Деятельность инсайдеров и внешних злоумышленников отличается по нескольким параметрам:

Доступ к информации: инсайдеры имеют санкционированный доступ к конфиденциальным данным, ресурсам, объектам, оборудованию, сетям и системам. 13 Внешние злоумышленники могут обходить периметровые средства защиты. 3

Мотивация: инсайдеры могут действовать из разных мотивов: из-за желания отомстить работодателю, из политических или идеологических убеждений, ради финансовой выгоды или из-за шантажа. 1 Внешние злоумышленники могут интересоваться секретной информацией, которая для них станет товаром. 4

Способы передачи данных: инсайдеры используют интернет, бумажные документы, украденное или потерянное оборудование. 4 Внешние злоумышленники могут применять, например, фишинговые кампании, где сначала нужно найти сотрудника, который откроет ссылку с вредоносным файлом. 5

Сложность обнаружения: действия инсайдеров бывает трудно обнаружить, поскольку они выглядят как обычная рабочая деятельность. 1 Внешние злоумышленники могут сталкиваться с многочисленными средствами защиты, которые им нужно преодолеть. 3

Таким образом, инсайдеры представляют собой внутренний источник угроз, в то время как внешние злоумышленники ориентированы на внешние атаки.