Злоумышленники могут собирать информацию о топологии атакуемой сети, чтобы использовать ее для атак. Это могут быть сведения о физической и (или) логической организации сетевых сред, как имеющих, так и не имеющих выход вовне, а также о сетевых устройствах (таких как шлюзы и маршрутизаторы) и другой инфраструктуре.

Злоумышленники могут собирать эти данные различными способами, в том числе напрямую путем активного сканирования или фишинга с целью сбора сведений. Информация о топологии сети жертвы также может быть найдена в интернете или других доступных источниках (например, путем поиска на сайтах атакуемой организации). Сбор этой информации может открыть дополнительные возможности для разведки (например, поиска технической информации в общедоступных источниках или поиска на общедоступных сайтах) и способствовать получению оперативных ресурсов (в частности, приобретению инфраструктуры или компрометации сторонней инфраструктуры) и (или) обеспечению первоначального доступа (например, путем эксплуатации внешних служб удаленного доступа).