Identitetshot: En allvarlig cyberrisk i dagens IT-miljöer

En färsk rapport från Barracuda avslöjar att attacker riktade mot användaridentiteter utgör den mest frekventa typen av hot. Inloggningar som strider mot användarens vanliga beteenden är starka tecken på intrång. Om en anställd försöker logga in från Malmö och Hanoi samtidigt bör detta omedelbart utredas.

Rapporten avslöjar att cyberangripare i stor utsträckning fokuserar på användaridentiteter. Under det senaste året har avvikande inloggningar från nya geografiska platser eller enheter varit de mest rapporterade säkerhetslarmen. Detta framgår av Barracuda Managed XDR Global Threat Report, som baseras på analys av över två biljoner IT-händelser och nästan 600 000 säkerhetslarm.

Rapporten visar också att attacker mot identiteter är bland de mest allvarliga hoten. Avvikande inloggningar i Microsoft 365, liksom så kallade impossible travel-händelser, där samma konto loggar in från två platser inom en tidsram som gör resan omöjlig, är särskilt oroande. Sådana avvikelser tyder ofta på stulna inloggningsuppgifter och komprometterade konton.

– Organisationer måste idag betrakta användarkontot som en av de primära ingångarna i IT-miljön. En användare som loggar in från en plats eller vid en tidpunkt som avviker från det normala beteendet är en tydlig indikation på att något kan vara fel, säger en expert.

Rapporten belyser att dessa avvikande beteenden är svåra att upptäcka, eftersom angripare ofta använder legitima verktyg för att efterlikna normal IT-aktivitet. Ett kapat konto kan således verka som en vanlig användare tills en noggrann analys av beteendemönstret görs.

De mest frekventa larmen relaterade till kapade konton innefattar:
avvikande inloggningar i Microsoft 365 – 42 859 händelser
impossible travel i Microsoft 365 – 22 343 händelser
inloggningsförsök kopplade till kontoövertagande – 5 131 händelser.

Rapporten visar även att hot som upptäckts och stoppats i datorer och mobiler är bland de vanligaste i företags IT-miljöer. Dessa indikatorer pekar på att angripare antingen redan har fått tillgång till ett konto eller försöker få det.

– Angripare behöver bara en svag punkt för att lyckas, det kan vara ett konto som inte stängts ner, en felkonfigurerad säkerhet eller en enhet utan skydd. För organisationer med begränsade resurser och många separata säkerhetsverktyg är det en stor utmaning att upptäcka dessa hot i tid, förklarar en expert.

Rapporten rekommenderar flera åtgärder för att snabbt minska risken för intrång, såsom att implementera multifaktorautentisering (MFA), övervaka avvikande beteenden, och använda en integrerad säkerhetsplattform för komplett överblick över IT-miljön. Syftet med rapporten är att hjälpa organisationer, särskilt de med begränsade resurser, att förstå hur attacker genomförs och vilka säkerhetsluckor som kan utnyttjas.

Kort om studien: Resultaten bygger på omfattande data insamlad av Barracuda Managed XDR under året 2025, vilket omfattar över två biljoner IT-händelser och mer än 300 000 skyddade enheter.