartsintegrasjoner for å håndtere risiko effektivt», sier Clapton.

IT-sjefer kan også følge Googles råd om å redusere utnyttelse av sårbarheter, som beskrevet i rapporten. Dette inkluderer å oppdatere oppdateringspolicyen for å sikre at CVE-er er beskyttet praktisk talt innen 24 timer og fullstendig utbedret innen 72 timer. Automatisert sårbarhetsskanning vil bidra til å støtte disse tiltakene ved å finne programvare som ikke er oppdatert.

«Sikkerhetsteam bør prioritere sårbarheter basert på utnyttbarhet, eksponering og kritiskhet av ressurser, i stedet for å utelukkende stole på CVSS-poengsummer», råder Clapton. «Det er avgjørende å integrere sårbarhetsskanning i utviklingsprosesser og opprettholde synligheten av raskt skiftende skyressurser.»

ISO-forskjellen

Shane Barney, CISO i Keeper Security, hevder imidlertid at selv om Google Clouds sikre standardinnstilling er god for kundene, opererer de fleste bedrifter i hybrid- og multiskymiljøer der disse kontrollene ikke utvides på en konsistent måte.

«Prioriteten for IT-sjefer bør ikke være å kopiere en enkelt leverandørs modell, men å sikre konsistente sikkerhetsresultater på tvers av alle miljøer. Det betyr å håndheve identitetsfokuserte sikkerhetskontroller som følger brukeren, snarere enn selve plattformen», forteller han til IO.

«En «sikker som standard»-holdning er bare effektiv når den forsterkes av en nulltillitsmodell som antar at ingen identitet eller system implisitt kan stoles på, håndhever tilgang med lavest mulig privilegium for å eliminere stående tillatelser, og bruker kontinuerlig verifisering og øktovervåking for å oppdage og begrense misbruk i sanntid – spesielt på tvers av privilegerte kontoer.»

Heldigvis har CISO-er en alliert i form av standarder og rammeverk for beste praksis som ISO 27001.

«Rammeverk som ISO/IEC 27001 gir et kritisk grunnlag ved å formalisere kontroller på tvers av sårbarhetshåndtering, identitets- og tilgangsstyring og sikkerhetsbevissthet», fortsetter Barney. «De oversetter regulatoriske intensjoner til strukturerte, reviderbare praksiser for å håndtere informasjonsrisiko, integrere kontroller på tvers av tilgangshåndtering, sårbarhetsutbedring og hendelsesrespons som kan skaleres på tvers av komplekse, skydrevne miljøer.»

KnowBe4s ledende CISO-rådgiver, Javvad Malik, er også en forkjemper for formaliserte beste praksis-tilnærminger som denne, så lenge hensikten ikke er samsvar med krav i «kryssbokser».

«Standarder som ISO27001 er nyttige fordi de kan styre organisasjoner for å få det grunnleggende på plass, som for eksempel ressursforvaltning, patching, tilgangskontroll, hendelsesrespons, menneskelig risiko og så videre», forteller han til IO.

«Isolert sett kan standardene i seg selv ha begrenset verdi, spesielt hvis organisasjoner kun følger disse for å sikre samsvar. De bør brukes til å bygge sterk styring, integreres i den daglige driften og underbygge den overordnede sikkerhetskulturen, slik at sikre valg er de normale og foretrukne valgene.»

Utvid din kunnskap

Podcast: Phishing for Trouble Episode #05: Hvem har nøklene til bedriften din?

Webinar: Sikring av skymiljøet ditt

Blogg: Fra perimetersikkerhet til identitet som sikkerhet