【摘要】
成功开展情报主导的执法行动的一个关键因素是,警察和其他安全部门有能力及时获得关于所关注的问题、事件或调查的可靠和可采取行动的情报。除了传统的调查技术和信息来源,开源情报(OSINT)可以为执法机构提供额外的能力,以管理调查或满足特定事件的情报要求。本文介绍了开源情报的概念,识别并讨论了开源情报与传统情报源融合的有效实践及关键的成功因素。本文是根据CENTRIC在2015年至2017年期间参与14个英国LEA开源调查的情况撰写的。
关键词:开源情报,情景意识,执法
一、导言
近年来,私营部门越来越多地开始利用包括社交媒体在内的开放式在线来源的信息来衡量客户忠诚度、跟踪公众舆论和评估产品感知。与这一趋势相吻合的是,执法机构正在应用各种技术来加强其调查能力,以改进其对刑事威胁的反应。因此,开源情报(OSINT)工具和技术日益成为执法部门侦查罪犯及其活动的一部分,包括针对招募、转移资金、信息和协调非法活动的活动。
本文基于与英国地区警察部队合作、合作、培训和定制调查工作取得的经验,审查执法部门使用、部署和维护有效的开源情报调查工具和策略的标准。此外,论文强调了现代开源情报从业者的重要考虑领域。然而,定义开源情报的具体特征不是一个简单的任务,使用开源情报的背景和定义常常取决于起源国和组织的变化。这个词的歧义性在后面的“当前挑战和困境”一节中详细探讨。尽管存在这种上下文模糊性,但为了本文的目的,使用了开源情报的工作定义,遵循以下三个定义原则:
1)开源情报由从“公共可用源”收集的数据组成;
2)它是要在“情报上下文”中使用的数据;
3)可以以公开的方式进行数据收集。
此外,从本体论的角度来看,本文认为开源情报是执法机构(LEA)情景感知能力的一部分。在我们的讨论中,情境意识被定义为“识别、情境化、视觉化、过程化和理解关于特定关注领域的情报关键要素的能力。这些自负领域可能是从调查到管理重大危机的任何方面。
作者承认——后来又详细探讨了——这些术语的优势和局限性,以及它们如何通过解释允许灵活性。这三个定义语句是粗略的轮廓,而不是文字定义,在“7”节中加以探讨。开源情报解释面临的新挑战。事实上,值得注意的是,RIPA(2000年调查权力管理法)可能被解释为具有灵活和动态的解释能力,而不是对执法的不便或破坏性限制。
二、社交媒体的重要性
开源情报越来越关注基于互联网和社交媒体分析(Social Media Intelligence(SOCMINT))。在这方面,英国NPCC(国家警察局长委员会)已经就是否继续将其称为OSINT或互联网调查(NPCCNational开源情报和调查会议,2017年)进行了辩论。虽然这似乎有点微不足道,但它显示了当代开源情报调查在传统“离线”方法上的流行程度和主导性。目前,似乎使用基于互联网的开源情报,特别是关于大数据分析主要用于情报收集和调查,而不是用于一般社区警务。据指出,截至2015年,一般而言,大多数警察部队和开源情报从业人员使用``社交媒体.告知各种战略,例如先发制人逮捕、截获活动、接近特定个人和团体,或在事件期间改变战术。(没有确定社区的需要)尚未成为警察做法的一部分,引起警察对情报和参与之间重叠程度的关切"。与执法和其他相关安全从业人员的许多方面一样,对社交媒体的参与程度在力量之间大不相同,其中大多数力量主要利用社交媒体与社区进行临时通知,如新闻公告和小罪公告。这本身可能涉及公众,他们可能会觉得开源情报监测可能是“双向镜子”,情报从业人员能够观察和调查,最少的社区参与和互动。
必须理解和尊重开源情报调查的许多要素得益于不对所使用的具体策略和解决方案采取全面披露政策。应当向公众表明,必须并授权部署的严格规则和条例,以及公共安全和安保可能受益于这种轻率做法,尽量减少公开接触,这有助于追踪社区威胁、保护脆弱性和最大限度地维护秩序。还可以让公众放心,警察和其他开源情报认证从业人员必须遵守比大多数使用大数据分析和收集、存储和关联个人数据的私营公司和企业更严格的标准。对电脑界一代人来说,失去对组织和公司个人数据的控制和拥有权不是一个革命性的,或特别可怕的启示,然而,事实可能证明它有利于让集体放心,开源情报必须遵守比谷歌、Facebook、微软和亚马逊等机构更严格的协议。
三、紧跟时代的LEA要求
现代使用基于互联网的开源情报有助于提高警察部队的能力和效率,这对态势感知能力具有直接的连锁效应。开源情报的主要好处之一是通过重新分配和减少传统资源。开源情报允许资源相对较少的业务,与传统警务相比,这些业务具有节省大量物质和财政成本的潜力,因为它们可以远程、安全地进行,监视和调查做法通常需要的人力远远少于“现场”官员的实际存在。
此外,开源情报培训与其他警察专业相比,需要相对低的成本和时间投资。英国的大多数开源情报课程平均提供2-7天的培训课程,而卧底警察、火器、秘密监视、交通、金融和腐败官员培训课程通常需要最多18个月或更长的密集参与课程。事实上,截至2014年,警务学院提供开源电子学习模块,包括压缩的35分钟长任务,与其他警务专业相比,对调查员的培训很少。此外,如果程序、规章和立法得到适当遵守,开源情报操作通常由于非物质参与而风险较低,主要造成声誉和组织损害。的确,尽管围绕在线隐私和激烈言论的声誉和组织关注正在增加,导致来自公共、司法和非政府组织机构的力量审查增加,开源情报情景意识也越来越多地被利用,也许是自相矛盾的,用于公共关系监测和事后反馈,作为改进社区警务方法的必要工具。
值得注意的是,随着LOT(物联网)设备日益渗透到现代文明的各个方面,所有调查现在都有一个网络元素,尤其考虑到警察通过连接到路由器、本地WiFi等设备污染犯罪现场,这可能会损害证据材料。这一构想还包括开源情报的情景意识分支,一个例子是,在基本社交媒体搜索查询方面接受过培训,同时进行传统的记笔记,以协助发挥社区作用,如查明被指控的肇事者。此外,开源情报可用于并行情报,这种能力允许执法机构(LEA)保护卧底和嵌入式特工,以及证据和情报。封闭源可以传递给开源情报团队以重新创建相同的信息和来自公开可用信息的线索。
总的来说,开源情报是执法机构(LEAs)和其他安全从业人员可以“将外部引入”的少数领域之一,允许(审查)外部专业知识和建议。事实上,英国陆军SGMI(特种部队军事情报人员,他们经常使用开源分析)的座右铭很方便,那就是“将外部引入”。由于开源材料开源情报的性质,可以以更方便的方式将情境意识扩展到围绕隐蔽和分类数据的协议。例如,将安全工作外包给研究人员和分析人员,可能会使任务能够匿名化或减轻数据和情报方面的关切,而是侧重于具体的查询领域。例如,在调查特定个人时,可以篡改社交媒体图片来隐藏询问的对象,但是将其保存在背景图像中,从而允许外部行为者在不损害个人信息的情况下在期望的位置上寻求情报。
四、态势感知的核心要求
对涉嫌参与严重犯罪或恐怖活动的个人进行秘密监测的能力对执法当局和更广泛的安全界有明显的好处。开源情报技术可以有效地用于应对一系列执法问题,从加强社区安全、处理反社会行为、打击严重有组织犯罪和打击恐怖主义。任何隐蔽技术,包括卧底或公开未公开的开源情报监视和监测,都必须谨慎、适当使用,并在部署开源情报的地方,做到透明、可审计,并符合相关立法。CENTRIC开源情报的参与对新出现的态势感知趋势观察到了七项优先要求:
1. 反恐重点
众所周知,伊斯兰国在2014-2016年主要运作年份(2017冬季,第6页)的技术和传播技能使网上公开来源在激进化、招募、培训、资助和煽动恐怖主义目标方面发挥了关键作用。已经观察到反恐(CT)情境意识优先要求围绕三个关键载体进行:
A)采取防御措施,减少受关注人口、领土、基础设施和通信系统攻击的脆弱性。
B)查明、防止、阻止和阻止恐怖主义活动的进攻性措施。
C)采取措施限制恐怖袭击的后果,并在此类袭击后稳定局势,以支持文职当局。
关于防御措施,开源情报态势感知可以通过诸如反情报和红色联队等措施提供极大帮助,其中研究人员可以对潜在目标位置和个人进行检查,以揭示潜在的数据泄漏和可自由获得的信息,这些信息可能损害他们的安全。进攻性态势感知开源情报措施可能主要由传统的研究人员和分析师调查角色、对恐怖来源的定位、监测和报告组成。限制恐怖行动的后果是应对措施,包括适当的公开公告、从指挥和控制角度进行开源监测,还可能包括多方联动情报,例如联邦调查局要求公众帮助揭露2013年波士顿轰炸机。
2. 网络焦点
在过去十年中,网络犯罪、网络战和网络恐怖主义都迅速而动态地发展。虽然开源情报的感知在传统上可能被认为是比传统的网络攻击、威胁和脆弱性更低的技术巧妙,但它已被证明是识别新出现的网络趋势和促进更大复原力的宝贵工具。其中一个重要领域是调查论坛和黑暗网络市场的自动爬行,促进、鼓励和销售黑客攻击以及数据和硬件开发指南。越来越多的人要求执法机构(LEAs)使用自动监测系统提醒开源情报调查人员和分析人员注意这种行为的指标。这可能包括对报道已发现数据违规的新闻和公共来源的交叉验证、个人信息转储,同时交叉提及增加活动或在非法站点(如已识别的黑暗论坛)上出现关键词。
3. 威胁融资
执法机构和广大安全界面临的一个关键挑战是查明和阻挠为敌对行为者提供资金。参与恐怖主义活动的参与者很可能会采取与有组织犯罪集团融资策略平行的策略,这些策略已经得到证实,而且已知会避免对金融和政府观察团队进行审查。然而,尽管从财务角度寻求相同的目标,但可以争辩说,这两个集团持有不同的最终目标:有组织犯罪集团寻求在稳定环境中尽可能多地获得利润。通常消费者依赖他们的活动。通常邻近的有组织犯罪集团(OCG)为了每个OCG的最大利益以某种商定的和谐方式运作。另一方面,恐怖组织通常有一个激进的政治议程,需要为组织和业务能力提供资金;因此,它们不太可能受到与任何伙伴发生冲突的因素的限制。
关注情境意识的开源情报面临的主要和更复杂的挑战之一,在于确定和分类犯罪与资助恐怖主义之间关系的要求,以及能够确定犯罪活动何时可能成为资助恐怖主义活动并升级到适当的对策和程序。随后,开源情报威胁融资情境意识的优先方法是:
1.确定恐怖分子的资金来源
2.查明奥组委内资助恐怖主义的坏角色
3. 查明随后导致恐怖主义的显然合法的金融流。
4. 密码货币分析
威胁融资的一个日益困难的要素是区块链加密货币。尽管比特币和Ethereum 等货币可以公开发行,并持有公开分类账,但追踪和监测非法交易需要高度专业化和训练有素的个人,他们往往在网络安全和间谍领域活动。
使用“旋转器”或“翻转器”可能会使执法机构(LEAs)难以跟踪和跟踪在线区块链交易。虽然确保这种融资方法不被开源情报和注重情境意识的部门忽视是合适的,但实际证明的案例似乎有限;此外,它们似乎依赖一个漫长和复杂的时期来比较在线市场细节与单个区块链交易。
5. 弱指标分析
薄弱的指标对于处理贩运人口、非法移民、武器和爆炸物制造以及资助恐怖主义等情况特别有用。薄弱的指标爬行分析潜在威胁或关注领域的“成分”,例如薄弱的指标或成分,可能是哈瓦拉网络的增加、象牙贸易的增加或SIM卡海关查封,涉及为恐怖团体筹集资金。每个单独成分都不是总体潜在资金的有用指标,然而,当将它们组合在一起时,这些自动捕获的成分可能显示表示更广泛问题的感兴趣领域。
当使用大数据解决方案和弱指标分析时,可以鼓励将开源情报情景认知团队分成由人领导的调查人员和分析人员以及处理定量数据解释的数据科学家和研究人员。该中心的运作使调查小组离得很近,从而相互加强调查的方向。协调工作的一个例子是通过对涉嫌招募恐怖分子的社交媒体简介的分析----这些简介可能包括数千个单独的个人联系。在人类主导的行动中,个人档案图片在时限内似乎支持恐怖分子的徽章、徽章或携带火器,但数据解释器可协助领导调查其他档案,例如,女性账户,虽然她们看起来并不可疑,但相对于其在整个嫌疑网络中的联系和普遍性,这些账户是绘制的优先账户。在这里,成功的开源情报情境意识利用大数据和弱信号分析的认知客观性“人在循环”。的确,‘基本的和优秀的开源情报“操作”之间的主要区别在于分析过程’,融合了人类主导的知识和基于机器的能力。
6. 数据采集
在进行研究时,应鼓励操作人员保持所有标签的开放,这样可以回忆用户是如何从A到Z得到的,并在高级军官需要时协助他们解释任何链接。此外,积极鼓励使用诸如OSIRT的安全日志工具来管理历史、记录细节、数据捕获和加密存储以及利用时间戳对文档进行散列。总的来说,特定调查或操作的任务文件是这一过程中最重要的文章。所有提供商都应尽一切努力确保提供所有信息,包括历史电子邮件、移动号码、地址、联系人等。保管记录通常保存着大量的数据,这些数据常常被忽视。
这种数据收集最佳做法的建议办法之一是仿照“日本办法”。1998年在肯特郡警察引入《人权法》后首次制定;它在以下图表中细分,在指导开源情报和情境意识实践方面发挥重要作用:
正当理由 | 在目前情况下,这些行动必须是正当的。例如,查看、收集、存储和分享个人或潜在敏感信息的“需要”和“获取方法”是否可以被认为是合理的。 |
授权书 | 视情况而定,可能需要授权具体行动或调查重点。要么所涉个人应拥有执行此类任务的适当授权,要么已由负责此类行动的经理清除/指定。 |
比例 | 调查的行动和数据收集必须相称,必须确保无法从其他途径合理和有效地收集这些行动和数据,而且必须全面开展调查。 |
可审计 | 从调查中收集的证据链应该是可审计的,并且足以在法律案件中得到支持。必须有证据并明确说明调查的每一步骤是如何联系和发展的。 |
必要性 | 调查员必须确保所寻求的调查结果具有重要性,并正在以最佳做法寻求。 |
7. 开源情报解释面临的新挑战
尽管在本文开头尽力定义开源情报,但该术语本身及其定义特征并不是绝对的。实际上,关于情境意识开源情报的三个定义特征,存在对其模糊性以及执法部门如何实际解释它们的重大批评。对开源情报解释的主要批评主要集中在定义要点1和要点3上,探讨如下:
1) OSINT包含从“公共可用源”收集的数据
2) 它是在“情报环境”中使用的数据
3) 可以以公开的方式执行数据收集
关于第一个定义点,警务情报中使用的“公开来源”还包括金融数据(如信贷报告和银行详细信息)、车辆登记数据(如DVLA数据库和保险提供商)以及从处理大量数据和通信信息的专家公司向执法部门提供的其他数据。总部设在英国的公司如Connexus GBG和Cosain 9利用移动和社交媒体数据,但仅将其专业服务出售给执法机构(LEAs),有时还出售给其他专家。获得此类数据机会尤其具有争议,因为尽管打上了烙印,但公众并不公开提供这些机会。
此外,关于第三个决定性因素;质疑的问题涉及提及数据收集`可以'公开进行,但很少这样做。事实上,开源情报的这些在线方面要求匿名和谨慎,部分原因是数据保护和警务标准,因此,不会引人注目。例如,在没有直接互动和沟通的情况下,查看社交媒体简档通常永远不会通知他们正在查看的目标简档,这与上文详述的大数据和通信信息的专业公司和服务的警察使用类似。
因此,开源情报情境意识的正确使用必须包括适当的情境意识,这反映在诸如开源调查和情报等新出现的批评中,这些批评日益成为主流调查渠道,并且由于现代调查新闻和媒体节目,在公众一般知识中变得更加突出。鉴于政治团体、公众和当前政府之间正在进行的关于安全与自由的辩论,基于互联网的开源情报监视和调查能力的相对现代整合,可能是后斯诺登时代的动荡话题。
五、结论
总体而言,当代开源情报的情境意识在很大程度上且越来越多地被在线研究和调查所主导。由于这些行动的性质有些含糊不清,执法机构必须努力在保护具体方法和策略的同时兼顾一定程度的透明度。现代开源情报的情境意识帮助执法机构(LEA)提高了能力和操作效率,此外,其格式允许通过把任务外包给专家和受审核的个人,获得一定程度的外部支持网络。特别是,这一做法有助于解决新出现的安全问题,如恐怖主义网络建设、网络犯罪行为者和威胁融资趋势。将专家、分析师和安全人员纳入现代开源情报是成功的关键因素,因为“人在圈子里”对于高效、负责任和相称的情报收集至关重要。事实上,提供给执法机构的现代工具在用于消除噪音和帮助集中调查时往往具有重大价值。
所有当代开源情报的情景意识都应该被带到最高级别的问责、正直和相称性,例如通过所描述的“JAPAN”方法,这样做有助于保护现代开源情报的情景意识方法免受一些新出现的挑战,其中包括提高公众对现代监控操作的认识可能产生的负面影响。
作者:
Babak Akhgar
英国谢菲尔德·哈勒姆大学信息学教授
Douglas Wells1
英国谢菲尔德·哈勒姆大学研究中心研究员
原文PDF文档及机器翻译文档已上传知识星球
长按识别下面的二维码可加入星球下载
里面已有近千篇资料可供下载
越早加入越便宜哦
如有侵权请联系:admin#unsafe.sh