Um ator da ameaça, também chamado de ator malicioso ou mau ator, é uma entidade que é parcial ou totalmente responsável por um incidente que impacta - ou tem o potencial de impactar - a segurança de uma organização.
Na inteligência de ameaças, os atores são geralmente categorizados como externos, internos ou parceiros. Com atores de ameaças externas, não existe confiança ou privilégio anteriormente, enquanto que com atores internos ou parceiros, algum nível de confiança ou privilégio já existiu anteriormente. O ator pode ser um indivíduo ou uma organização; o incidente pode ser intencional ou acidental e seu propósito malicioso ou benigno.
Eatores externos são a principal preocupação dos serviços de inteligência de ameaças não só porque são os mais comuns, mas também porque tendem a ser os mais severos em termos de impacto negativo. Tais atores de ameaças são às vezes categorizados como sendo mercadorias ou avançados. Um ator de ameaça de commodity lança um ataque de base ampla esperando atingir o maior número possível de alvos, enquanto um ator de ameaça avançada visa uma organização, muitas vezes procurando implementar uma ameaça persistente avançada (APT) a fim de obter acesso à rede e permanecer sem ser detectado por muito tempo, roubando dados à vontade.
Um outro tipo de ator de ameaça externa é o hacktivista. Grupos hacktivistas como o Anonymous usam muitas das mesmas ferramentas empregados por cybercriminosos  motivados financeiramente;para detectar vulnerabilidades do site e obter acesso não autorizado ou realizar ataques de negação de serviço (DDoS) distribuídos. A motivação da maioria dos hacktivistas é obter acesso a informações sensíveis que terão um impacto negativo na reputação de um indivíduo, uma marca, uma empresa ou um governo.
Saiba mais sobre mercadorias vs. atores avançados da ameaça: