反情报 (CI) 是情报界和国家安全领域必不可少的学科和实践。
事实上,它对私人情报部门也至关重要,因为它涉及各种形式的情报价值,从原始数据和商业机密到国防合同和存放它们的网络基础设施。
然而,与情报的定义和情报周期类似,反情报也与其同类一样,经历了概念争论的奇特丛林。反情报没有普遍认可的定义——它对不同的机构和国家有不同的含义。正因为如此,反情报为何重要的问题与人们如何看待它有关。
1.1 反情报定义
例如,以下是一些类似但又不同的 CI 定义:
“收集和分析信息并采取行动,以保护一个国家(包括其自身的情报相关活动)免受敌对情报机构的行动。” – Abram Shulsky 和 Gary Schmitt
“反情报传统上被理解为包括旨在阻止、破坏或摧毁对手情报行动的行动。”——詹妮弗·西姆斯
“为外国势力、组织、个人、其代理人或国际恐怖组织或活动而收集的信息和开展的活动,目的是识别、欺骗、利用、破坏或防止间谍活动、其他情报活动、破坏或暗杀。” – 美国政府
“反情报是指识别敌对情报机构或组织或从事间谍、破坏、颠覆、恐怖主义或其他非传统威胁的个人对安全构成的威胁的活动。”——英国国防部
1.2 缩小概念焦点
在本指南中,我们将通过学者 Hank Prunckun 的视角来研究反情报活动,他的反情报理论基于七个假设:
1. 作战突袭:反情报支持一般情报功能,使其能够实现作战突袭。
2. 数据收集:反对派会收集情报机构行动的数据。如果反对派无意收集这些数据,反情报计划就没有意义。
3. 目标确定:反对派将重点关注机构及其保护的实体的运营能力的数据收集工作:
-
机构结构:
法律;
宪法;
指挥链;
人员
-
行动范围和影响范围:
地理;
经济的;
社会政治
-
当前能力
-
未来目标
4. 资源:反情报计划需要资源,包括人员和专用设备。
5. 虚构悖论:尽管某事只是幻觉,却仍确信它是真实的,并表现出相关情绪的体验(一种进攻性的反情报做法)。
6. 操作失败:哪里有风险,哪里就有失败的可能。
7. 分析:反情报需要有分析基础(因此它不是纯粹的“将文件放入保险箱”的功能,即安全性)。
这些假设依靠威慑、侦查、欺骗和中和的原则来抵消对方的信息收集活动。反对派数据收集的原因无关紧要,因为这些原则同样适用于任何动机,无论是为了情报收集、颠覆、破坏、恐怖主义、武器扩散还是竞争优势。这一理论将反情报活动的范围扩大到不仅与政府有关,也与私营部门有关。
此外,Prunckun 将反情报活动分为两个截然不同但又相互关联的部分:反情报活动(防御性)和反情报活动(进攻性)。
1.3 防守与进攻
与流行观点相反,反情报和反情报的定义并不相同。在普朗昆的框架中,一个是防御性实践,关注的是拒绝,另一个是进攻性实践,关注的是欺骗。
防御(反情报 - 拒绝)
• 威慑与侦查
• 与安全相关,但不是安全(严格意义上来说)
• 禁止敌人获取信息和收集数据
• 阻止敌人进行渗透行动
• 安全:
o 身体的 ;
o 信息;
o 人员;
o 通讯
• 检测“值得关注的事件”(恶意渗透或恶意收集企图)
进攻(反情报-欺骗)
• 误导反对派
• 隐藏主动渗透行动
• 反对浪费资源
• 消除反对派的情报收集能力
• 在反对派机构内部挑拨离间或降低信任
在脱离反情报的概念方面之前,有必要简要提一下它作为“积极情报”的一种对应物的功能,因为没有更好的术语。
这意味着,每个情报学科(HUMINT、SIGNIT、OSINT等)在其另一端都有反情报功能。这一点很重要,因为每种收集方法都有自己的一套反情报实践。
此外,不同的机构、组织、政府、公司等也会有自己特定的策略、技术和程序。
为了避免过多地纠缠于这些差异,我们将总结一般的反情报实践,并介绍一些主要收集学科的亮点。
2.1 一般反情报技巧
反情报过程
与情报周期类似,我们可以将反情报工作分解为一个过程。学者 Gašper Hribar 将这一过程分为四个步骤:
1. 规划:定义目标并确定情报优先事项。
2. 数据收集:通过全源学科收集信息。
3. 分析:数据评估、分析方法。
4. 制作和传播:起草报告、简报并传播给客户。
除了与情报周期的相似之处之外,根本的区别在于方向和最终产品,这可能导致旨在实施防御解决方案或进攻行动(防御性反情报或进攻性反情报)的反情报行动对普伦昆造成阻碍。
运营安全(OPSEC)
OPSEC 在几乎所有敏感环境中都至关重要,但对反情报活动却不利。
美国政府将 OPSEC 定义为“一种系统且经过验证的流程,通过识别、控制和保护敏感活动计划和执行的一般非机密证据,可以阻止潜在对手获取有关其能力和意图的信息。”该流程分为五个步骤:
1. 识别关键信息
2. 威胁分析
3. 漏洞分析
4. 风险评估
5. 对策的应用
这一流程并非仅限于政府雇员或情报界成员。私营部门也同样需要这一流程,尤其是当涉及商业机密,或面临来自竞争对手或敌对威胁者的经济或工业间谍活动风险时。
2.2 全源反情报技术
• 双重/渗透代理:包括检测和阻止敌方代理(防御性)以及培养或处理自己的代理,以此来消除或削弱对手的情报收集能力。
• 秘密监视:秘密观察和跟踪“人员、物体、设施或情报部门认为有价值的任何其他事物”。
• 技术监视:与技术收集方法(即 SIGINT、COMINT)相一致的监视。这包括通过使用电子设备、通信设备和视频监视。
• 反监视:阻止、防止和利用对手的监视企图。
反情报是一个多元化的领域,有无数种策略可供实施。
作为一名基础从业者,掌握一系列值得注意的技能是有益的。
• 态势感知/关注细节:态势感知和关注细节与反情报密不可分。对于一名基础从业者来说,这些技能在任何相关工作场所都适用。例如,了解同事的底线,并注意是否有任何偏差。意外的生活环境、悲剧和意识形态转变都是微妙的变化,可能意味着某人容易受到对手的攻击,或容易成为敌方双重间谍(适用于可以获得情报价值的专业环境)。
• 专业教育和培训:了解您的专业环境面临的威胁并培养对反情报概念的认识。这不仅包括威胁,还包括内部安全和敏感材料处理程序。
• 审查:对于招聘人员来说,审查是一项至关重要的实践,有助于尽早发现潜在的反情报威胁。审查本身是一个独立的主题,但它可以包括对潜在员工的背景调查、面试和社交媒体审计。
• 内部监控:在专业环境中拥有监控能力是威慑和检测的关键方法。这可以包括物理安全、摄像头/闭路电视、警报和其他形式的内部安全。
• 不良的 OPSEC:
不良的 OPSEC 会导致安全漏洞,并使实体容易受到对手的情报行动攻击。
• 教育不当:包括人员没有接受足够的 OPSEC、组织程序和敏感材料安全处理方面的培训。
• 未报告:具体而言,未报告行为出现明显变化或发出危险信号的个人。
• 审查薄弱:不适当的背景调查和糟糕的审查程序对组织安全构成重大风险。
• 自满:自满对反情报活动来说有很多含义。例如,对威胁的认识过于狭隘,即当内部风险相同时,却努力保护组织免受外部渗透。
5.1 课程
• 国防部反情报意识和报告课程
• 认证反情报威胁分析师(迈克菲学院)
• 反情报101认证速成课程 (udemy)
• 技术监视对策简介 – 电子窃听扫描 (udemy)
• 反情报课程和简报 – 反情报和安全研究中心
• 网络反情报技术 - 认证网络反情报分析师 (Treadstone 71)
5.2 书籍
• 反情报理论与实践(亚马逊)
• 抓捕间谍:反情报的艺术(亚马逊)
• 保险库、镜子和面具:重新发现美国反情报活动(亚马逊)
• 挫败国内外敌人:如何成为一名反情报官员(亚马逊)
• 肮脏的伎俩还是王牌:美国的秘密行动和反情报活动(亚马逊)
• 反情报剖析:欧洲视角(亚马逊)
反情报为何如此重要?
如果一个机构、组织或国家没有强大的反情报计划,那么在与对手的竞争中就会处于极大的劣势。优势是情报行动和战略的一部分,如果做得正确,反情报有助于获得或保持这种优势。此外,反情报推动着保护国家机密的机制,反过来又保护了国家安全。在私营部门,反情报有助于保护敏感信息,这些信息可能会给竞争对手带来优势,或者让你的组织遭受攻击。
组织如何才能及时了解反情报领域的最新威胁和趋势?
这将根据组织及其能力而有所不同。具体来说,对于私营部门来说,拥有一支专门的情报团队是一种资源密集型的方式。在个人层面,继续教育和了解与您所在行业相关的时事或有关可能针对您组织的威胁的开源信息都是开始的地方。
7.1 网络反情报
网络反情报 (CCI) 是反情报学科中一个快速发展的分支,就像网络行动与情报的结合越来越紧密一样。实际上,CCI 是参与者确保(防御)和推进(进攻)其网络利益的一种方式。尽管 CCI 的学术研究和认知度正在增长,但它仍然是一个相当小众的领域,没有像其他 CI 实践那样受到那么多的关注。
