Kybertiedustelun tavoitteena on selvittää yksityiskohtia kybertoimintaympäristössä toimivista henkilöistä, valtioista tai yrityksistä sekä heidän järjestelmistään ja verkoistaan. Selvityksen tuloksena löytyviä haavoittuvuuksia hyödynnetään tietoverkko-operaatioita toteutettaessa. Lisäksi tehdään arvioita siitä, miten tietyssä kybertoimintaympäristössä voidaan toteuttaa erilaisia tietoverkko-operaatioita.

Tiedustelu voi varsinkin yksilöistä tietoa kerättäessä perustua myös

• avoimeen tietoon (OSINT Open Source Intelligence), joka tarkoittaa julkisiin lähteisiin kuten tv-lähetyksiin, lehtiin jne. perustuvaa tiedustelua tai
• sosiaalisen median kautta saatuun tietoon (SOCMINT engl. Social Media Intelligence), joka tarkoittaa erilaisiin sosiaalisen median palveluihin perustuvaa tiedustelua.

Suomessa esimerkiksi vakoiluohjelma Flame saastutti Windows-koneita. Flame tallensi ääntä tietokoneen mikrofoneilla, otti kuvaruutukaappauksia, seurasi ja tallensi verkkoliikennettä sekä Skype-puheluita, latasi yhteystietoja lähellä olevista Bluetooth-laitteista ja lähetti keräämänsä tiedot palvelimille odottaessaan lisäohjeita. Flame katosi koneista paljastuttuaan.