Der Quelltext beschreibt einen deutlichen Wandel im Vorgehen von Angreifern wie ShinyHunters. Während früher ungepatchte Systeme ausgenutzt oder Malware zur dauerhaften Festsetzung eingesetzt wurde, arbeiten identitätszentrierte Akteure heute anders: Sie „brechen“ nicht mehr ein, sondern melden sich an. Im Mittelpunkt stehen also keine klassischen Exploits, sondern der Zugriff über bereits vertrauenswürdige Konten, Sitzungen und Integrationen.

Als Beispiel nennt der Text die in diesem Jahr offengelegte Kampagne gegen Salesforce Experience Cloud. Dort hätten die Angreifer Berichten zufolge zu weit gefasste Konfigurationen für Gastnutzer ausgenutzt, um CRM-Daten aus öffentlich erreichbaren Portalen abzuziehen. Salesforce betonte demnach, dass es sich nicht um eine Schwachstelle der Plattform selbst gehandelt habe, sondern um Fehlkonfigurationen bei Identitäten und Zugriffsrechten.

Ähnlich seien die mit ShinyHunters in Verbindung gebrachten Angriffe auf Snowflake-Kunden verlaufen. Laut Quelltext nutzten die Täter gestohlene Zugangsdaten und Integrationen von Drittanbietern statt Schwächen in der Snowflake-Infrastruktur. Ermittler stellten demnach fest, dass vielen betroffenen Organisationen eine konsequente Durchsetzung starker Multi-Faktor-Authentifizierung sowie die Sicht auf auffälliges Authentifizierungsverhalten fehlte.

Dieses Muster zeige sich auch bei Angriffen auf SaaS-Ökosysteme, Analyseanbieter und cloudverbundene Anwendungen. Sobald Angreifer über eine gültige Identität oder ein Sitzungs-Token verfügen, können sie sich laut Text häufig seitlich weiterbewegen und auf sensible Daten zugreifen, ohne traditionelle Sicherheitskontrollen auszulösen.

Genau darin liege die Schwäche klassischer Schutzmechanismen. Firewalls, Endpunktschutz und signaturbasierte Erkennung seien darauf ausgelegt, schädlichen Code oder ungewöhnlichen Netzwerkverkehr zu erkennen. Identitätsbasierte Angriffe erscheinen dagegen oft legitim, weil sie mit gültigen Zugangsdaten, freigegebenen APIs und autorisierten Anwendungen arbeiten. Ein kompromittiertes Mitarbeiterkonto, das über eine Browser-Sitzung auf Salesforce zugreift, kann für viele Sicherheitssysteme wie normales Verhalten aussehen.

Der Text führt das auf die zunehmend verteilten IT-Umgebungen moderner Unternehmen zurück. Cloud-Plattformen, SaaS-Anwendungen, externe Dienstleister, Partner und verteilte Belegschaften vergrößern die Zahl möglicher Zugangspunkte. Jede Identität — menschlich oder maschinell — kann dabei zum Einfallstor werden.

Als Gegenmaßnahme hebt die Vorlage die Erkennung und Eindämmung identitätsbasierter Bedrohungen hervor. Anders als eine einmalige Identitätsprüfung analysiere dieser Ansatz das gesamte Interaktionsmuster eines Zugangsdatenpaares sowie Aktivitäten anderer Identitäten und Zugänge in der Umgebung. Überwacht würden fortlaufend Identitätssysteme, Authentifizierungsaktivitäten, Rechteausweitungen und Zugriffsverhalten in hybriden Umgebungen, um Hinweise auf Kompromittierungen und bösartiges Verhalten zu erkennen.

Besonders problematisch sei zudem der Missbrauch vertrauensbasierter Beziehungen. Laut dem Quelltext nehmen Angreifer verstärkt Anbieter, Integrationen, Support-Abläufe und Identitätsprovider ins Visier, weil eine Kompromittierung an einer Stelle auf mehrere Organisationen übergreifen kann. Forscher beobachteten demnach, dass Angreifer Drittanbieter für SaaS und Integrationsplattformen nutzten, um in nachgelagerte Kundenumgebungen zu gelangen. Ein einziges kompromittiertes Konto, ein Dienstleisterzugang oder eine OAuth-Integration könne legitimen Zugriff auf Hunderte verbundene Systeme eröffnen.

Die Kernaussage der Analyse: Unternehmenssicherheit darf authentifizierte Nutzer nicht länger automatisch als vertrauenswürdig behandeln. Der Text zieht daraus den Schluss, dass Identität nicht nur eine Funktion des Zugriffsmanagements ist, sondern zu einer eigenständigen Kerndisziplin der Sicherheit werden muss.