Upublicznienie formalnej metodologii identyfikacji i charakterystyki cyberzagrożeń to nowy obszar dla Departamentu Obrony i rządu federalnego. Aż do późnych lat dziewięćdziesiątych, wszelkie dyskusje na temat zagranicznych zdolności do cyberofensywy, środków i technik stosowanych w celu uzyskania atrybutu cyberataku na komputery rządowe lub faktu, że miał miejsce nawet cyberatak na rządowe sieci komputerowe pozostał utajniony. Wraz z utworzeniem NIPC i JTF-CND w 1998 r. Ten sposób myślenia zaczął się zmieniać. Obie organizacje zaczęły badać i analizować konkretne typy grup lub organizacji, które mogą prawdopodobnie przeprowadzić atak na infrastrukturę krytyczną lub rządowe sieci komputerowe. Okazało się, że na poziomie krajowym ponad 100 krajów miało możliwości prowadzenia operacji informacyjnych, a co najmniej 20 Stany Zjednoczone w przeszłości, a kilka z nich miało możliwości równe naszym. Odkryli również, że dziesiątki tysięcy witryn internetowych zawierały narzędzia cybernetyczne przydatne do cyberataku, a miliony użytkowników komputerów posiadały umiejętności pozwalające na ich wykorzystanie w taki sposób, jak spowodować znaczne szkody w komponentach i mechanizmach Internetu. Odkrycia potwierdziły wcześniejsze badania, że możliwy był przybliżony ranking istniejących grup zagrożeń, od najmniej powszechnych pod względem liczby, ale najbardziej zdolnych do spowodowania szkód, do najczęstszych, ale najmniej zdolnych do spowodowania rozległych szkód:
* Państwa narodowe (najmniej powszechne, najbardziej narażone na uszkodzenia)
* Terroryści
* Szpiedzy, w tym szpiegostwo korporacyjne
*Przestępczość zorganizowana
* Wtajemniczeni
* Hakerzy (najczęściej, najmniejszy potencjał szkód)
UWAGA: Kolejnym odkryciem było to, że wszystkie sześć z tych grup zarówno wzrastało liczebnie, jak i zdolności. Niestety, organizacje odkryły również, że społeczność defensywna nie rośnie ani nie staje się bardziej biegła w operacjach obronnych w podobnym tempie.
Wszystkie te grupy reprezentują nakładające się zbiory aktorów zagrożeń, a uzyskanie przypisania konkretnie temu, kto lub jaka organizacja jest odpowiedzialna za dany atak, jest niezwykle trudne. Systemy wykrywania włamań, dzienniki zapory i oprogramowanie antywirusowe nie podają administratorowi systemu nazwy intruza. Nastoletni haker lub wykwalifikowany zagraniczny rząd może aktywować atak przepełnienia bufora na podatną aplikację, która powoduje, że ukryta powłoka roota nasłuchuje na wysokim porcie TCP. Techniki i narzędzia używane przez wszystkie sześć z tych grup są zazwyczaj takie same, ale motywacje i intencje są bardzo zróżnicowane