Ljus
Mörk
Författare
SOC @ Asurgent
Read time
6 min
8 juni 2026
Det var en tid då "Patch Tuesday" kändes som ett välorganiserat lugn. En gång i månaden samlades IT-teamet, stämde av med change management, testade i staging och rullade ut. Ordning och reda. En välkänd dans. Den dansen är nu avslutad.
Inte för att Microsoft slutat med sina månadsvisa uppdateringar, utan för att angriparna slutat vänta på dem. Enligt Rapid7:s senaste hotrapport har antalet bekräftade exploateringar av nyupptäckta kritiska sårbarheter ökat med 105% under 2025 jämfört med 2024. Mediantiden från att en sårbarhet publiceras till att den aktivt exploateras i det vilda har fallit från 28 dagar till 5 dagar. Fem dagar. Det är knappt tid att boka ett möte för att diskutera om man ska patcha, än mindre att faktiskt göra det.
Och det stannar inte där. Enligt prognoser från säkerhetsforskare bedöms tid till exploatering nå timmar, möjligen minuter, mot slutet av decenniet. Attackerna är automatiserade. Sårbarhetsskanningar sker nu inom timmar efter att ett CVE publiceras. Angriparna skalar med maskinhastighet. Det gör inte vi, om vi fortfarande lever i en månadscykel.
Claude Mythos och andra avancerade AI-modeller har förändrat spelplanen på ett sätt som känns lika bekant som det är obehagligt. Det är samma logik som drev agil mjukvaruutveckling: iteration i stället för vattenfall, snabb feedback i stället för halvårsleveranser. Fast nu sitter den agiliga principen på fel sida bordet.
Hotaktörerna itererar snabbt. De testar, misslyckas, justerar och försöker igen, med AI som medhjälpare och globaliserat kunnande som grund. Dagligen rapporteras numera 131 nya CVE:er. Det är inte ett typografiskt fel. 131 per dag, varje dag. Och av organisationer som faktiskt försöker hålla koll har 53% fortfarande minst en öppen, internetexponerad sårbarhet. 22% har mer än ett tusen. Mediantiden för att åtgärda hälften av sina exponerade sårbarheter är 361 dagar.
Det är inte en patchstrategi. Det är ett skuldbrev.
Här är en sanning som inte alltid får tillräckligt med utrymme i säkerhetsdiskussionen. Det verkliga hindret för många organisationer är inte längre att de saknar data. Det är att de drunknar i den.
Varje sårbarhet genererar information. En CVE med CVSS-poäng, tillhörande hotintelligens, exploateringsstatus, berörda system, rekommenderade åtgärder och kanske en handfull motstridiga råd från tre olika verktyg. Multiplicera det med 131 per dag. Lägg till larmnotiser från endpoint-agenter, molnkonfigurationsavvikelser, identitetsanomalier och nätverkshändelser. Resultatet är inte klarhet. Det är brus.
Säkerhetsteam beskriver det som att försöka läsa en tidning där varje artikel är lika viktig som alla andra, där rubrikerna byts ut var femte minut och där tidningen aldrig slutar tryckas. Man vet att svaret finns någonstans i högen. Man hinner bara inte leta.
Det finns ett välkänt fenomen inom kognitiv psykologi som kallas decision fatigue, beslutsutmattning, där kvaliteten på våra beslut försämras i takt med att mängden beslut ökar. Säkerhetsteam upplever det här inte som en teoretisk risk, utan som en vardaglig verklighet. Och i den verkligheten vinner inte nödvändigtvis det viktigaste ärendet. Det vinner det som råkar hamna överst i kön.
Det är det angriparna räknar med.
Det är här verktygslådan börjar spela roll på riktigt, men också där förväntningarna behöver kalibreras. Fler verktyg ger inte automatiskt bättre beslut. Det avgörande är om verktygen hjälper oss att skilja signal från brus.
Microsoft Intune ger synlighet och kontroll över endpoints oavsett om de sitter på kontoret, hemma eller i ett kafé i Lissabon. Patchstatus, konfigurationsefterlevnad och enhetshälsa blir kontinuerliga signaler i stället för periodiska snapshots. Men värdet uppstår inte i mängden data, utan i hur den presenteras. Intune i kombination med Defender XDR, som kopplar samman endpoints, identiteter, e-post och molnapplikationer, börjar skapa sammanhang. Inte tusen lösa trådar, utan en väv man faktiskt kan läsa.
Defender for Cloud tillför en dimension som länge saknats: vad är tillståndet i den faktiska infrastrukturen? Vilka resurser är exponerade? Vilka konfigurationer avviker från säkra riktlinjer? Och kritiskt nog, vilka av dessa bryr sig angriparna faktiskt om? Riskbaserad prioritering innebär att man slutar behandla alla fynd som lika brådskande och i stället låter hotintelligens och exponeringsdata styra vad som hamnar högst upp. Det är inte perfekt, men det är ett filter mot det annars oundvikliga bruset.
Och sedan finns det något som förändrar spelplanen strukturellt: Infrastructure as Code. Genom att definiera Azure-infrastruktur i kod, med Bicep eller Terraform, förflyttas säkerhet från reaktiv kontroll till proaktiv design. Sårbarheter kan scannas i pipelines innan de ens når produktion. En felkonfigurerad nätverksregel hittas i en pull request, inte sex månader senare i en incidentrapport. Det är en arkitektur som eliminerar en hel kategori av problem innan de ens hinner generera ett larm, och därmed minskar den totala informationsvolymen man behöver hantera.
Det finns en missuppfattning värd att adressera. Att överge månadspatch betyder inte att man rullar ut uppdateringar utan testning eller eftertanke. Det betyder att man bygger förmågan att agera snabbt när det verkligen gäller. Automatiserade patchflöden via Intune för välkända uppdateringar. Riskbaserad prioritering via Defender for Cloud och XDR för det som är kritiskt. IaC-pipelines som fångar konfigurations-drift innan den hinner bli ett problem, och ett larm.
Det påminner om hur bra mjukvaruteam arbetar. Inte en stor release var sjätte månad, utan kontinuerliga leveranser, snabb feedback och förmågan att sätta en fix i produktion på timmar när det behövs. Nyckeln är inte att göra allt snabbare. Det är att veta vad som inte kan vänta.
Det amerikanska cybersäkerhetsregelverket diskuterar just nu att korta ner patchfönstret för kritiska myndighetsystem från tre veckor till tre dagar. Det är ett tecken i tiden. Inte ett orealistiskt krav, utan en erkänsla av att spelreglerna har förändrats och att organisationer faktiskt kan nå dit om de bygger rätt förmågor.
Sårbarhetsskulden i de flesta organisationer är reell och tar tid att betala av. Men det är värt att ställa sig tre frågor: Ser vi faktiskt vad vi har, eller har vi mest fler dashboards? Kan vi skilja ett kritiskt fynd från bakgrundsbruset inom timmar? Och bygger vi ny infrastruktur på ett sätt som minskar mängden larm vi behöver hantera i framtiden?
Mythos-eran ger oss bättre angripare och bättre verktyg på samma gång. Informationsöverflödet är en del av attackytan nu, lika mycket som opatchade system. Den organisation som lär sig navigera bruset, inte bara samla in mer av det, är den som faktiskt kan agera när det gäller.
Men här är en sak som sällan sägs tillräckligt tydligt: verktygen räcker inte ensamma. Intune, Defender XDR, Defender for Cloud och välskriven IaC är kraftfulla, men de är inte självgående. De kräver konfiguration som faktiskt speglar verksamhetens riskbild, processer som håller när det brinner och människor som förstår vad signalerna betyder. Det är inte en svaghet att erkänna det. Det är sunt förnuft.
De organisationer som klarar sig bäst i det här landskapet är ofta de som har hittat rätt kombination av intern kompetens och externa partners som kan fylla luckorna, inte med fler verktyg, utan med sammanhang, erfarenhet och förmågan att prioritera rätt när allt känns lika brådskande. En bra partner ser inte bara vad som lyser rött i dashboarden. De hjälper till att förstå varför, och vad man faktiskt ska göra åt det först.
Angriparna är agiliga och välresurserade. Det är rimligt att vi också samlar rätt resurser runt oss. Fast med lite bättre signal-to-noise ratio.
Prenumerera på vårt cybersäkerhetsnyhetsbrev för att ha koll på senaste nytt inom cyberfären.
