Природа киберпространства вносит сложность в задачу по определению субъектов киберактивности, но при этом не делает данную задачу невыполнимой. Любая разновидность киберопераций - вредоносных или нет - оставляет след. Аналитики разведсообщества США используют эту информацию, постоянно расширяя свою базу знаний о предыдущих инцидентах и лицах, ответственных за вредоносные атаки, о том, какими методами и инструментами они пользуются, в попытках отследить киберактивность и найти ее источник. В каждом из случаев специалисты ориентируются на профессиональные стандарты, которые были упомянуты в параграфе Процесс анализа.
• Для оценки того, как полученная информация соотносится с уже имеющимися данными, аналитики рассматривают ряд вопросов, внося соответствующие корректировки об уровне уверенности в представленных выводах, с учетом необходимости объяснить альтернативные гипотезы и неоднозначные моменты.
• Обычно определение лиц, ответственных за кибератаку, не является простым выводом о том, кто совершил вмешательство, но представляет собой скорее серию суждений о том, был ли это единичный инцидент, кто был вероятным виновником, каковы его возможные мотивы, и было ли задействовано иностранное правительство в роли заказчика или руководителя вмешательства.