Este nível transborda a fronteira lógica e física da organização (materializada pelas suas soluções de segurança) e procura informação que direta ou indiretamente, possam afetar a segurança da organização. Informação veiculada por canais como deep surface & dark web / darknet, Tor, Freenet, I2P, Riffle entre outros, consolidados em alguns casos em motores de OSINT, dão excelentes indicadores de compromisso que permitem reagir de forma preventiva a incidentes de segurança.
Com acesso a um conjunto de soluções automatizadas e processos manuais o cliente tem acesso a informação extraída de terceiros que podem indiciar potenciais ataques dirigidos a estes ou a empresas da mesma indústria. Pode ter acesso a informação sobre brand reputation, credenciais de colaboradores que possam ter sido extraídas da organização para terceiros, informação esta submetida em canais de negociação no mercado negro. Aqui, o serviço de resposta a incidentes de segurança é elevado a um tier 3, com a inserção de capacidades de Cyber Threat Intelligence (Monitorização de Ativos Digitais, Targeted Cyber Intelligence, redes sociais,…) e operacionalização forense com base em standards como ISO/IEC 27037, ISO/IEC 27041, ISO/IEC 27042 e ISO/IEC 27043.