In genere tutti i ciberattacchi sono accomunati dalle due fasi seguenti:
1. accesso iniziale: in questa fase gli aggressori cercano di accedere al sistema o al perimetro, di solito adottando uno dei quattro metodi seguenti:
- e-mail di phishing,
- cracking delle password,
- sfruttamento della vulnerabilità di un software,
- diffusione di malware tramite e-mail;
2. 2. fase operativa: a questo punto l’aggressore cerca di accedere a tutti i dispositivi rilevanti dell’ambiente, inclusi server e postazioni di lavoro, per prendere il controllo e diffondere strumenti e script aggiuntivi. Puntano in particolare a eludere le autorizzazioni e spostarsi lateralmente nella rete allo scopo di accedere al maggior numero possibile di risorse aziendali (dati, informazioni, ecc.).