AI har gått från experiment till skarp användning i cyberangrepp. I de snabbaste fallen har tiden från intrång till dataexfiltration minskat från nästan fem timmar till 72 minuter. Samtidigt spelar brister i identitetshantering en avgörande roll i nära nio av tio intrång. Det framgår av Global Incident Response Report 2026 från Palo Alto Networks analysenhet Unit 42.
AI pressar ned tiden till datastöld
Rapporten bygger på över 750 verkliga cyberincidenter globalt och beskriver hur angrepp genomförs, hur tempot ökar och var organisationers försvar brister.
Under året har AI använts i större skala. I de snabbaste fallen har tiden från intrång till dataexfiltration minskat från nästan fem timmar till drygt en timme, motsvarande 72 minuter. Det innebär en fyrdubbling av angreppstempot jämfört med tidigare nivåer.
Identitet vanligaste vägen in
Identitet är fortsatt den dominerande vägen in. I nära 90 procent av utredningarna hade brister i identitetshantering en avgörande betydelse. 65 procent av den initiala åtkomsten skedde via identitetsbaserade tekniker, såsom social manipulation, medan sårbarheter stod för 22 procent.
Den snabba ökningen av maskin- och tjänsteidentiteter förstärker riskerna, eftersom dessa ofta har höga behörigheter och begränsad övervakning.
Fler angrepp via SaaS och leverantörskedjor
Leverantörskedjan är en annan växande angreppspunkt. Incidenter kopplade till tredjeparts-SaaS-applikationer har ökat 3,8 gånger sedan 2022 och utgör nu 23 procent av fallen.
I stället för traditionella intrång utnyttjas betrodda kopplingar genom stulna OAuth-token eller API-nycklar.
Intrång spänner över fler attackytor
Komplexiteten i attackerna ökar samtidigt. 87 procent av intrången omfattar flera attackytor, i vissa fall upp till tio. Angrepp rör sig mellan klienter, nätverk, moln-, SaaS- och identitetssystem, vilket ställer krav på sammanhängande överblick över hela infrastrukturen.
Webbläsaren som angreppsyta
Webbläsaren är en vanlig angreppsyta. Nästan 48 procent av incidenterna involverade webbläsarbaserad aktivitet, ofta kopplad till e-post, surf eller molntjänster.
Utpressning utan kryptering ökar
Utpressningsattacker förändras också. Andelen incidenter där data krypteras har minskat till 78 procent, från 92 procent året innan. I fler fall prioriteras direkt datastöld och systempåverkan.
Fyra trender väntas prägla hotbilden 2026 - Kort sammanfattning:.
- AI fungerar som en kraftmultiplikator och förkortar tiden från intrång till påverkan. Under 2025 fyrdubblades exfiltrationstempot i de snabbaste angreppen.
- Identitet är den vanligaste vägen in. Brister i identitetshantering förekom i nära 90 procent av utredningarna, där angripare använder stulna inloggningar och token för att eskalera behörigheter.
- Riskerna i leverantörskedjan har breddats. Angripare utnyttjar SaaS-integrationer och betrodda kopplingar för att ta sig förbi traditionella skydd.
- Samtidigt anpassar statliga aktörer sina metoder med ökad uthållighet, falska identiteter och djupare intrång i central infrastruktur.
Källa: Palo Alto Networks
