Charakterystyki cyberprzestępców można podzielić na dwie kategorie:
* Te, które mają charakter całkowicie teoretyczny (takie jak charakterystyka ryzyka, jakie określony, teoretyczny podzbiór przeciwników może stanowić dla danego zasobu)
* Charakterystyka powypadkowa lub kryminalistyczna, gdzie zagrożenie, jakie „prawdziwa” scharakteryzowana osoba może stanowić dla danego zasobu, z wykorzystaniem informacji dostępnych dopiero po wystąpieniu incydentu (takich jak dane dotyczące wykrywania włamań)
Chociaż ta definicja może wydawać się dość jasna, w momencie, gdy zaczniesz wprowadzać którykolwiek z typów charakterystyk w praktyce, granica między nimi staje się nieco rozmyta. Wynika to przede wszystkim z charakterystyki zdolności rzeczywistych (żyjących, oddychających) cyberprzestępców, którzy często są w dużym stopniu zależni od prognozowanych (zakładanych) zmiennych danych, a tym samym metryk teoretycznych. i stworzenie jasnego obrazu tego, jak naprawdę „wygląda” twój przeciwnik, jest po prostu niewykonalne. Podobnie, teoretyczne metryki charakteryzujące, które w dużej mierze opierają się na danych ilościowych, nigdy nie mogą być dokładne bez uprzedniego rozważenia „prawdziwych” studiów przypadków (rzeczywistych cyberprzestępców), z których należy wyprowadzić dane ilościowe. Duża część teorii charakteryzacji przeciwnika jest zatem zależna od następujących elementów:
* Dokonywanie dokładnych prognoz dotyczących tego, jakie mogą być wartości nieobserwowalnych zmiennych, przy użyciu wektorów pochodzących z dostępnych / obserwowalnych danych.
* Możliwość potwierdzenia dokładności ostatecznej charakterystyki poprzez analizę sprawdzonych zależności pomiędzy wykorzystywanymi metrykami
Przyjmując te stwierdzenia, musimy zatem zaakceptować, że istnieje potrzeba zestawu metryk (lub miar) charakteryzacji teoretycznych, które można w jakiś sposób przypisać zachowaniom (lub właściwościom) kontradyktoryjnym, a ostatecznie atakowi. W końcu właściwości przeciwnika są tym, co nas naprawdę interesuje. Metryki charakteryzujące, których używamy, są po prostu sposobem przetwarzania często jakościowych danych w ilościową, znaczącą formę i są funkcją ostatecznej charakterystyki. W ten sam sposób, w jaki nigdy nie moglibyśmy zrozumieć składu złożonych cząsteczek bez podstawowej znajomości tabeli pierwiastków, podstaw nauki atomowej i wzorów, których używamy do wyjaśnienia, jak powstają złożone cząsteczki, nigdy nie moglibyśmy zrozumieć dzisiejszego cyberprzestępcy i jego reaktywność z danym elementem (aktywem lub celem); bez podstawowej wiedzy na temat pierwiastków (właściwości przeciwnika), które tworzą złożone molekuły, które są cyberprzestępcami. aby pójść o krok dalej, podobnie jak możliwa liczba konstruktów molekularnych w naszym wszechświecie, liczba cyberprzestępców i typów ludzi na świecie jest nieskończona. Z tego samego powodu, że nie możemy liczyć na wyliczenie każdej cząsteczki, która kiedykolwiek istniała lub kiedykolwiek istniała, nie możemy też liczyć na wyliczenie każdego cyberprzestępcy, który kiedykolwiek istniał i będzie istniał. Ale czy to naprawdę problem? Weź pod uwagę, że w ten sam sposób, w jaki zdobywamy zrozumienie układu okresowego pierwiastków (naszych przeciwstawnych właściwości) i sposobów, w jakie te elementy oddziałują ze sobą, możemy przewidzieć zachowania i stan dowolnej konfiguracji właściwości przeciwnika. W tym celu jesteśmy w stanie przewidzieć najbardziej prawdopodobne wartości nieznanych zmiennych kontradyktoryjnych w przypadkach, gdy nie wszystkie niezbędne dane są obserwowalne. Pomijając analogie, zacznijmy od przyjrzenia się obserwowalnym właściwościom (lub elementom) cyberprzestępcy i sposobom, w jaki wpływają one na ostateczną charakterystykę.