For at kunne installere malware i netværket hos en myndighed eller virksomhed skal hackeren først bryde igennem det digitale hegn, som beskytter organisationen mod cyberangreb. Trusselsvurderingen beskriver, hvordan hackere scanner alle IP-adresser, som er tilgængelige fra internettet, for at finde svagheder, der kan udnyttes til at skabe huller i hegnet. En enkelt hacker kan scanne hele internettet på mindre end en time, og det gør mange hackere ofte.  Derfor vil alle organisationer jævnligt opleve, at hackere tester deres it-netværk for svagheder.

Mange it-professionelle opfatter scanningerne som uskadelige, fordi de er så almindelige. En betydelig andel af alle succesfulde hackerangreb, for eksempel med ransomware, kan imidlertid føres tilbage til en indledende kompromittering via en sårbarhed i en fjernadgang eller andet internetforbundet udstyr. Det sårbare udstyr er typisk fundet via en scanning af organisationens IP-adresser.

Viden om truslen og hackernes metoder kan hjælpe myndigheder og virksomheder til at imødegå truslen fra hackernes scanninger. Som eksempel bør organisationer have særlig opmærksomhed på det udstyr, de forbinder til internettet, og løbende sørge for, at udstyret er konfigureret korrekt og er opdateret med de seneste sikkerhedsopdateringer. Yderligere anbefalinger kan findes i trusselsvurderingen.