Злоумышленники могут собирать информацию об атакуемых сетях, чтобы использовать ее для атак. Это могут быть административные данные (например, диапазоны IP-адресов или доменные имена), а также особенности топологии и функционирования.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация об атакуемой сетевой инфраструктуре также может быть найдена в интернете или других доступных источниках (например, путем поиска технической информации в общедоступных источниках). Сбор этой информации может открыть дополнительные возможности для разведки (например, активного сканирования или поиска на общедоступных сайтах) и способствовать получению операционных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации доверительных отношений).