搜狐军事-搜狐网站> 军情站消息
国内 | 国际 | 社会 | 军事 | 公益

建立正式的网络情报能力

来源:搜狐军事 作者:知远

  引言

  今天,信息是丰富和廉价的。但对于公司而言,他们不得不在不确定性的环境中进行战略和战术决策,一个简单的信息反馈通常是不够的。很多情况下,缺乏背景资料的大量信息使决策者左右为难。情报分析通过有条不紊地整理数据,把其转化为信息,然后将信息转化为情报,以解决这个问题。许多组织认识到需要更好地了解自己的对手、这些对手造成的安全威胁以及他们的攻击方法。其结果是,许多组织开始设置非正式的、特设的情报职能机构,但很快就会发现自己的弱点,或发现落伍了。最后,组织不得不考虑如何建立更正式的情报行动。

  有些组织可能还建立了一个正式的、与他们的安全操作独立的情报团队。但在线性景观(thread landscape)不断变化的的世界里,认为情报和安全要求、人员、技术和技能培训独立的观点可能是过时。情报和安全越来越多地被视为合作伙伴,而不是独立的利益相关者,因为情报产品被看作是安全循环的一个信息输入端。

  该报告勾画出情报的基础——理论与实践并重——帮助企业建立一个情报小组,同时提供如何发展现有能力的指导。它讨论了形成这个基础的概念,从而建立情报收集和传播能力。本文还研究情报预备步骤,研究了为什么公司首先委托他人开展情报收集和分析任务。

  此外,本文致力于界定情报收集、分析和传播的实际做法——从猜测向前迈一步,追求可检测性和可重复性。概述从“团队使命和客户”的定义开始,接着介绍了情报生命周期的基本知识,然后讨论如何构建一个团队并评估其能力。最后,本文概述了一些关键的最佳实践,它们将被证明对于任何试图建立或改善网络情报能力的组织是非常有价值的。

  初步考虑

  发展情报能力最关键的第一步是确定最适当的组织结构。这涉及到可能平行发生的三项活动:

  1、识别消费者和情报产品的消费者

  2、确定客户的情报需求和要求

  3、定义和宣传情报组织的章程和使命

  与合作伙伴的协作。不管在组织结构中如何安排情报团队,团队要与跨职能的合作伙伴建立关键关系,这些部门可能是团队情报产品的消费者,或甚至是情报产品很重要的信息来源。例如,存在一个组织的“风险社会”(即设置了很多政府部门,负责管理不同类型的风险,如信息安全、商业可持续性或灾难救济,税收保证或欺诈和生命安全)。其他领域,如金融、供应链管理、市场营销、法律、人力资源或内部稽核,也可能是情报工作中有价值的合作伙伴。

  了解客户的需求。情报团队需要澄清主要客户的需求和要求。团队需要知道客户在进行与战略、盈利能力、竞争对手、威胁或别的东西密切相关的正式决策时是否需要情报,因为这些情报的每一个都将产生非常不同的情报成果。识别情报要求的过程就是情报小组与其主要客户之间的一个互动对话。采访关键客户和决策者是有挑战性的,但它可以帮助客户识别和定义他们的情报需求。这些措施帮助团队确定重点和优先次序。他们帮助确立该组织的情报能力的具体要求,并确定满足客户需求必要的资源。在与客户合作以确定情报的要求的同时,情报团队应该解决一些特定的问题,如果不澄清,就会造成混淆。

  •请问组织是否会将情报转变为法律?如果是这样,当局将要求出示证据,这是与情报显着不同的,将需要不同的收集和分析方法,以充分解决相关的法律问题。

  •客户如何看待情报小组及其产品扮演的作用?一些客户从情报分析员的评估寻求指导,而其他人寻求确定性。

  •客户会预期情报小组告知决策还是自己作出决定?

  澄清这几点是至关重要的,特别是因为情报分析员通常基于不完整的信息处理模棱两可的情况。

  让每个人都立场一致。就团队的全部职责范围而言,如果所有利益相关方客户,消费者和情报经理之间没有共同的理解,情报团队很难取得成功。而在这里,沟通障碍是与具体化要求一样重要的。例如,由于法律、道德或实际考虑,情报小组可能不能够满足所有客户的需求,在这个过程中及早发现这些限制,可以更适当地设置团队能满足的要求之期望。这可能会导致客户寻找替代品,如外方,提供情报团队不能做到的东西。所有这些步骤能够帮助定义情报团队的使命和宗旨,这是特别重要的,因为一个企业很容易误解团队的角色。

  情报循环

  要成功地建立和实施情报能力,很有必要了解情报生命循环的模式。本节着眼于基本的情报循环——情报工作流程的生命周期模式(见图表4-1),并简要提及其他模式,作为一个比较点。在第一阶段,一个高层决策者正式给情报团队下达他们需要收集的基本事实和数据的任务。这个阶段,情报团队与客户之间建立了关系。此阶段集中于确定客户的要求,即情报要求(IRs)——循环的定向阶段(direction stage)的产物。

  一旦情报要求被定义,团队就可以以特定的格式收集和编译原始资料,供日后分析。这是情报周期第一个主要的检查站,因为数据收集中的任何错误可能导致其他周期过程中发生许多错误数据,导致团队不能满足情报要求。分析师在整个分析过程中依靠这些原始信息得出情报。他们使用技术性和非技术性的方法来发现模式、意义和原始数据存在的规律。这是循环中的第二个可能发生故障的地方是因为分析师的偏见、有缺陷的假设或其他因素。情报团队然后得出一个最终的情报产品,交给客户。其采取的形式多种多样,从静态文档到一连串信息或最新的动态数据。从许多方面都可以说,这就是情报周期的答案阶段(answer phase)。一次情报分析很少会使顾客感到满意,接受一个产品通常激发额外的情报任务。这就使得精心管理利益相关者的期望和优先事项非常必要。

  定向。在此阶段,一个高层决策者正式给情报团队下达任务,告知他们需要收集的基本事实和数据。这个阶段,客户和情报团队之间的关系形成。此阶段集中于确定客户的要求,即情报要求(IRs)——循环定向阶段(direction stage)的产物。

  数据收集。一旦情报要求被定义,团队就可以以特定的格式收集和编译原始资料,供日后分析。这是情报周期第一个主要的检查站,因为数据收集中的任何错误可能导致其他周期过程中发生许多错误数据,导致团队不能满足情报要求。

  分析。分析师在整个分析过程中依靠这些原始信息得出情报。他们使用技术性和非技术性的方法来发现模式、意义和原始数据存在的规律。这是循环中的第二个可能发生故障的地方是因为分析师的偏见、有缺陷的假设或其他因素。

  传播。情报团队然后得出一个最终的情报产品,交给客户。其采取的形式多种多样,从静态文档到一连串信息或最新的动态数据。从许多方面都可以说,这就是情报周期的答案阶段(answer phase)。一次情报分析很少会使顾客感到满意,接受一个产品通常激发额外的情报任务。这就使得精心管理利益相关者的期望和优先事项非常必要。

  CROSSCA-T

  情报周期模型不是建立新的情报队伍的唯一指南。一些有用的原则包含在缩写词CROSSCAT-V中(集中控制、响应性、客观性、源和方法保护、系统开发、持续审查、可访问性、时效性和视觉)。

  集中控制:单点控制的情报团队有利于互动和消除重复工作。

  响应:团队必须回答客户问的每一个问题,而不是情报团队希望回答就回答什么。

  客观性:虽然个人主体是感性的,但情报团队应该不偏不倚。

  源和方法保护:信息的来源(包括人和非人的),组织的技术能力和运作方法是情报团队的命脉 ——必须受到保护。

  系统开发:情报是研究和审查的一种方法论实践,涉及多个来源和机构。

  连续的评估:情报有保质期,情报团队必须对自己的产品进行定期审查,以确保它仍然是有意义的。

  可获取性:情报团队必须不断地平衡其产品落入坏人之手与方便客户需要而访问该产品的风险。

  时效性:及时为客户提供情报产品是发挥情报效能的关键。

  愿景:情报团队必须考虑不会立即明显的可能性。通常情况下,一个情报分析师的视野,结合其在一个开放的场合表达一个非常规的理论的道德勇气,可以决定行动失败和使命成功之间的差异。

  F3EA

  另一个有用的模型是F3EA,美国和英国的特种作战部队使用这种方法。 F3EA代表发现、确定、完成、探索和分析(find, fix, finish, exploit and analyze)。这个模型可以很快产生一个情报产品,但通常只适合于那些拥有对抗外部敌人的授权和能力的机构。因此,在很大程度上F3EA受到限制,只适用于军事和执法机构,因为企业缺乏拘捕人或其他资产的权威,在许多方面甚至不能插手对手的行动。虽然这些努力会带来复杂的问题,如情报和证据之间的差异。鉴于法律和行动方面的限制,为了标准化的情报循环更好的适用于私营部门组织,我们做了评估和采取了相应措施。

  定向

  定向是情报循环的第一步。它需要知道谁是情报产品的客户,几乎在所有的情况下,都是来自情报团队的外部。他们的总体需求定义团队的职能范围和要求。在这里,客户机构必须决定他们是否需要战略与战术信息、商业和市场情报,或威胁和安全情报,他们是否需要出示法律认可的证据,或在内部使用情报产品。

  发出指示和情报。客户自己发出明确的指示,或提供可操作的任务清单,这是罕见的。相反,情报经理与客户合作,把客户的需求转化为可操作的任务。

  要求一般是一个具有松散的层次结构,有核心信息要求(CIRs)、优先级信息需求(PIRs)、信息请求(RFIs)。

  •核心信息要求是一个长期的、宽泛定义的类别,共同决定了团队的努力和责任的范围。核心信息要求可能会持续一年或一年以上,并应得到客户和情报经理的批准。如果一个任务与现有的核心信息要求无关联,它不是团体的任务。

  •优先级信息需求是中期指令,往往与一个特定的主题或项目相关,它比核心信息要求更具体。持续数周或数月,优先级信息需求不要求核心信息要求那样严格的变化—控制,情报团队可以根据客户或情报经理的直接请求创建和关闭它们。

  •信息请求是战术层面的,范围很窄,可能是情报团体特设的,它们也许直接根据客户要求而设。信息请求是日常情报过程中的一个关键组成部分。它们可能直接支持优先级信息需求或核心信息要求,但必须至少间接地支持一个或多个的核心信息要求。本文包括一个信息请求模板,在附录部分。

  评估申请。当情报团队从客户端收到一个信息请求,团队的管理层应该做一些讨论,然后再着手进行任何形式的工作安排。团队经理应该思考三个基本问题,然后再启动工作流程:

  •团队可以做什么?为了满足客户的要求,团队应在与其职能范围和能力非常匹配的范围内,开展哪些工作达成一种看法。

  •团队可以不做什么?有时,由于技术的限制、法律限制或时间较短,超出一个团队的能力的工作。

  •团队什么不能做?一个团队可以拒绝超出其确定职责范围,或者违反上级组织的道德守则的任务。管理者拒绝这些项目时,应给一个理由。

  接受请求。团队要经常给客户确认,表明它收到请求,将在一个既定的时间框架内完成。尽管存在傲慢的风险,这可能会导致独立行事,不顾利益相关者的指导和监督,情报小组千万不要忽视它们的主要职能:客户服务。

  数据采集

  数据搜集是任何情报活动的基石。在采集阶段,情报团队享有很多的自由。这可能是一把双刃剑,因为团队也很有可能失败。情报小组很少有机会在以后的情报循环中纠正在数据采集阶段发生的错误。

  信息源类型和相关的风险。数据来自不同的信息源,可以分成几个基本范畴,它们有自己的特点和相关风险:

  人工情报(HUMINT)。分析师可以明里暗里收集人工情报。虽然HUMINT是最简单的、启动情报收集的方式,但是它最难获得可靠的、可操作的情报。它需要一个熟练的机构管理者来管理隐蔽的人工情报信息(CHIS)收集,其面临的风险是极端严峻的。各种情报小组使用了多个模式在不同产业部门进行人工情报操作。任何可能补充信息的来源:

  •军事和情报部门。情报小组以典型的机构管理者和人工情报信息的关系,暗中进行这些行动,具有传统间谍活动的所有特征。所有参与方面临的风险水平是很高的。iDefense公司不推荐把这中模式适用于私营公司,因为进行秘密行动具有潜在的声誉风险。

  •治安监管(Policing)。治安监管活动或是公开的,或是秘密的,与军事和情报部门的模式有许多共同特征。公开的活动包括与犯罪嫌疑人面谈和与公众的互动。 iDefense建议管理层把更广泛过程的正式形式和严谨性注入到私营部门的情报小组的日常职能中。

  •新闻。这种模式除了一些有限的秘密活动外,主要是公开的。它以访谈者与受访者的关系取代了机构管理者和人工情报信息的关系。主要区别是:访谈者一般不能强迫受访者。比较容易把这种方法与病毒式营销技巧和人口调查结合起来。然而,随着开放性水平的增加,情报的价值就减小。然而,iDefense建议新闻模式可以作为一个私营机构建设情报能力的优选模型。

  信号情报(SIGINT)。SIGINT是指技术性的数据采集能力,如移动电话拦截,可以说是这个领域中技术要求最高的。但机构花时间投资创造一个信号—收集能力是值得的,因为数据通常是以行为者之间的数据通讯截取的形式直接来源于信息源。SIGINT也使观察者以局外人观察他或她的目标,与人工情报不同。 SIGINT并非一点风险都没有的,它的主要问题来自收集这些数据存在的法律陷阱。

  开源情报(OSINT)。OSINT是一个团队对向公众提供的数据所做的评估。虽然大量的数据往往使得人们很难区分噪声与可操作的数据,但是OSINT是最容易获取的信息。也难以判断OSINT数据的真伪。乍一看,OSINT似乎是一个无风险的做法,然而事实上收集和分析分散的数据,可以引起法律和道德问题。OSINT做法的合法性也因国家而异。

  成像情报(IMINT)。IMINT数据主要来自摄影或其他形式的技术产生的图像。 IMINT越来越成为开源情报的一个子学科,情报机构不应低估这个信息源的潜在价值。虽然不是不可能的,但是把IMINT应用于大多数企业情报具有挑战性。

  作战情报(OPINT)。传统军事情报的功能旨在预测在未来敌人的作战“变化”,OPINT在私营部门的适用性有限。情报小组应视OPINT为情报实践的一个不可或缺的部分,因为它是典型的议论场所,分析把其他子学科的成果融合成一个连贯的情报产品。一个全源或融合细胞能够连接独立的情报数据链。一个融合细胞的功能不是消除独立收集的数据组之间的冲突。相反,它的核心任务是把从多个数据收集平台获得的报告融合成一个独特的产品。

  对信息源的分类是建立数据收集网格和选择扫描方法的前提。这些流程决定组织获得广泛的可用信息的能力。

  数据采集的广度与深度。对于现代情报业界,更大的挑战不是收集特定目标的相关数据,而是对大量收集到的数据过滤,获得可操作性及相关性的数据。情报团队往往必须决定当处理一个威胁环境时什么是更重要的:覆盖广度或信息深度。要在这两种方法之间取得适当的平衡,组织将常常调查其信息源和收集的信息,这个过程被称为环境扫描。环境扫描有三种标准的方法:

  定期扫描。小组以固定的频率扫描环境,或者在固定的日期,或在交错的日期,时间间隔从几分钟到几个月甚至几年。关键的一点是不摄取超出设定极限的数据。从理论上讲,这种方法为情报团队充分利用可用数据创造了足够的操作空间。当处理一个相对静态的威胁景观,它是有用的,那里很少或根本没有博弈变换或威胁活动的高峰期。在这样的环境下,情报团队充分分析威胁,提供最佳的应对策略,将提供最好的价值。

  特设的、临时的扫描。对于某个事件,团队没有一个正式的扫描环境的计划,这将导致情报小组在任何给定的时间内处理的数据量和深度有周期性的“爆发点”。在这个模型中,小组的处理能力比扫描频率更重要。如果团队在处理威胁景观时,没有进一步调查难以量化每一个威胁带来的危险,这个模型很管用。管理得当,这种模式使情报团队最大限度地发挥其生产力,理论上讲,团队不会无所事事地等待下一次扫描。然而,它也使团队面临战略性的异常,如果其成员集中处理大量的扫描而又错过了某一件大事。

  事件触发的扫描。在此模型中,情报小组扫描环境是对威胁环境内的一个特定的事件做出的反应。此扫描是对一个已经发生的事件或预期将来要发生的事件的反应。虽然它会牺牲灵活性,但事件触发的扫描可以提供一个集中聚焦的情报产品,将主要满足客户非常具体的需求。一般而言,大型的、资源充足的情报团队可以综合运用各种扫描方法。就规模较小的团队而言,它往往偏好于使用一个单一的扫描方法,以保持团队的行动节奏可以管理。在这两种情况下,情报团队的管理必须平衡战略突变带来的风险与过多的数据量造成的瘫痪风险。

  建立一个数据收集网格。情报组织拥有的数据收集资产和可以收集的范围,被称为数据收集网格。互补性的数据来源相结合,如HUMINT、SIGINT和IMINT,团队可以创建一个全面的数据收集网格,以完成任务。

  当建立一个数据收集网格时,支持机构必须确保它对情报资源(透明度)的监督和有能力来配置这些资源,以完成组织的情报要求(控制)。它必须记住,依赖于一个单一的数据源很少能够实现情报要求。

  “网格”与组织之间的关系是权力和控制的关系:控制必须由支持机构作出决定和情报团队必须以可操作的数据的形式,从“网格”得到权力。未能有效地开发、维持和控制的数据收集网格已被反反复复证明是情报失误的原因。这个早期阶段中的任何错误对整个情报循环产生一连串影响。

  制定数据收集计划。使用数据收集计划,情报小组可以使用情报循环来分析获得的情报。在这个阶段,机构有两个主要目标。首先,它们必须创建一个数据收集网格,为情报循环的分析阶段提供必需的数据。然后,他们必须确保网格作为一种他们可以利用工具,而不是让数据收集网格控制机构的决策过程。一系列因素,如过度依赖一个数据源,误解客户的要求和情报团队之间的内部冲突,可以导致一个有缺陷的数据收集计划。

  iDefense公司强调,数据收集计划的发展并不必然产生一个有形的产品,不会产生一个关于组织应该如何进行操作的详细的指导。相反,核心目标是帮助情报小组的经理了解团队如何最好地利用可以利用的数据收集资产以满足其客户的情报需求。在制定计划时,管理者必须评估数据收集网格面临的情境限制可能会如何影响团队的最终产品。常常,行动的失败往往是由于从收集的数据得出不正确的分析结论,或由于情报数据收集人员把不正确的数据带入了分析过程。情报循环的分析阶段可以解决后一种错误,但是一个情报小组只可以通过制定一个有效地数据收集计划,减轻在收集阶段发生的错误。现代情报实践是基于一个不完整的数据而做出最好的评估。

  分析

  分析阶段是情报循环的核心,是情报团队完成一期工程是必经的一个至关重要的关卡。分析是情报小组工作的一项核心职能。简而言之,错误的分析导致项目失败。组织文化、结构和过程在确保有效的情报分析中发挥了关键作用。本节重点介绍过程,特别是认知过程,而不是组织过程。这个认知过程就是分析的“思维定势”,确保有效的分析,将产生更明智的决策。

  iDefense公司基于一些多年的实地经验对分析做出自己的解释,它是一个可测试和可重复的过程,通过这个过程,原始数据和信息被组织成情报产品。这种解释使用的词 ——“过程”—— 无论从认知和组织的角度,都是分析的核心。

  发展分析的思维定势。iDefense建议,个别分析家以及作为一个整体的团队,必须发展一个思维定势,确保真正地理解分析问题和威胁,在一个有意义的背景中理解信息。情报团队应该使用分析工具,去支持而不是取代情报分析的认知方面的严谨和纪律性。在一天工作结束的时候,分析工作的主要目的是提醒决策者,增强决策过程的质量。

  在其著作《情报分析》中,罗杰•乔治提出了一个“完整的分析师”的观念,认为“完整的分析师”必须具备的五个基本特征。

  1、组织和评估数据的研究方法。

  2、生成和检验假说的想象力。

  3、认知偏差和其他外部因素影响分析师思维的意识。

  4、以开放的心态看待各种可替代方案。

  5、从错误中学习的自信。

  好奇心。此外,分析师必须具备真正意义上的好奇心,促进其对一些主题进行深入的研究。他们必须具备一个从对立的观点理解一个特定的问题的能力,当他们发现新的信息以及寻求确定这些信息如何影响每个角度后,能够很快地在各角度之间转换。

  认知。在其著作《情报分析的心理学》中,理查德•雅(Richards Heuer)指出,人们的期望在很大程度上决定他们最终能认知到的东西。也就是说,情报分析员拥有一组假设和期望,他们往往忽略或歪曲与这些期望相矛盾的事件。据理查德•雅,“期望的模式在潜意识里告诉分析师要寻找什么,什么是重要的以及如何解释看到的是什么。”

  背景。背景告诉读者要想充分理解数据项必须在其背景中分析某个数据。对于情报分析学科,背景是组织产生情报数据的环境,即那些不与某个案例的核心元素直接有关的数据也会增加信息。

  常见的认知陷阱。这是同样重要的,了解一些比较常见的、导致错误分析的认知陷阱。

  •镜像:情报分析家认为他们正在研究的主体会像他们一样思考,就是“镜像”错误。

  •断层:当分析师假设或判断是基于在以前的工作,他们没有更新或重新验证。

  •群体思维是指一个有凝聚力的小组中,其成员试图达成共识,而没有严格评估各种想法和假设。

  所有这些都强调需要创造一种环境,鼓励自我意识、同行审查和质疑现有程序。

  传播

  作为情报循环的最后阶段,传播是一个情报小组把产品交予其客户,对客户原来需求的回应。当情报团队不能把其发现有效地沟通的给客户,从而优秀的情报也未能完成团队的任务。因此,传播不是一件小事。这情报过程的最后阶段有几个因素决定情报产品的质量和客户是否会积极接受之。

  卓越的情报产品共同具备的某些关键特性:

  简洁。情报产品不应该是冗长的。情报产品开始部分的执行摘要和突出的关键事实主要传递情报报告的“那又如何”。

  准确度。情报报告不应该包含主观的信息或情报分析师的意见。情报小组应该是诚实的,并给客户透露产品中存在的任何不足。

  标准化工作。没有什么会比一个情报机构在同一产品内根据不同的标准生产几种不同的产品迷惑客户。各产品系列应该是统一的格式和风格,任何改变应是渐进的。

  规律性。情报团队应该避免以“盛宴或饥荒”的方式来发布其智能产品。要充分利用情报产品,客户必须将情报产品与自身的运作节奏配合。一个情报小组可预测的发布周期将帮助客户做到这一点。

  安全性。客户和情报团队之间的协议应该保障一个情报产品不能不顾客户的识读性。

  时效性。至于情报循环内的所有步骤,该产品必须及时给客户使用。所有影响传播阶段的因素,及时性是最重要的。

  分析。情报产品的基本作用是做出评估。分析师应该对每一个包含在产品中的数据元素做出明晰的评估。

  传播。随着时间的推移,情报小组应建立客户名单,并确保其联系方式是最新的。

  作为一个基本的规则,情报产品分为三类:重大影响、利益相关和一般的背景分析,尽管许多组织以更精细的影响程度来划分。有重大影响力的报告将导致客户行动的立即和戏剧性的变化。利益相关的报告通常会导致客户和情报团队之间的对话和情报产品融入到客户的业务规划循环。一般背景报告,将为客户建立一个威胁环境的图景,但很少会刺激客户采取行动。情报团队生产的报告往往依据这些类别构成一个金字塔形式,最常见的报告类别是“背景分析”,最不常见的报表类别为“重大影响”(见图表4-6)。

 


  当然,情报团队所产生的大部分材料可能会有助于评估长期趋势,比如战术、能力和对手类型的的演变。这些一般的背景信息为团队评估新的发展,以识别那些中等或高级影响的事件建立基础。

  通常,决定产品质量的因素往往不是报告的内容,而是产品的呈现方式。确保最终产品以适当的格式达到顾客的手中,正式表明情报过程的完成。在可能的情况,情报经理应该询问客户,以确保交付的产品满足了客户的要求,并收集可能意见或请求。

  情报操作(operationalizing intelligence)

  把情报理论付诸实践,是任何希望建立一个有效的情报能力的组织必须解决的一个挑战。情报机构的初始阶段,因为主办机构的高级管理人员或者漠不关心、或误解团队的角色和能力,往往给团队未来的可行性带来最大的危险。本节开始研究一些无论是在其管理架构还是在团队个别成员的发展前景中的关键概念,以讨论团队精神。在一般的层次上,这份报告将继续详细讨论每个工作角色,要特别注意情报处理角色和那些管理这些个体的人。从非常实用的关注点出发,这部分站在更高层次上考察了关于数据流和团队内部的管理概念和团队需要在被动或主动的行动立场之间作出的决策。

  组织结构

  任何情报操作成功的关键是坚持发展一个合乎逻辑的团队结构。团队管理者必须在团队内部之间的分层或扁平的管理结构之间选择。从操作的角度来看,两个管理结构各有一些优点和缺点。

  分层与扁平模型。层级团队是一个典型的管理模式。它的主要优点是它因具备明确的管理链,能够快速响应高级管理人员的需求。这个模型下,很容易迅速通过管理链向整个团队下达命令,并进行快速的战略变化。然而,也有风险,团队内不同的管理层之间会损失情报。这种损失可以导致延迟和减缓分析新的信息。情报界把这种延缓成为“潜在性眨眼(blink potential)。”

  为了避免这种情况,团队可以建立一个扁平化的管理结构,使团队成员能够轻松地在同行之间交流信息数据。建立这种“不眨眼睛”的操作减少了“潜在性眨眼”造成情报损失的风险。这种组织结构的缺点是团队的管理层缺乏控制和监督,可能会产生严重的后果,特别是在团队任务范围蠕变(task-scope creep)和协调行动等领域。

  在决定情报团队的管理链应该像什么时,高层决策者应该考虑到:

  •一个层级系统往往支持这些情报新手,而有经验的成员重视扁平化管理结构给他们的自由。

  •管理层可以更容易控制层级结构,但比起扁平结构的团队将有较少的灵活性。

  •一种广泛分散的团队组织会发现一个层级结构对团队的所有层级都更是一种威慑,而不是好处的,虽然一个大规模的、扁平化的组织将需要招聘高级别的、不需要太多监督的成员。

  团队人员。情报团队的规模不一,从“一人乐队”——在主办机构授权和支持下的个人到包括数以千计的大型机构,如政府机构。就可以确定的信息安全和不那么肯定的网络安全而言,情报团队通常由经理、分析师和操作专家构成,按照情报循环的阶段类别(数据收集、分析、发布)和威胁的类型(恶意代码、内部入侵者、网络入侵等)而组织,或按其他的组合组织。一些专家经常发现一个企业的安全情报组织包括:

  •情报管理者,一个权威人物,可能是经理、董事或副总裁,取决于组织的规模和组织文化。此人是客户和其他利益相关者的主要中间人,并对团队的成功和失败承担最终责任。情报团队的管理者根据利益相关者的情况下达命令,并确保团队执行发展计划。他或她也将高层次的战略目标转化为情报小组有形的战术目标。

  •运营团队,负责处理行政和协调职能,包括与客户合作完善情报要求(IRs),向团队传达要求,觉得优先级信息需求(PIRs)和较大分析项目的所有权分配。这个团队指导整个情报循环的任务,并负责团队的日常运作,在需要时把问题反应给经理。

  •发布团队确保最终产品的符合团队的质量和格式标准。出版商也进行内容审查,评估作者是否表达了清晰的全面的内容以及最终产品是否符合客户的要求

  •情报多面手负责跨领域分析和指导跨团队努力。构成这个群体的人是情报通才。小规模组织可能只有一个分析师储备库,负责整个责任范围内的所有数据收集和分析。

  •恶意软件工程师往往负责更改恶意代码样本和/或监控其在一个受控的环境里的行为,了解代码对客户带来的风险。

  •网络工程师非常熟悉互联网协议和防御机制,帮助安保人员在安全事件期间分析流量和评估部署下一代技术的好处,如IPv6和域名系统安全扩展(DNSSEC)。

  •社会科学家专注于社会网络分析,从HUMINT和开放信息源获得个人档案和收集信息。只有高级分析师才能成为HUMINT信息的处理人员,因为有公司信息披露和声誉的危险。通过了解这些活动中攻击者的能力,社会科学家帮助客户确定与特定的商业活动相关的风险。

  实施和部署

  在建设团队中,情报管理者在积极主动与消极被动的姿态间变化。在消极被动的立场,情报小组告诉客户在过去发生了什么事,而一个积极主动的团队将告诉在未来可能会发生什么事。要实现这点,唯一的办法是建设新的能力基础,主要是通过建设资产、安排新的工作角色和招聘领域专家。

  实施的三个阶段。观察情报团队实施的一个有用的方法就是把它分为早、中、晚期三个阶段。这些阶段的划分应被视为成熟度等级(Maturity Levels),而不是固定的时间表,因为不同的组织进入各个阶段的速率是不同的。依据逻辑顺序,将精简团队建立和实现业务业绩的过程。图表5-1列出了建设情报能力的各个阶段的重点和里程碑。

 


  每个阶段持续的时间少则数周,或长达数年。实施时间取决于分配的资源、机构的风险偏好和团队开发的速度。

  早期阶段:发展核心能力

  在开发的早期,注意力集中在内部,团队专注于工作程序和开发团队身份。初始成果(通常是关于背景情报的查询)可能没有充分体现一个团队的价值,所以,高级管理人员的支持是必不可少的。

  信息请求(RFI)的形式。设计一个正式的RFI形式和过程是早期必须采取的一个步骤,因为它提供了一种确定客户要求的有效方法。客户必须采用这RFI形式,以便日常使用,所以方便客户提供团队需要的数据符合情报团队的利益:

  •简化申请流程和形式

  •区分什么可能是有用的,什么是真正需要的

  •让其他利益相关者参与,全面挑战各领域和步骤的价值

  •直接关注结果如何有效地捕捉到了客户的需求

  征求反馈意见。情报经理应定期征求客户反馈后,即使不是对每个请求都作出一个响应。这种反馈对于在早期阶段修正行为和能力评估是至关重要的,对团队在以后阶段发展额外的功能也是必要的。最好的做法是,经理提供一个正式的文档模板,甚至建立一个网站,让客户提交反馈,但在早期阶段简单的电子邮件回复就足够了。

  中期阶段:扩大范围和加强业务

  确定了一个可行的小组与既定的产品后,团队可以专注于扩大其能力,并巩固其客户基础。整个中期阶段,情报经理应使用客户的反馈意见,以确保团队切合客户的需求。这可能包括发展需要密切关注的专业领域,或存在能力差距的地方。团队可以聘请外部人才,培训现有人员,或简单地识别新的信息来源。

  追求卓越。现在团队应该对安全环境有足够的理解,因为它会影响组织。从最基本的层面上,它可以开始评估趋势和环境的变化,并评估其意义。开发这些内部驱动的报告是引入前瞻性的情报产品的第一步,是从一个纯粹被动反应的立场向部分主动立场的过渡。

  情报分析结论整合到客户的工作流程和工具。客户可以方便地获取情报产品可以提高被采用几率,使得团队对客户更加有用。当然,敏感信息的可获得性必须始终坚持信息获得的控制策略。情报产品的易获得性的目标不应该超过保密要求,否则,这样做会严重损坏了客户对情报组织的信任,使客户不太愿意与它合作。

  跟踪和管理RFIs。团队也应该贯彻落实集中管理和跟踪传入的信息请求和随后的回应。没有一个正式的过程和集中化的日志,随着请求的数量和多样性的增加,情报经理就不能充分监督团队任务。通过深入了解工作流程和资源分配,团队可以更好地优化任务,并尽量减少未完成请求的风险。

  为此,团队应该建立一个工作数据库,记录RFI被提出和团队答案RFI的时间。情报小组将可能建立额外的数据库,如按客户要求,建立相关的CIR、PIR数据库。监督RFI数据库,除了避免不当任务外,还提供了识别能力差距、资源需求和关于团队的工作量和对个别客户实用性的可量化指标的有用数据。数据库实际的技术实现可以很简单,就像一个页面控制的电子表格,也可以很复杂,如一个多用户的国家系统。

  后期:采取积极的态度

  进入部署后期之前,团队已确定了其立场,对其产品有了良好的定义。但当团队从内向型转向外向、积极进取的团队时,它才成为一个完全成熟的情报组织。

  不断发展思维定势。当成员定期生产顶级的、高影响力的报告时,团队的主要变化不是在其结构,而是在提高其能力。这就是为什么模型后期阶段只有这么几个有形的里程碑的原因。现在,所有都到位了,但团队成员仍然必须改变他们的思维。一个成熟的情报团队开始识别新兴趋势和模式。团队甚至在客户咨询之前可能识别到了与客户的请求相关的原始信息。

  进一步与客户加强关系。成熟的团队将观察到客户越来越依赖于情报团队创建的情报信息流。情报产品将与客户的工作流程更紧密地结合起来,通过插件或模块,情报信息(甚至是原始的、未经分析的数据)找到它与客户每天使用的工具结合的方式。情报工作队还应该探索其他方式,与客户保持合作,如共享协作空间和数据库。

  情报成熟度模型

  组织的成熟度表示情报循环的每个阶段共同定义了该组织的情报能力。 iDefense公司提出以下级别的成熟度,可以很容易地应用到在情报循环的任何一个阶段一支球队的立场的:

  •特设的。组织手动地处理任务,很少或根本没有确定的程序。他们可能不一致的处理经常性任务。

  •正式。期望、能力和过程都记录在案。在这个级别的任务是可重复的、具有一致的输出,虽然他们主要是手动处理。

  •高效。自动化、流程简化的任务和数据处理程序,包括优先化。在操作过程中,通过报告指标增加可视性。

  •积极主动。组织能够确定情报的差距,并预测未来需求。

  评估成熟度。为自己的组织分级时,有可能会评价一个团队的整体能力。有些人可能会尝试把成熟度等级转换成数值的平均值,这通常会带来误导,因为以上列出的成熟度级别是序号值,数学运算是无效的,即使可以用数字表示。相反,把情报过程当做一个系统是非常有用的,其效力只取决于其最薄弱的环节。建立在糟糕分析之上的最佳定向、数据收集和传播,仍然是一个低劣的产品。不清晰的定向的情况下,虽然数据收集、分析和传播环节都很好,肯定会产生一个不相干的结果。同样,一个团队的能力是也是以团队的薄弱点来度量。图表5-2是对情报机构的一个样本评估,是情报能力的一份报告卡。客户能足够清楚地看到团队的运作,直接提供这个级别的反馈,但情报经理应至少每年做出类似的概述,如果不是每季度的话。

 


  最佳实践

  在该领域多年的经验已经足以使iDefense公司知道了一系列最佳做法,可以帮助那些寻求发展一个内部网络情报能力之组织的努力。

  秉承一贯的风格。“内部定向风格”为情报小组建立了一个品牌标识,标准化其产品,从而使情报产品更容易识别、消化和融入决策过程。它使客户清楚知道情报团队是一个一体化组织。团队应该注意文字帮助应用内部标准的处理程序、门户网站、内容管理系统模板和工具。

  使用“5x5x5”系统来分级情报。即使在相同类型的情报源中,情报来源、价值和敏感性可以相差很大。情报分级的过程可以清楚地给客户传达产品的真伪水平。情报界使用“5x5x5”系统为一个来自HUMINT的信息的质量评定等级。该系统评定信息源的真实性、准确性,以及处理机构应该如何处理这些信息。情报团队不应该试图以真或假的对信息进行过滤。相反,情报小组应寻求给客户传达其根据信息源的可靠性和可信性对提供的情报的可信程度的评估。图表6-1显示一个标准的情报分级系统。

 


  使用图表6- 1的系统,情报小组的分析师可以根据来源的可靠性(从A至E)和信息的可信度(从1到5)给情报产品分级。任何可能的组合等级是可能的,虽然极端的分级如A5和E1是极不可能的。

  当一个组织面临分类为A4的情报或无法从一个受信任的来源验证信息时,确定情报分级的因素显得尤为重要。A4情报会给情报团队造成过多的压力,对于客户也有压力,特别是该报告的内容需要客户马上反应的时候。驳回A4情报之前,团队应该考虑它的影响,如果被证实如此。潜在的高影响力的信息,虽然未经证实,可能需要额外的佐证。“5x5 x5”系统最后一部分对客户应如何处理的信息做了分级。

  任命一名数据库管理员。维持一个成功的运营管理数据库的关键因素是任命数据库管理者。数据库管理人员应是情报应用的主要用户,并负责确保记录的准确和团队适当处理任务。情报数据库管理人员不是一个经典的技术管理角色,它兼具情报团队的数据库管理与运营管理职能。这将允许数据库管理人员高效地把每个提交的RFI分配到团队成员,积极管理资源,并监督活动。显然,这是一个高级职位。数据库管理人员需要了解团队的数据收集能力和其满足RFIs的能力。能回答客户信息询问是一个重要的资质,此外要评估团队完成信息征询的能力。图6-3显示数据库管理人员角色的复杂性,列举了回答RFI时的角色。

 


  数据库管理人员必须情报客户形成这样的关系:

  •不含糊。任何一个来自RFI的项目必须有明确的项目界限,最重要的是双方有明确一致同意的结果。

  •单一的。数据库管理流程确保客户不提交过多的信息征询给情报团队,因为任何重复的RFI都浪费时间。

  •可行性。客户可能会请求情报团队完成因为资源或时间的限制,或两者兼而有之的原因而不可行的任务。

  数据库管理人员必须具备委派任务的权限以及在情报团队的系统内调节请求流量的能力。如果数据库管理人员能有效地监督情报流程,他或她就不仅为情报团队取得短期成功,也为团队获得长期的、可持续增长奠定了基础。

  建立与跨职能部门的合作关系。与跨职能的部门建立合作关系能够极大地增强一个情报小组的工作。这些关系可以加强情报收集工作,帮助更好地评估威胁,通过提高团队对业务系统和流程的理解尽量减少冲突。情报团队最明显的合作伙伴是那些管理风险的组织,假设他们尚未有为情报团队制定方向。一个组织的风险团体包括物理安全团队、信息安全组和业务连续性人员。不太明显的群体是那些可能有助于确定潜在的内部威胁的机构:内部审计组,供应链管理,或法律部门。

  采用迭代采访的过程来定义需求。情报客户可能不完全理解他们所需要的,或他们的需要与情报团队的角色、资源或责任不相匹配。一个迭代的采访(iterative interview)过程有利于双向反馈回路,是一种有效定义需求的方式。面试问题应试图找出高层次领域的关注或需要,然后退出需要情报支持的关键决策。小组应以符合逻辑的方式分组问题,如以威胁领域(网络、欺诈、竞争、监管等),业务单位或目标(市场份额、收入、产品等),业务战略(快速获取市场、投资、行业破坏者、地理区域等),或商业资产(员工、网络、信誉、知识产权、供应链、门店、客户等)。一年一次或两次的访谈有助于让客户了解团队的资源和能力。

  邀请第三方供应商来解决差距。特别是在刚开始,情报经理和其他利益相关者需要对情报优先次序和现有的能力和资源做出平衡。第三方厂商可以填补这些空白。一个合格的第三方供应商应具备的条件:

  •是一种力量倍增器,能增加组织现有的员工效能。

  •为短期项目提供专业知识。

  •是情报收集的数据来源或协助数据收集。

  •协助情报分析,或有利于形成一种分析的思维定势。

  •扮演“红队”或可以帮助评估弱点的对手的角色。

  •帮助团队形成一个“内部制作”的风格或生产共同品牌的产品。

  形成一个战斗节奏。理论付诸实践时,情报团队面临负担过重——数据太多或太多的任务——的风险。随着情报行动坐压力的增加,团队有可能只能勉强应对大量涌入的新数据。当发生这种情况时,团队往往会忽略它已有的数据,而是专注于新的数据源。团队处于瘫痪状态,操作将归于失败。

  为了解决这个问题,一种方法是制定战斗节奏——一种军事管理理论,它主要解决在极其紧张的情况下,维持对人员和资产的控制权。这就要求设立工作参数,管理流入和流出团队的数据,明确每个团队成员在这个过程中的作用。这为团队建立了一套标准操作程序(SOP),标准操作程序可以学习、操作、掌握并在感受到压力时运用。它也允许该团队的管理层评估该团队的能力。

  结论

  情报不是简单的数据填充(Data Feed),也不是纯粹的信息。情报活动的核心是评估数据。为客户提供有洞察力的情报产品将使这些客户更好地了解情况,这将提高他们做出明智的决策的能力。遵循本文中列出的步骤,一个组织可能会首次建立情报能力,或可能正规化和提高现有能力,同时具备信心,团队的定向能够补充其客户的需求。通过可以帮助理解情报活动基本原则的框架,加上被证实的最佳实践,iDefense公司希望将有助于组织建立有效的情报能力。知远/安德万

mil.sohu.com true 搜狐军事 http://mil.sohu.com/20140307/n396239779.shtml report 20322 引言今天,信息是丰富和廉价的。但对于公司而言,他们不得不在不确定性的环境中进行战略和战术决策,一个简单的信息反馈通常是不够的。很多情况下,缺乏背景资料的大量信息
(责任编辑:UN630)

相关新闻

相关推荐

我要发布

  • 热点视频
  • 影视剧
  • 综艺
  • 原创
锦绣缘

同步热播-锦绣缘

主演:黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
神雕侠侣

大结局-神雕侠侣

主演:陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
封神英雄榜

同步热播-封神英雄榜

主演:陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓

六颗子弹

主演:尚格·云顿/乔·弗拉尼甘/Bianca Bree
龙虎少年队2

龙虎少年队2

主演:艾斯·库珀/ 查宁·塔图姆/ 乔纳·希尔

《奔跑吧兄弟》

baby14岁写真曝光

《我看你有戏》

李冰冰向成龙撒娇争宠

《明星同乐会》

李湘遭闺蜜曝光旧爱

《非你莫属》

美女模特教老板走秀

《一站到底》

曝搬砖男神奇葩择偶观

搜狐视频娱乐播报

柳岩被迫成赚钱工具

大鹏嘚吧嘚

大屁小P虐心恋

匆匆那年第16集

匆匆那年大结局

隐秘而伟大第二季

乔杉遭粉丝骚扰

The Kelly Show

男闺蜜的尴尬初夜

我来说两句排行榜

客服热线:86-10-58511234

客服邮箱:kf@vip.sohu.com