يجب على المؤسسات المالية تحديد وتصنيف المراحل المختلفة للهجوم الذي تنفذه جهات التهديد استنادًا إلى المعايير أو الأطر الصناعية (مثل سلسلة القتل، وسلسلة القتل الموحدة، وما إلى ذلك). علاوة على ذلك، يجب على المؤسسات المالية تحليل المعلومات وطريقة عمل جهات التهديد بناءً على نهج منظم للهجمات (على سبيل المثال، يعتمد إطار عمل MITRE نسخة معدلة من سلسلة القتل الموحدة).

يجب على المؤسسات المالية تحليل المعلومات التي تم جمعها من المصادر المتعلقة بجهات التهديد أو الأدوات أو البرمجيات الخبيثة ذات الصلة لتحديد التقنيات والتكتيكات والإجراءات ذات الصلة. إضافة إلى ذلك، ينبغي أن تعتمد المؤسسات المالية تصنيفاً للهجمات وتصنيفاً لهذه التكتيكات والتقنيات والإجراءات (مثل MITRE ATT&CK). واستناداً إلى التصنيف المحدد، يجب أن يقوموا بوضع ملفات تعريف لسلوكيات جهات التهديد وتحديد الأساليب التي تستخدمها جهات التهديد. كما يجب أن تعتمد المؤسسات المالية أيضاً على مؤشرات الاختراق لتحديد هذه التكتيكات والتقنيات والإجراءات.

يجب على المؤسسات المالية تحديد البرمجيات الخبيثة والأدوات أثناء الهجوم، بالإضافة إلى إجراء تصنيف عام لها لاستخدامها على المستوى المؤسسي (مثل حصان طروادة المصرفي، برمجيات الفدية، إلخ). ويمكن للمؤسسات المالية الحصول على معلومات بشأن الأنواع المختلفة من البرمجيات الخبيثة والأدوات التي تستخدمها جهات التهديد باستخدام مصادر مختلفة، مثل مؤشرات الاختراق وشبكة الإنترنت المظلمة، وشبكة الإنترنت العميقة، والاستخبارات مفتوحة المصدر، ومستودعات الشيفرات البرمجية، ومنصات مشاركة المعلومات، وما إلى ذلك.