Fra åben mappe til fuld adgang: Cloud-angreb viste, hvor hurtigt det kan gå
En analyse fra sikkerhedsfirmaet Sysdig beskriver et cloud-angreb, hvor en angriber nåede fra første adgang til administratorrettigheder på cirka otte minutter. Pointen er ikke kun tallet i sig selv – men hvad det siger om tempoet: Når angribere bruger værktøjer med kunstig intelligens til at finde næste skridt, kan dit beredskab være bagefter, før nogen når at reagere.
Ifølge Sysdig startede angrebet med noget så lavpraktisk som adgangsnøgler, der lå frit tilgængeligt i et offentligt S3-lagringsområde (Amazon S3 er en udbredt cloud-“mappe” til filer). Med de nøgler kunne angriberen logge ind og hurtigt kortlægge miljøet. Næste spring kom via en Lambda-funktion (AWS Lambda er små programmer, der kører i skyen): Angriberen kunne ændre koden i en eksisterende funktion, som havde en alt for bred adgangsrolle. Det gjorde det muligt at oprette nye administrator-nøgler og dermed få fuld kontrol.
Senere i forløbet blev der også set aktivitet mod Amazon Bedrock (AWS’ tjeneste til at bruge sprogmodeller), hvor manglende logning kan gøre det svært at opdage misbrug og følge omfanget.
| Tid fra start | Forenklet tidslinje (Sysdig) |
|---|---|
| 0 min | Adgangsnøgler findes i offentligt lagringsområde |
| ~6 min | Hurtig kortlægning og udvidelse af adgang i miljøet |
| ~8 min | Ændring af server-funktion og opnåelse af administratoradgang |
| ~11 min | Oprettelse af ekstra admin-adgang (“bagdør”) |
For danske virksomheder er det en påmindelse om, at cloud-sikkerhed ofte falder på identitet og rettigheder – ikke på “smarte” tekniske angreb. I mit arbejde med danske organisationer ser jeg igen og igen, at de hurtigste gevinster findes i oprydning i adgange, nøgler og logning.
Kort fortalt
- Sysdig beskriver et angreb, der nåede administratorrettigheder på ca. 8 minutter
- Startpunktet var adgangsnøgler, der lå offentligt tilgængeligt
- En server-funktion med for brede rettigheder gjorde eskalation mulig
- Værktøjer med kunstig intelligens kan accelerere angriberens beslutninger og tempo
- Konklusionen: Reaktion skal måles i minutter – ikke timer
Det kan du gøre nu
- Få bekræftet, at ingen cloud-lagringsområder (fx S3) er offentligt åbne – især dem med kode, nøgler eller “driftsfiler”
- Gennemgå og fjern gamle adgangsnøgler; sæt udløb og rotation på dem, der stadig skal bruges
- Tjek hvem der må ændre server-funktioner (fx Lambda) – og skær det ned til et minimum
- Sørg for central logning af kritiske hændelser (oprettelse af nøgler/brugere, ændring af funktioner, rettighedsændringer)
- Sæt alarmer op, så en ny admin-nøgle eller ny admin-bruger giver besked med det samme
- Lav en kort øvelse: “Hvad gør vi de første 10 minutter?” – og hvem ringer vi til, hvis noget ser forkert ud
Kilder
- Sysdig (3. februar 2026): “AI-assisted cloud intrusion achieves admin access in 8 minutes” (original titel) – https://www.sysdig.com/blog/ai-assisted-cloud-intrusion-achieves-admin-access-in-8-minutes?utm_source=tldrinfosec
🤖 Denne artikel er skrevet af kunstig intelligens og kan indeholde fejl.
Læs original kilde →Fandt du en fejl?