Die Cybersecurity & Infrastructure Security Agency (CISA) identifiziert vier produktive nationalstaatliche Akteure: Die chinesische Regierung, die russische Regierung, die nordkoreanische Regierung und die iranische Regierung. Jeder dieser Akteure nutzt verschiedene Methoden, um die Sicherheit zu gefährden und sich Zugang zu den Netzwerken der Opfer zu verschaffen.

Laut Jermaine Roebuck, stellvertretender Direktor für Bedrohungsverfolgung bei CISA: „gehören dazu Phishing, die Nutzung gestohlener Zugangsdaten sowie die Ausnutzung nicht gepatchter Sicherheitslücken und/oder Sicherheitsfehler. Sie führen umfangreiche Untersuchungen vor der Kompromittierung durch, um mehr über die Netzwerkarchitektur zu erfahren und Sicherheitslücken zu identifizieren. Mithilfe dieser Informationen nutzen diese staatlich geförderten Akteure Schwachstellen in Endgeräten aus und machen sich Fehlkonfigurationen des Systems zunutze, um sich ersten Zugriff zu verschaffen. Sie verwenden häufig öffentlich verfügbaren Exploit-Code für bekannte Sicherheitslücken, sind aber auch geschickt darin, Zero-Day-Sicherheitslücken zu entdecken und auszunutzen. Sobald sie Zugang zu den Netzwerken ihrer Opfer erlangt haben, nutzen fortgeschrittene Akteure Techniken des „Living-off-the-Land“ (LOTL), um einer Entdeckung zu entgehen.“

Durch das Verständnis der von Bedrohungsakteuren eingesetzten Techniken und Taktiken sind Organisationen besser darauf vorbereitet, begrenzte Sicherheitsressourcen dort einzusetzen, wo sie am effektivsten sind. „Die Kenntnis dieser Taktiken ermöglicht es den Verteidigern, spezifische Sicherheitskonzepte und Technologieklassen anzuwenden, um die Angriffe von Angreifern abzuwehren und sich auf klar definierte Dateneigenschaften und -werte zu konzentrieren, um deren Techniken zu erkennen“, sagt Roebuck.

Mit anderen Worten, je mehr Unternehmen und Behörden über nationalstaatliche Angriffsmethoden erfahren, desto besser.