CSA: Organisationer der overskrider 24‑timers patch‑vindue rammes oftest af brud

Eskil Sørensen
06.08.2026 10:56
Ny undersøgelse viser, at kendte sårbarheder fortsat udnyttes i stor skala, mens AI presser tiden fra offentliggørelse til exploit ned på minutter.

De fleste organisationer, der ikke når at lukke kritiske sårbarheder inden for 24 timer, ender med sikkerhedshændelser. Det er den klare konklusion i en ny undersøgelse fra Cloud Security Alliance (CSA), offentliggjort 2. juni, som viser, at 80 procent af organisationer, der overskrider dette patch‑vindue, efterfølgende rapporterer hændelser relateret til kendte sårbarheder.

Det skriver SCWorld

Undersøgelsen peger samtidig på, at eksisterende kontroller – også før software når i produktion – ikke længere er tilstrækkelige i en virkelighed præget af AI‑baseret udvikling og angreb. Ifølge CSA mangler 82 procent af organisationerne realtidsindsigt i AI‑applikationers adfærd under drift, hvilket efterlader et betydeligt blindt felt i produktionen.

Langsom patching – selv ved kritiske fejl

Tallene fra CSA’s survey blandt 900 organisationer er markante. Kun 9 procent formår at udbedre kritiske eller højrisiko‑sårbarheder i produktionsmiljøer inden for 24 timer. Langt hovedparten – 74 procent – bruger mellem én og syv dage på at få rettelserne på plads.

Ifølge Hillary Baron, AVP of Research hos CSA, er det ikke længere tilstrækkeligt blot at identificere sårbarheder.

“Efterhånden som AI‑drevne applikationer bliver mere dynamiske, og trusselsaktører accelererer deres udnyttelsestempo, bliver evnen til hurtigt at afgøre, hvad der reelt kan udnyttes, og handle på det, den centrale operationelle udfordring i applikationssikkerhed,” siger hun.

AI blotlægger strukturelle svagheder

Daniel Shechter, medstifter og CEO i Miggo Security, der har sponsoreret undersøgelsen, vurderer, at AI ikke kun skaber flere sårbarheder – den afslører, at organisationer grundlæggende ikke er i stand til at lukke kendte huller hurtigt nok.

Ifølge Shechter har sikkerhedsprogrammer i årevis været målt på deres evne til at finde fejl før software sættes i drift. Med såkaldt frontier‑AI ændres præmissen markant. Når angribere kan gå fra offentliggørelse til fungerende exploit på få timer, bliver det afgørende spørgsmål, hvor længe forretningen reelt er eksponeret, og hvilke afværgeforanstaltninger der kan iværksættes straks.

“Det vigtigste resultat i undersøgelsen er, at den gamle model, hvor patching er første forsvarslinje, er brudt sammen,” siger Shechter. “Vi har ikke engang et døgn længere. Derfor er vi nødt til at mitigere og beskytte først – og så patche.”

Som eksempel beskriver Shechter et internt forsøg, hvor en researcher på blot 60 minutter og for omkring 10 dollars i AI‑tokens formåede at genskabe og våbengøre en sårbarhed, kort efter at en open source‑leverandør havde frigivet en patch.

“Det her handler ikke om de største og mest avancerede modeller,” siger han. “Det opsigtsvækkende er, hvor lavthængende frugterne allerede er.”

Kendte fejl, kendte konsekvenser

Jacob Warner, IT‑direktør hos Xcape, Inc., peger på, at den systematiske manglende evne til at overholde et 24‑timers patch‑vindue efterlader organisationer med næsten garanti for kompromitteringer i produktion. Det undergraver ifølge ham værdien af omfattende investeringer i pre‑production‑sikkerhed.

CSA‑data viser, at 91 procent af sikkerhedsteams, der ellers vurderer sig selv som meget modne, stadig oplever kompromitteringer under drift. Årsagen er en afhængighed af statiske kontroller før ibrugtagning, som ikke formår at stoppe kendte sårbarheder i praksis.

Ifølge Warner er situationen allerede kritisk – og tallene afspejler endda forholdene før AI‑baseret exploit‑generering for alvor har sat tempoet yderligere op.

“For at reducere denne gennemgribende operationelle risiko må sikkerhedsledere flytte fokus fra test før produktion til aktiv beskyttelse under drift,” siger Warner. Han peger blandt andet på automatiseret virtuel patching, runtime‑beskyttelse og realtids‑overvågning af AI‑pipelines som nødvendige tiltag.

Problemet er kontrol – ikke viden

For Gidi Cohen, CEO i Bonfy, er det mest opsigtsvækkende fund i CSA‑rapporten ikke selve patch‑vinduet, men hvad der ligger bag tallene. Næsten halvdelen af de organisationer, der blev ramt af hændelser i produktion, blev kompromitteret via sårbarheder, de allerede kendte til.

“De vidste det – men de kunne ikke nå at handle,” siger Cohen. “Det er ikke en detektionsfejl. Det er en kontrolfejl.”

Ifølge Cohen har sikkerhedsindustrien i årevis optimeret den forkerte side af ligningen. Detektion beskriver problemet, men løser det ikke. Samtidig kører omkring 70 procent af organisationerne allerede AI i produktion, mens 82 procent mangler realtidsindsigt i AI‑adfærd. Det gab vil ifølge Cohen vokse hurtigt.

“Hurtigere patching er nødvendigt, men ikke tilstrækkeligt,” siger han. “Det afgørende spørgsmål er, om vores kontroller forstår nok om data, kontekst og forretningslogik til at håndhæve sikkerhed præcist – uden at drukne organisationerne i falske positiver, der ender med at blive slået fra.”

CSA‑undersøgelsen tegner dermed et billede af et trusselslandskab, hvor kendte sårbarheder fortsat er blandt de mest effektive angrebspunkter – ikke fordi de er skjulte, men fordi tiden til at reagere er blevet kortere, end mange organisationers sikkerhedsprocesser kan følge med.

Læs mere

Information