Staatsgesponsorde actoren, ook wel de vrienden die je niet wilt, dringen niet zomaar binnen, maar loggen in met geldige credentials en gebruiken vertrouwde tools om maandenlang onzichtbaar te blijven. Het reageren op een dergelijke dreiging verschilt wezenlijk van het aanpakken van ransomware, waarbij het werk dat echt telt al begint voordat de eerste waarschuwing verschijnt.

Veel organisaties gaan ervan uit dat alles binnen hun trust boundary betrouwbaar is. Software komt van getoetste leveranciers, werknemers zijn gescreend, cloudproviders voldoen aan certificeringen en build pipelines leveren ondertekende artifacts. In de praktijk worden deze aannames zelden kritisch beoordeeld, en staatsgesponsorde aanvallers maken juist gebruik van deze blinde vlek. Ze opereren binnen de trust boundary, gebruiken vertrouwde middelen, beschikken over geldige inloggegevens en voeren handelingen uit die geautoriseerd lijken. Traditionele beveiligingsarchitecturen zijn hier niet op ingericht, wat erkend moet worden voordat wordt gekeken naar incidentrespons bij staatsgesponsorde aanvallen.

De aanpak van een staatsgesponsorde inbraak verschilt fundamenteel van die van een criminele aanval. De aanvaller beschikt over meer middelen, is geduldiger, werkt operationeel gedisciplineerd en streeft vaak doelen na die geen alarmsignalen veroorzaken, zoals spionage of langdurige datadiefstal. Standaard incident response playbooks, gericht op malwarebeheersing en ransomwareherstel, zijn onvoldoende voor deze dreiging. Tools, besluitvorming, juridische afstemming en zelfs de definitie van succesvolle respons moeten worden herzien. In dit kader wordt zero trust architectuur essentieel, waarbij vertrouwen niet wordt aangenomen maar continu wordt geverifieerd en systemen zijn ontworpen om te functioneren als verificatie faalt. Het principe is niet 'vertrouw niets', maar 'verifieer continu en plan voor falen'.

Staatsgesponsorde aanvallen volgen dezelfde Cyber Kill Chain als andere aanvallen: verkenning, bewapening, levering, exploitatie, installatie, command & control en uitvoering van doelen. Ze voeren elke fase echter met meer geduld, precisie en een ander doel uit. Waar een financieel gemotiveerde aanvaller juist wil dat het slachtoffer weet dat het is getroffen, omdat dat onderdeel is van het verdienmodel, wil een staatsgesponsorde actor juist onopgemerkt blijven. Of het nu gaat om spionage, diefstal van intellectueel eigendom of voorbereiding op toekomstige verstoringen, succes hangt af van het slachtoffer dat niets merkt. Deze eis van geheimhouding bepaalt elke technische keuze van de aanvaller en wat verdedigers moeten detecteren in elke fase.