Een threat actor, ook wel malicious actor of bad actor genoemd, is een entiteit die geheel of gedeeltelijk verantwoordelijk is voor een incident dat van invloed is - of de potentie heeft om van invloed te zijn - op de beveiliging van een organisatie.
In threat intelligence worden actoren doorgaans gecategoriseerd als extern, intern of partner. Bij externe dreigingsactoren was er eerder geen sprake van vertrouwen of privileges, terwijl er bij interne of partneractoren eerder wel sprake was van enig vertrouwen of privileges.De actor kan een individu of een organisatie zijn; het incident kan opzettelijk of onopzettelijk zijn en het doel kan kwaadaardig of goedaardig zijn.
Externe actoren zijn de voornaamste zorg van dreigingsinlichtingendiensten, niet alleen omdat ze het vaakst voorkomen, maar ook omdat ze de neiging hebben het ernstigst te zijn in termen van negatieve impact. Dergelijke dreigingsactoren worden soms gecategoriseerd als zijnde ofwel commodity ofwel geavanceerd. Een commodity-bedreiger lanceert een brede aanval in de hoop zo veel mogelijk doelwitten te treffen, terwijl een geavanceerde bedreiger zich op een organisatie richt en vaak probeert een APT (advanced persistent threat) te implementeren om toegang tot het netwerk te krijgen en lange tijd onopgemerkt te blijven, waarbij naar believen gegevens worden gestolen.
Een ander type externe bedreiger is de hacktivist. Hacktivistengroepen zoals Anonymous gebruiken veel van dezelfde tools als financieel gemotiveerde cybercriminelen om kwetsbaarheden in websites op te sporen en ongeautoriseerde toegang te krijgen of om DDoS-aanvallen (Distributed Denial-of-Service) uit te voeren. De motivatie van de meeste hacktivisten is om toegang te krijgen tot gevoelige informatie die een negatieve invloed zal hebben op de reputatie van een individu, een merk, een bedrijf of een overheid.
Lees meer over commodity- vs. geavanceerde dreigingsactoren: