A kifinomult módszerek miatt ma már nagyon sok esetben rendkívül nehéz megkülönböztetni a kiberbűnözők tevékenységét a céges alkalmazottakétól a vállalati infrastruktúra határain belül. A rendszerbe bejutva a hacker arra törekszik, hogy a rendszergazdák vagy más privilegizált felhasználók szintjére emelje saját jogosultságait, és ezt a hatáskört használja ki az adatok ellopására vagy a károkozásra. Éppen ezért elavult dolognak számít külön külső és belső fenyegetésekről beszélni. Ehelyett érdemes abból a feltételezésből kiindulni, hogy a bűnöző már bent is lehet a rendszerben, és ennek megfelelően kell cselekedni. Segít elkerülni az ilyen visszaéléseket, ha a kiemelt felhasználók tevékenységét folyamatosan monitorozzuk egy kifejezetten erre a célra létrehozott eszközzel. (Koránt sincs vége.)
