mars 26, 2026 SANS Institute-forskare gjorde ett enastående avslöjande på RSAC 2026: artificiell intelligens återkommer i samtliga fem av årets farligaste nya attacktekniker. Den årliga hotanalysgenomgången, som presenterades för en fullsatt publik på Moscone West den 24 mars, markerade första gången AI dominerade hela listan snarare än att framstå som en isolerad trend.
”Vi skulle ljuga för er om vi pekade ut en angreppsrend som inte involverade AI”, sa Ed Skoudis, SANS-president och moderator, till publiken. ”Det är helt enkelt där vi befinner oss i branschen.” Förändringen representerar ett fundamentalt brott mot tidigare år, då de fem teknikerna vanligtvis spände över olika angreppskategorier – fysisk säkerhet, social manipulation, nätverksexploatering och malware-distribution – med kanske en AI-relaterad post.
Zero-day-forskning kräver inte längre nationalstatens resurser
Barriären för zero-day-exploatering har kollapsat, enligt Joshua Wright, SANS fakultetsmedlem och senior teknisk direktör. ”Zero-day-exploits tillhörde tidigare enbart välfinansierade nationalstatsaktörer med sofistikerade forskare”, förklarade Wright under keynoten. ”Men den barriären för att komma in i zero-day-spelet har krossats av AI.”
Denna demokratisering skapar en direkt utmaning för europeiska företag som förlitar sig på ”försvar genom dunkelhet” kring sina skräddarsydda företagsapplikationer. Om AI kan accelerera sårbarhetsupptäckt över tidigare ogranskade kodbaser, står företag som kör anpassad software utan regelbundna penetrationstester inför betydligt högre risk än för 18 månader sedan. Antagandet att angripare behöver månader av reverse engineering för att hitta exploaterbara brister i nischapplikationer gäller inte längre.
SANS lyfter automatiserad spaning och självskrivande malware som centrala hot
Bland de specifika tekniker SANS belyste fanns AI-drivna spaningskampanjer som kan kartlägga företagsattackytor i maskinhastighet och malware som skriver om sig själv för att undvika detekteringssignaturer. ”AI gör angripare snabbare – automatiserad spaning, självskrivande malware, phishing-kampanjer som testar tusen varianter före lunch”, enligt SANS-forskning citerad i sessionsdokumentationen. ”De kör i maskinhastighet, utan att be om tillstånd.”
Kategorin självskrivande malware förtjänar särskild uppmärksamhet från nordiska säkerhetsteam. Traditionell signaturbaserad detektion – fortfarande utbredd över skandinaviska företag – blir i stort sett irrelevant när malware kan mutera sin binära struktur snabbare än signaturdatabaser uppdateras. Detta försätter organisationer som försenat migrering till beteendebaserad detektion i omedelbar nackdel.
Forensik-utmaningen som ingen talar om
Heather Mahalik Barnhart, SANS DFIR Curriculum Lead, använde sessionen för att belysa en blindfläck som borde bekymra varje företagssäkerhetsteam: moderna angripare perfektionerar tekniker för att radera forensiska spår eller förhindra att de skapas överhuvudtaget. Barnhart lyfte fram en växande blind fläck när angripare raderar forensiska artefakter blir utredningar långsammare och försäkringskrav svårare att försvara.
Affärskonsekvensen är brutal. Om din organisation inte kan producera en tillförlitlig forensisk tidslinje efter ett intrång, blir ditt cyberförsäkringsanspråk betydligt svårare att försvara, och regulatorisk rapportering under ramverk som NIS2 blir mer komplex. Detta är inte en teknisk utmaning som IT-team kan lösa med bättre loggning ensamt – det kräver att juridiska och compliance-team förstår de bevisgap som AI-accelererade angrepp kan skapa.
SANS erbjuder AI-försvarsramverk, men verklighetscheck krävs
SANS VD James Lyne använde sin separata RSAC-keynote den 26 mars för att adressera vad han kallade ”De stora cybermissuppfattningarna”. Hans budskap till säkerhetsledare: leverantörsdrivna hotnarrativ avviker ofta från operativ verklighet, och organisationer behöver bygga försvar kring verifierade angreppsmönster snarare än hypotetiska scenarier.
Den skeptiska inställningen bör sträcka sig till AI-försvarsramverk. SANS marknadsförde vad det kallar en ”ritning för säker AI-distribution” genom hela konferensen, men alla ramverk som lanseras på en leverantörskonferens förtjänar granskning före företagsadoption. Grunderna – korrekta åtkomstkontroller, nätverkssegmentering och incidenthanteringsrutiner – förblir viktigare än AI-specifika säkerhetskontroller som inte testats i verkliga intrångsscenarier.
Vad säkerhetsteam ska göra denna vecka
Börja med en AI-inventering. Dokumentera varje AI-verktyg, tjänst och integration som för närvarande distribueras över din organisation, inklusive skugg-AI-användning av enskilda team. Om du inte kan lista dem, kan du inte säkra dem. Nordiska företag som tillåtit avdelningar att distribuera AI-verktyg självständigt – vanligt över svenska och danska företag – behöver denna synlighet omedelbart.
Testa din forensiska beredskap mot scenarier för bevisförstörelse. Kan din logginfrastruktur fånga tillräcklig detalj för att rekonstruera ett angrepp om angriparen medvetet riktar sig mot dina säkerhetsverktyg och loggsaggregationssystem? Om svaret är osäkert, anta att det inte kan.
Utvärdera dina hotinformationskällor. Om ditt säkerhetsteam förlitar sig främst på leverantörshotrapporter snarare än myndighetsbulletiner från NCSC, CISA eller MSB, arbetar du med kommersiellt motiverade hotbedömningar snarare än objektiv analys.
Referenser
- SANS: Top 5 Most Dangerous New Attack Techniques to Watch
- SANS Institute Returns to RSAC 2026
- Inside the Most Dangerous New Attack Techniques
- RSAC 2026 Keynote: The Five Most Dangerous New Attack Techniques
- RSAC 2026: AI Reshapes Cyber Defense and Threat Landscape
This post is also available in:
English
