Un attore di minacce, chiamato anche attore malintenzionato o cattivo attore, è un'entità parzialmente o totalmente responsabile di un incidente che influisce, o ha il potenziale di impatto, sulla sicurezza di un'organizzazione.
Nell'intelligence sulle minacce, gli attori sono generalmente classificati come esterni, interni o partner. Con gli attori di minacce esterne, non esisteva alcuna fiducia o privilegio in precedenza, mentre con attori interni o partner esisteva in precedenza un certo livello di fiducia o privilegio. L'attore può essere un individuo o un'organizzazione; l'incidente potrebbe essere intenzionale o accidentale e il suo scopo dannoso o benigno.
EGli attori esterni sono la preoccupazione principale dei servizi di intelligence sulle minacce non solo perché lo sono le più comuni, ma anche perché tendono ad essere le più gravi in termini di impatto negativo. Tali attori della minaccia sono talvolta classificati come merce o avanzati. Un attore di minacce commodity lancia un attacco ad ampio raggio sperando di colpire quanti più obiettivi possibile, mentre un attore di minacce avanzate prende di mira un'organizzazione, spesso cercando di implementare una minaccia persistente avanzata (APT) per ottenere l'accesso alla rete e rimanere inosservato per un molto tempo, rubando dati a volontà.
Un altro tipo di attore di minacce esterne è l'hacktivist. I gruppi di hacktivisti come Anonymous utilizzano molti degli stessi strumenti impiegati da criminali informatici motivati finanziariamente per rilevare le vulnerabilità del sito Web e ottenere l'accesso non autorizzato o eseguire attacchi DDoS (Distributed Denial of Service). La motivazione della maggior parte degli hacktivisti è quella di ottenere l'accesso a informazioni sensibili che avranno un impatto negativo sulla reputazione di un individuo, un marchio, un'azienda o un governo.
Ulteriori informazioni su commodity vs. attori di minacce avanzate: