Een externe Threat Actor is iemand die geen account of geautoriseerde toegang heeft tot het doelsysteem. Een kwaadwillende externe bedreiging moet het beveiligingssysteem infiltreren met behulp van malware en/of social engineering. Merk op dat een externe actor een aanval op afstand of op locatie kan plegen (door bijvoorbeeld in te breken in het hoofdkantoor van het bedrijf). Het is de Threath Acor die als extern wordt gedefinieerd, in plaats van de aanvalsmethode.
Omgekeerd is een interne (of insider) Threat Actor iemand die toestemmingen heeft gekregen op het systeem. Dit betekent meestal een werknemer, maar insider-bedreiging kan ook voortkomen uit aannemers en zakenpartners.”
Intentie beschrijft wat een aanvaller hoopt te bereiken met de aanval, terwijl motivatie de reden is van de aanvaller om de aanval te plegen. Een kwaadwillende Threat Actor kan bijvoorbeeld worden gemotiveerd door hebzucht, nieuwsgierigheid of een bepaalde vorm van ontevredenheid. De intentie kan zijn om een systeem te vandaliseren en te verstoren of om iets te stelen. Bedreigingen kunnen worden gekarakteriseerd als gestructureerd of ongestructureerd (of gericht versus opportunistisch) afhankelijk van de mate waarin uw eigen organisatie specifiek wordt getarget. Een criminele bende die bijvoorbeeld probeert financiële gegevens van klanten te stelen, is een gestructureerde, gerichte bedreiging; een scriptkiddie die een variant op de “I Love You” e-mailworm lanceert, is een ongestructureerde, opportunistische bedreiging.
Er is een verschil tussen bedreigingen die voortkomen uit kwaadwillende intenties en motivaties, en bedreigingen die per ongeluk of onbedoeld ontstaan. Onbedoelde Threat Actors zijn bijvoorbeeld het gevolg van ongelukken, nalatigheden en andere vergissingen.