W teatrach wojny świata fizycznego wiedza o tym, komu przeciwnik jest lojalny, z kim jest powiązany i kto pomaga temu przeciwnikowi, jest niezbędna. Takie bardzo przydatne informacje mogą doprowadzić nas do dokonania kilku ustaleń z większą pewnością, że nasze ustalenia są dokładne. Takie ustalenia mogą obejmować arsenał, który może, ale nie musi być do dyspozycji przeciwnika. Określenie, do jakich zasobów mają dostęp różne typy przeciwników, umożliwia nam dokonanie rzetelnych ustaleń dotyczących rodzaju ataków, jakich możemy się spodziewać po przeciwniku lub z perspektywy po incydencie, rodzaju przeciwnika, który zainicjował atak. Chociaż zasoby i możliwości naszego przeciwnika nie są przedmiotem własności przeciwnika środowiska, stowarzyszenia i obiekt źródłowy informacji wywiadowczych jest i prawdopodobnie jest głównym przedmiotem wpływającym na obiekt zasobów przeciwnika (omówiony później). Sposób, w jaki stowarzyszenia przeciwnika i inne źródła informacji będą wpływać na atak na dany cel, będzie się znacznie różnić, w zależności od semantyki konstrukcji ataku. Na przykład czy istniała potrzeba poszukiwania dodatkowych informacji na etapie rozpoznania ataku? I czy przeciwnik naprawdę musi korzystać z cennych zasobów wywiadowczych, kiedy nadal może odnieść sukces bez zatrzymywania zasobów? Zależy to również od charakteru zasobu. Czy zabrakło zasobów? Czy przeciwnik musi „coś oddać” temu zasobowi, aby pozostał on dla niego dostępny, czy też jest to coś, co jest swobodnie dostępne i bez ryzyka wyczerpania? Asocjacje i obiekt wywiadowczy są zapełniane przede wszystkim przez dane dotyczące wiedzy, którą posiada przeciwnik. Takie informacje mogą obejmować dane dotyczące podatności i eksploatacji zdobyte dzięki skojarzeniom, dane dotyczące schematów możliwych docelowych sieci oraz wszelkie inne dodatkowe informacje, które przeciwnik może wykorzystać do:
* Zwiększ swoje szanse na sukces
* Zapewnij wstępny dostęp do przeciwnika
Jednym z mniej oczywistych, ale coraz bardziej powszechnych źródeł takich informacji nie są w rzeczywistości stowarzyszenia internetowe lub listy dyskusyjne dotyczące luk w oprogramowaniu, ale osoby z wewnątrz. Osoby z wewnątrz organizacji są coraz częściej wykorzystywane do dostarczania adwersarzom zewnętrznym zarówno potrzebnych informacji, czy to haseł systemowych, czy schematów sieciowych zastrzeżonego kodu źródłowego, jak i do zapewnienia wstępnego dostępu, którego może potrzebować przeciwnik do przeprowadzenia ataku. Należy pamiętać, że chociaż insider mógł osiągnąć swój status w wyniku wcześniejszego ataku socjotechnicznego, model przeciwnika ma do czynienia z nim na bieżąco. Insider w momencie osiągnięcia statusu insidera znajduje się już w „środowisku” przeciwnika, a więc części stowarzyszeń i obiektu wywiadowczego. Chociaż cyberprzestępcy i przestępcy w świecie rzeczywistym są do siebie podobni pod wieloma względami, różnią się łatwością dostępu do kluczowych zasobów. Z definicji cyberprzestępca musi mieć jakąś formę dostępu do „cyberprzestrzeni” i zasobów, które ona daje. W świecie fizycznym przeciwnicy nie mają tak bezpośredniego dostępu do celów. Odległość to problem, a większość z nich nie rodzi się w świecie otoczonym arsenałem broni. Dla cyberprzestępców internet stanowi ogromny, stosunkowo nieograniczony i niemoderowany zasób narzędzi i informacji, które są dostępne na żądanie. Jednak podobnie jak w prawdziwym świecie, Internet jest domem dla niezliczonych informacji, które nie są tak swobodnie dostępne. W odpowiedniej sytuacji tego typu informacje mogą być nieocenione dla przeciwnika zarówno w świecie fizycznym, jak iw cyberprzestrzeni. Możliwość dostępu przeciwnika do takich nielegalnych informacji jest prawie zawsze funkcją jego zdolności do tworzenia i utrzymywania właściwych skojarzeń. Bez wątpienia najbogatszym źródłem informacji dla współczesnego cyberprzestępcy jest sam Internet. Istnieje ogromna liczba społeczności internetowych, których duszą jest ułatwianie odkrywania i dalszych badań luk w zabezpieczeniach – z których wiele ma wpływ na najbardziej wrażliwe istniejące systemy informacyjne. Korzystając z mediów, takich jak czat internetowy i prywatne listy mailingowe, takie grupy często dzielą się narzędziami w celu wykorzystania niepublikowanych luk w zabezpieczeniach systemów operacyjnych i zastrzeżonego kodu źródłowego zamkniętych systemów operacyjnych, takich jak Microsoft Windows, SGI IRIX, Cisco IOS, i wiele innych. Inne powszechnie wymieniane artefakty obejmują poufną dokumentację sprzętu dla produktów dostępnych na rynku, a nawet schematy sieciowe niektórych z najbardziej wrażliwych sieci komputerowych na świecie. Jednak zdolność przeciwnika do wykorzystania tych informacji będzie się znacznie różnić i będzie w dużym stopniu zależeć od jego skojarzeń.