Security

Microsoft Threat Intelligence: AI i cyberangreb

3 min læsning

Resumé

Microsoft Threat Intelligence vurderer, at AI allerede bruges bredt i cyberangreb som en accelerator til phishing, rekognoscering, dataanalyse og kodegenerering, mens mennesker stadig står for måludvælgelse og udførelse. Det er vigtigt, fordi AI ikke nødvendigvis skaber helt nye angrebsmetoder, men gør eksisterende angreb hurtigere, billigere og mere vedholdende, hvilket øger presset på IT- og sikkerhedsteams.

Brug for hjælp med Security?Tal med en ekspert

Introduktion: Hvorfor dette er vigtigt nu

Virksomheder integrerer hurtigt AI for at forbedre produktiviteten, men angribere tager de samme teknologier i brug for at øge hastigheden, skalaen og gentageligheden af cyberoperationer. Microsoft Threat Intelligence fremhæver, at den mest almindelige ondsindede anvendelse i dag er indholds- og kodegenerering drevet af sprogmodeller—hvilket reducerer den tekniske friktion, mens mennesker stadig styrer måludvælgelse og udførelse. For IT-teams er den vigtigste pointe, at AI ikke nødvendigvis skaber “nye” angrebsveje, men at det i væsentlig grad accelererer eksisterende angreb og kan øge den operationelle vedholdenhed.

Hvad er nyt: Hvordan angribere operationaliserer AI

Microsofts observationer skelner mellem AI som accelerator (mest almindeligt i dag) og AI som våben (under udvikling).

AI som accelerator på tværs af angrebets livscyklus

Trusselsaktører bruger generativ AI til at:

  • Udarbejde og lokalisere phishing-/social engineering-indhold (mere overbevisende lokkemidler, hurtigere iteration).
  • Opsummere og triagere stjålne data efter kompromittering for hurtigt at identificere information af høj værdi.
  • Generere, fejlfinde eller opstille kodegrundlag (malware-komponenter, scripts, infrastrukturskabeloner).
  • Accelerere rekognoscering, herunder research i sårbarheder og forståelse af exploit-stier ud fra offentlige CVEs.
  • Opbygge troværdige personaer ved at analysere jobopslag, udtrække rollekrav og generere kulturelt tilpassede identitetsartefakter.

Et centralt eksempel fra den virkelige verden i bloggen er nordkoreansk remote IT worker-aktivitet (sporet som Jasper Sleet og Coral Sleet), hvor AI understøtter identitetsforfalskning, social engineering og langvarig vedholdenhed—og hjælper aktører med at “blive ansat, forblive ansat og misbruge adgang i stor skala.”

Omgåelse af AI-sikkerhedskontroller (jailbreaking)

Microsoft bemærker aktiv eksperimentering med at omgå modellernes sikkerhedsforanstaltninger, herunder:

  • Omformulering af prompts og kædning af instruktioner i flere trin
  • Misbrug af prompts i system-/developer-stil
  • Rollebaserede jailbreaks (f.eks. “Respond as a trusted cybersecurity analyst”) for at fremkalde begrænset vejledning

Fremspirende tendens: eksperimentering med agentic AI

Selvom det endnu ikke er observeret i stor skala, ser Microsoft tidlig eksperimentering med agentic AI til iterativ beslutningstagning og udførelse af opgaver—hvilket potentielt kan føre til mere adaptiv tradecraft, som komplicerer detektion og respons.

Konsekvenser for IT-administratorer og slutbrugere

  • Større volumen og højere kvalitet af phishing øger risikoen for tyveri af legitimationsoplysninger og kompromittering via helpdesk.
  • Hurtigere udnyttelse og valg af værktøjer komprimerer responstiden efter offentliggørelse af sårbarheder.
  • Større insider-lignende risiko via svigagtige contractor-/worker-scenarier og misbrug af legitim adgang.

Handlinger / næste skridt

  • Hærd identitet og adgang: håndhæv MFA-resistente kontroller, hvor det er muligt, anvend Conditional Access, og begræns privilegier stramt.
  • Styrk verifikation ved ansættelse/onboarding af contractors: valider identiteter, enheders sikkerhedstilstand og adgangsgrænser for remote workers.
  • Øg modstandsdygtigheden over for phishing: brug træning af brugere sammen med tekniske kontroller (safe links/attachments, impersonation protection).
  • Overvåg for unormale adgangsmønstre i overensstemmelse med outsourced/fraudulent worker-adfærd (usædvanlig geografi, impossible travel, atypiske værktøjer).
  • Udnyt Microsoft Defender-detektioner og undersøgelser fremhævet af Microsoft til at detektere, afhjælpe og reagere på AI-understøttet aktivitet.

Microsoft understreger, at AI også kan forstærke forsvarere—når det kombineres med stærke kontroller, intelligence-drevne detektioner og koordinerede forstyrrelsesindsatser.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Microsoft Threat Intelligence
Microsoft Threat IntelligenceDefenderphishinggenerative AIidentity security

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Microsoft CTI-REALM benchmark til AI detection engineering

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.