十年前,开源情报分析师很难在网上发现和获取信息。如今的情况变成了,开源情报分析师很难精确筛选网上的海量内容。这很容易让调查人员失去注意力并开始陷入困境。
因此,每个开源情报分析师和团队都应该开发自己的开源情报调查框架。这个框架应该回答以下问题:
你想要实现什么目标?
您将使用哪些数据源?
您将如何准备和展示您的研究结果?
您将利用什么类型的工具?
您将如何存储收集到的数据?
有了计划,就有了完成目标的系统。这可以节省时间,让调查步入正轨,避免监管上的障碍。
开源情报分析师可以使用网络收集目标的情报,同样,目标也可以使用网络收集开源情报分析师的情报。
每次上网,开源情报分析师都会留下一串数字足迹。其中包括 IP 地址、系统配置和其他信息等数据。
所有这些都可能向相关人员泄露开源情报分析师的身份和意图,让目标知道他们正在接受调查。
这可能会导致开源情报分析师的目标删除潜在证据。甚至更糟的是,他们甚至可能对开源情报分析师的组织进行报复。
因此,要掩盖开源情报分析师的在线数字足迹,就需要实施有效的操作安全措施。这意味着不仅仅是使用 VPN 或浏览器的“隐身模式”。
一些组织通过创建单独的“匿名”网络来实现这一点。调查人员使用这些平台匿名浏览可疑网站并下载文件。
另外,一些开源情报分析师更喜欢管理服务提供商的托管服务。这些技术允许用户在日常设备上浏览网页,同时隐藏他们在外部方眼中的存在。
互联网是错误和虚假信息的温床,这已不是什么秘密。
各国成立了专门散播虚假新闻的组织。但即使是善意的个人和新闻机构也会犯错,传播谣言或虚假报道。
这给新手开源情报分析师带来了很大的麻烦。
依赖错误的信息可能会严重扭曲报告的结果。这可能会导致情报用户做出错误的选择,从而危及人员和财产的安全。
验证在网上发现的任何内容的最佳方法是与其他人交叉核对信息来源。
如果许多人报告了与某事件相同或类似的活动,可以确信信息是准确的。如果无法验证信息来源,应在报告中注明这一事实。
许多新手开源情报分析师会直接进行评估,收集相关信息以完成任务。但到了准备报告的时候,他们的数据却缺少日期、来源地址(URL)和参考资料,这会导致两个问题:
首先,这给团队追溯他们的足迹和查找以前的数据带来大量的重复工作。其次,分析师可能无法恢复已从互联网上删除或移除的信息。
出于这些原因,记录调查过程中的各种调查结果总是有益的。这将提高最终报告的可信度,并从长远来看将可以节省不少时间。
大多数对社交媒体进行监控的开源情报团队倾向于只监控大型网络:Facebook、Instagram、Reddit等。
但随着时间的推移,用户可能会迁移到新平台。如果开源情报团队没有监视正确的网站,这可能会导致威胁被忽视。
为了解决这个问题,开源情报分析师和团队必须超越最受欢迎的社交媒体平台,开源情报分析师必须密切关注网络上鲜为人知的部分,例如暗网论坛、博客网站和聊天室等。
这不仅会降低错过重大威胁或相关情报的机会,而且从这些鲜为人知的社区收集的信息往往对开源情报分析师来说最有情报价值。
大多数情报用户关注重要的风险,比如威胁情报用户关注:恶意内部人员、有组织犯罪团伙、有暴力倾向用户等。但越来越多的团队意识到“意外内部人员”对组织而言是一种未被充分重视的风险。 这些人是普通的利益相关者,只是无意中违反了安全协议。
这可能是由于对规则和法规的普遍无知。或者他们可能正在寻找一种方便的方式来完成任务。无论如何,他们的活动都可能危及网络安全。
例如,一位兴奋的员工可能会在社交媒体上发布自己的身份证照片,开始第一天上班。然而,组织外的不法分子可能会利用这些照片打印假通行证。 这使得侵入公司财产和进入安全设施变得容易。
为了解决这个问题,请监控社交媒体上是否出现公司名称以及“办公室照片”、“上班第一天”或“拿到了我的身份证”等短语。
如果您负责要人或高管保护,请务必关注重要人物的亲属和密切接触者的社交媒体活动。
在许多情况下,这些扫描会揭露敏感信息的意外泄露。
随着时间的推移,社交媒体用户倾向于从一个平台迁移到另一个平台。
问题是,大多数开源情报分析师并不关注这些不断变化的人口结构。很多时候,他们甚至从未听说过这些新平台。 因此,他们常常会忽视与其组织相关的威胁。
例如,2021 年,知名平台禁止参与美国国会大厦骚乱的个人使用其账号。这引发大量用户转向越来越多的“另类科技”社交网络,例如Gab、Telegram等。
为了避免这个问题,请关注新兴的社交网络。这些小型、鲜为人知的网站通常对开源情报分析师来说具有很大的情报价值。
一些团队尝试利用社交媒体营销监控工具来支持情报业务。从理论上讲,这种方法可以让情报分析师快速自动化进行情报收集和监控,而无需在新软件上投入大量资金。 但这种方法有两个问题。
首先,为营销人员设计的软件工具通常每隔几个小时才从平台提取一次数据。这可能会在突发事件期间浪费情报应急处置人员宝贵的几分钟甚至几小时。
其次,营销工具几乎只关注最大的社交网络。因此,开源情报分析师可能会忽略可能隐藏威胁的大量网络空间。
因此,请务必询问信息采集供应商的抓取时间和覆盖范围。此外,考虑为团队构建专门的工具通常也很有意义。
我们人类天生就拥有几十种思维捷径,帮助我们的大脑理解大量数据:确认偏差、可得性偏差、刻板偏差等等。
这些思维启发法帮助我们的祖先在非洲大草原上生存了数千年。但在调查过程中,这种认知偏差可能会导致错误的分析。
因此,经验丰富的开源情报分析师不会假装自己能解决这一问题。相反,他们会谦虚地承认,他们和其他人一样,也难以应对常见的启发式方法。
在整个情报周期中,他们采取了具体措施来解决这些偏见陷阱。
开源情报对于保护人员和财产安全等工作大有裨益。但情报周期中常见的错误可能会损害开源情报分析师的调查和分析。希望阅读完这篇文章后,能够帮助开源情报分析师减少类似错误的出现。
您了解的其他常见的开源情报(OSINT)错误还有哪些?