Snilld

MFA ser kun døren

Nye data fra CrowdStrike og en sag beskrevet i VentureBeat viser et skævt sikkerhedsbillede: MFA bekræfter login – og så går systemet blindt. Angribere udnytter stjålne sessionstokens til hurtig, malwarerfri lateral bevægelse. Vinduet fra første fodfæste til brud er i snit 29 minutter. Det kræver andre reaktioner i drift end endnu en MFA‑policy.

22. maj 2026 Peter Munkholm

Lad os være ærlige: mange dashboards står grønt, mens angriberen allerede klikker rundt med et lånt adgangsskilt. MFA virker. Den bekræfter, hvem der kom ind. Men bagefter? Stilhed. Det er den ubehagelige, men ærlige indsigt i år.

VentureBeat beskriver, hvordan NOVs CIO, Alex Philips, så hullet i produktion: alt var korrekt på login, alligevel kunne en angriber bevæge sig gennem Active Directory med et gyldigt sessiontoken og eskalere mod domænecontrolleren. CrowdStrikes tal for 2025 (offentliggjort i 2026-rapporten) forstærker alvoren: gennemsnitlig e‑crime breakout‑tid faldt til 29 minutter, og den hurtigste måling var 27 sekunder. I 82 procent af tilfældene blev der slet ikke installeret malware.

Efter MFA bliver systemet blindt

Pointen, som VentureBeat løfter frem med citater fra Philips, er brutal i sin enkelhed: autentificering er et øjebliksbillede. Systemet ser dig ved døren. Bagefter bærer sessiontokenet tilliden videre uden at spørge igen. Tokenet er en bearer‑credential – hvem der end holder det, arver sessionens rettigheder. Det er ikke et policy‑svigt, men en arkitektonisk blind vinkel, der går igen i de fleste identity‑stakke.

CrowdStrikes trusselsbillede matcher: angribere vælger malwarerfri metoder, fordi gyldige identiteter og tokens skøjter gennem kontroller uden signaturer eller alarmer. Når breakouten i snit er 29 minutter, er forventningen om manuelt overblik naiv. Vi ser det samme hos SOC‑teams, der planlægger “review, så respons”. Tiden er der bare ikke altid. Nogle gange er toget kørt, før sagen får et ticket‑nummer.

Tæt taktilt billede af en anonym adgangsbrik med slidspor og cyan indigo lys, symboliserer et stjålet sessiontoken.

Hvordan sessiontokens bliver til adgangsnøgler

Når brugeren logger ind via SAML eller OIDC, udsteder Identity Provider et bevis for identiteten, der mappes til en session. Det kan være en browser‑cookie eller en token‑streng til API‑kald. I praksis er sessionen et fripas. Ingen ny MFA, ingen ny vurdering – medmindre du eksplicit kræver det.

I Active Directory‑miljøer bliver det farligt, fordi et gyldigt token kan udnyttes til at få nye billetter eller nøgler, der langsomt åbner flere døre. Lateral bevægelse er lavpraktisk: hop fra en app med læserettigheder til en service, der kan ændre gruppemedlemskaber. Kombinér med privilegie‑eskalation via fejl i delegering eller servicekonto‑opsætninger. Ingen malware, bare systemlogik brugt med legitime beviser.

Hvorfor MFA ikke opdager det

Fordi MFA spørger én gang og derefter stoler på tokenet. Når angriberen stjæler sessionen (via cookie‑tyveri, omdirigering, kompromitteret vært eller en proxy fra social engineering), fremstår al efterfølgende aktivitet som “brugeren”. Intet signaturhit. Intet EDR‑stop, hvis alt kører over godkendte kanaler.

Det er det banale, der bider: vi leder efter malware, mens angriberen bruger vores egne kort og nøgler. CrowdStrike peger direkte på, at 82 procent af 2025‑fund var malwarerfri. Vi ser samme mønster hos kunder. Loggen ser pæn ud, indtil man binder tidslinjer og destinationssystemer sammen og ser hopmønstret – skyggen gennem huset.

Banner

Det korte vindue for detection og respons

29 minutter i snit. 27 sekunder i den hurtigste sag. Hvad betyder det for SOC, EDR, SIEM? At køer dræber. At human‑in‑the‑loop på alt dræber. Uden automatiseret session‑revokation og netværksisolation på bestemte signaler taber man kapløbet. Ikke hver gang, men når det gælder.

Vi ser tre typiske svigt: 1) Token‑revokation er ikke implementeret eller er bundet til password reset (som intet hjælper, når tokenet stadig er gyldigt). 2) SIEM‑regler ser enkelthændelser, ikke sessionadfærd eller hop mellem ressourceklasser. 3) Playbooks har for mange manuelle stop. En vagtchef sagde for nylig: “Vi har automations, men vi tør ikke trykke på dem.” Forståeligt. Men dyrt.

Operationskrybbe under en øvelse: hænder når mod et kommunikationspanel i indigo/cyan lys, illustrerer hurtig lateral bevægelse og respons.

Zero Trust kræver mere end ord

Zero Trust er ikke en plakat. Det er kontinuerlig verifikation, kontekstuel adgang og mikrosegmentering, så et stjålet token ikke åbner halvdelen af huset. Tradeoffs? Ja. Kortere session‑levetider koster brugeroplevelse. Kontekstuel adgang kræver flere datapunkter og integrationer. Mikrosegmentering gør ondt i legacy AD‑apps med hårdt forbundne servicekonti. Men uden det dækker vi kun dørmåtten.

Vi starter typisk der, hvor lateral bevægelse er mest sandsynlig: admin‑værter, jump hosts, CI\/CD og helpdesk‑værktøjer. Det gør ondt – og betaler sig.

AI som kraftforstærker for social engineering

CrowdStrike peger på en 89 procents stigning i AI‑understøttede angreb og mere end 90 organisationer, hvor legitime AI‑værktøjer blev misbrugt til at generere skadelige kommandoer og stjæle data. Det matcher vishing‑ og spoofing‑bølgerne siden 2024: flere troværdige første fodfæster, flere tokens i omløb. Ikke fordi én angriber er et geni, men fordi gennemsnitsangriberen nu ligner en specialist.

Mange leder stadig efter “det store malware‑fund”. Men når 82 procent er malwarerfri, er bedre sprogmodeller, stemmekloner og phishing‑skabeloner de reelle indikatorer for, hvor presset kommer næste gang.

Hvad vi ville ændre i driften i morgen

MFA alene er utilstrækkelig. Identitetsteams skal have lige så stærke værktøjer til sessioner som til credentials. Tre ting kan implementeres uden religionskrig om platformvalg:

  • Token‑revokation som første‑klasses kontrol: centraliseret API til at dræbe tokens på ressource‑niveau – ikke kun via IdP‑sessioner. Testet. Dokumenteret. Øvet.
  • Session‑rotation og kortere TTL for højrisikoprofiler: admin, servicekonti, jump‑kæder. Step‑up MFA på anomali.
  • Anomali‑detektion på sessionniveau: sekvenser, cross‑resource hop, ulogiske tidszoner. Færre regler, mere sammenhæng.

    Og ja, automatiserede playbooks: værtsisolation ved højrisiko‑signaler, tvungen reauth, hævning af logniveau og opstart af forensics uden at spørge hver gang. Ellers tabes minutter, I ikke har.

    Moderne arkivgang med anonymiserede hylder og en åben skuffe, indigo/cyan lys; metafor for logning og sporbarhed.

    Implementering gør ondt, hvis governance halter

    Organisatorisk friktion slår teknik. Uden klart ejerskab for token‑flows ringer IR til Identity, der ringer til applikationsejeren, der… ja. Den kæde virker ikke. Definér ejerskab, test rollback‑strategier og kør staged udrulninger med realistisk fejlhåndtering.

    Integrationer, der typisk driller: legacy Kerberos\/NTLM‑apps, tredjeparts SaaS uden fine‑grained sessionkontrol og systemer, hvor revokation kræver applikationsændringer. Det kan løses, men det tager tid – og indtil da må der være kompenserende kontroller: kortere TTL, proxy‑baseret segmentering og ekstra logning med kort vej til analyse.

    To korte cases fra maskinrummet

    En mellemstor finansaktør opdagede først token‑misbrug efter mere end syv timer. Årsag: password reset var koblet til “log alle ud i morgen tidlig”, mens tokenet levede videre. Vi indførte “dræb session nu” på kritiske apps og en netværksregel, der midlertidigt isolerer særlige service‑rækker. En måned senere var MTTR på lignende alarmer under 30 minutter. Ikke perfekt, men i den rigtige retning.

    Banner

    En anden kunde – produktion med mange OT‑snitflader – fandt, at helpdesk‑værktøjet var den nemmeste bro mellem netværkszoner. Ingen malware. Bare en session med for brede privilegier. Efter mikrosegmentering af supporttrafik og step‑up MFA ved rolleændringer faldt antallet af laterale hop markant i telemetrien. Ja, der var brok den første uge. Det lagde sig.

    Hvad skeptikerne siger, og hvad der faktisk gælder

    “Token‑fokus løser ikke alt.” Korrekt. Men fravær af token‑kontrol udhuler alt andet. “Det skaber støj.” Kun hvis I ikke prioriterer signaler om sessionadfærd og risikovægter dem. “Brugeroplevelsen dør.” Den dør, hvis I skruer ens for alle. Start med højrisikoprofiler, og brug kontekst til step‑up i stedet for flad friktion.

    Det, vi ikke ved nok om: hvor godt automatiserede revokationer skalerer i meget komplekse miljøer over tid. Offentlig dokumentation om fejltilstande, rate limits og batch‑processer er tynd. Test det i jeres virkelighed – ikke i et slide.

    Hvad it‑ledelsen bør beslutte i morgen

    Fire prioriteringer, der kan måles og ændrer adfærd:

    • Målepunkter og telemetri: session‑ID’er, token‑levetider, hop mellem ressourceklasser og admin‑handlinger som første‑klasses logs.
    • Automatiseret respons: hvilke signaler isolerer en vært, tvinger reauth eller roterer tokens – uden manuelle stop.
    • Test af token‑revokation: månedlige øvelser på tværs af IdP, AD og nøgleapps. Dokumentér virkning og bagslag.
    • Bruger‑impact plan: kommunikation, feature flags og rollback. En kort “vi gjorde X, derfor kan du opleve Y”‑skabelon til servicedesken.

      KPI’er og scenarier, der betyder noget

      Mål på det, der matcher angriberens tempo – ikke kun jeres procesdisciplin.

      • MTTR for session‑misbrug fra første signal til fuld inddæmning.
      • Andel hændelser med automatisk token‑revokation\/rotation inden for 5 minutter.
      • Fald i alarmer om lateral bevægelse efter mikrosegmentering pr. kvartal.
      • Andel højrisikokonti med kort TTL og step‑up ved anomali.

        Tabletop‑eksempler: 1) Stjålet browsercookie fra en helpdesk‑bruger med adgang til brugeradministration. Hvad dør først? 2) Token replay mod en cloud‑admin‑app fra en ny AS‑n. Reagerer Conditional Access som ventet? 3) Revokation midt i en månedslukning – hvilke batchjobs fejler, og hvem kan aktivere rollback.

        Compliance uden falsk tryghed

        Grøn MFA‑compliance gør ikke drift sikker. Revision bør kræve bevis for hurtig session‑drab, anomali‑detektion i praksis og dokumenterede responstider. Ellers får man papirssikkerhed, mens angrebet kører malwarerfrit i kulissen.

        Revisorer lytter, når man viser øvelsesrapporter, før‑\/efter‑KPI’er og klar ansvarsfordeling mellem SOC, IAM og applikationsejere. Det lugter lidt af kælder og dåsekaffe, når man gennemgår logudtræk – men det er her forskellen ligger.

        Kilderne og hvor de peger i samme retning

        VentureBeat samler casen fra NOV og siger tydeligt, at MFA er et punkt i tiden, hvorefter systemet går blindt. CrowdStrikes 2026 Global Threat Report leverer tallene for 2025: 29 minutters gennemsnits‑breakout, 27 sekunders rekord, 82 procent malwarerfrit, 89 procents vækst i AI‑understøttede angreb og 90+ organisationer med misbrug af legitime AI‑værktøjer. Kilderne er samstemmende: mindre malware, mere misbrug af identitet, og højere tempo.

        Der er også huller. Vi har ikke et teknisk whitepaper fra NOV, der reproducerer metoderne i detaljer. CrowdStrikes tal er aggregerede, ikke trin‑for‑trin‑cases. Derfor skal anbefalinger altid tilpasses produktvalg. OIDC, SAML og JWT opfører sig ikke identisk på tværs af leverandører, og policies i fx Azure AD eller Okta kræver produkt‑specifik indstilling. Ikke en undskyldning for at vente – en opfordring til at teste i egen virkelighed.

        Så hvad er bundlinjen

        MFA er nødvendigt. Men utilstrækkeligt. Sessioner er nu lige så vigtige som credentials. Angribere bevæger sig hurtigt og uden malware, og vores vindue for at stoppe dem måles i minutter, ikke i møder. Tempoet, vi så i efteråret hos to kunder, var højere end maven havde det godt med.

        Kort sagt: dræb tokens hurtigt, roter oftere, se på adfærd – ikke kun events – og isolér de få noder, der kan ødelægge alt. Forskellen mærkes først, når man står i det.

Kilder

    Gør brugeroplevelsen bedre.
    Hvilket firma arbejder du for?