Cyberkriminella har gått från att experimentera med AI till skarp användning i stor skala. Samtidigt utnyttjas brister i digital identitetshantering i nästan nio av tio intrång. Det framgår av analyserna i Palo Alto Networks analysenhet, Unit 42:s, cybersäkerhetsrapport Global Incident Response Report 2026. Rapporten ger en detaljerad bild av hur moderna attacker genomförs, hur snabbt de utvecklas – och var organisationers försvar brister.
Under året har AI blivit en tydlig kraftmultiplikator. I de snabbaste fallen har tiden från intrång till dataexfiltration minskat från nästan fem timmar till drygt en timme (72 minuter) – en fyrfaldig ökning av angreppstempot. För försvarare innebär det att manuella processer och traditionella arbetssätt inte längre räcker.
Identitet fortsätter att vara den dominerande vägen in för angripare. I nära 90 procent av alla utredningar spelade brister i identitetshanteringen en avgörande roll. 65 procent av den initiala åtkomsten skedde via identitetsbaserade tekniker, så som social manipulation, medan sårbarheter stod för 22 procent. I takt med att antalet maskin- och tjänsteidentiteter växer snabbt förvärras problemet ytterligare, eftersom dessa ofta har omotiverat höga behörigheter och övervakas inkonsekvent.
Även attacker relaterade till leverantörskedjan förändras. Angrepp som involverar tredjeparts-SaaS-applikationer har ökat 3,8 gånger sedan 2022 och står nu för 23 procent av incidenterna. I stället för att bryta sig in utnyttjar angripare betrodda kopplingar genom stulna OAuth-token eller API-nycklar för att röra sig vidare i systemen.
Rapporten visar även hur komplexiteten i angreppen ökar. 87 procent av intrången spänner över flera attackytor – i vissa fall upp till tio. Hoten rör sig mellan klienter, nätverk, moln-, SaaS- och identitetssystem, vilket ställer krav på sammanhängande synlighet över hela infrastrukturen.
Webbläsaren har dessutom blivit en vaniig angreppsyta. Nästan hälften (48 procent) av alla incidenter involverade webbläsarbaserad aktivitet, vilket speglar hur vardagliga moment som e-post, surf och användning av molntjänster ofta blir en språngbräda för attacker.
Utpressningsattackerna förändras också. Andelen incidenter där angripare krypterar data har minskat till 78 procent, jämfört med 92 procent året innan. I allt fler fall hoppas krypteringen över till förmån för direkt datastöld och systemstörningar – snabbare, tystare och med omedelbar effekt.
