Während eine Bedrohung ein möglicher Sicherheitsverstoß ist, der die Schwachstelle eines Systems oder einer Anlage ausnutzen kann, ist ein Angriff eine absichtliche unbefugte Aktion auf ein System oder eine Anlage. Bei der Bedrohungsmodellierung handelt es sich um einen strukturierten Prozess, der einer Organisation hilft, bekannte Sicherheitsbedrohungen zu dokumentieren und rationale Entscheidungen zu deren Bewältigung zu treffen. Es unterscheidet sich von einem Angriffsbaum, einem konzeptionellen Diagramm, das zeigt, wie das System angegriffen werden könnte.