反情报调查工作的定义是“正式调查具体人员是否存在参与外国间谍组织、为外国政权从事间谍活动、破坏活动、叛国、暴动、颠覆、暗杀或国际恐怖主义活动等行为,并采取适当措施阻止相关活动。”启动调查活动需要具备多种因素。人力情报渠道可能被捕或失踪,技术和人力行动可能会被外国安全机构终止,之前可靠的情报来源可能会开始提供明显存在欺诈的资料。可疑的旅行活动和无法合理解释的收入都会引起反情报部门的关注,并怀疑相关行为人与外国情报机构发生联系。
危险警告也可能来自变节人员。1985年8月,美国中央情报局驻罗马情报站电告兰利总部,叛徒维塔利·尤尔琴科(Vitaly Yurchenko)掌握一名为克格勃工作的美方人员情况,此人代号为罗伯特先生。“罗伯特先生”向克格勃透露了阿道夫·托尔卡切夫(Adolf Tolkachev)的中央情报局情报人员身份,并向克格勃透露托尔卡切夫为中央情报局在莫斯科实施的技术行动,以及中央情报局针对苏联实施的另一项技术行动。尤尔琴科提供的有关“罗伯特先生”的情报——其中重要线索显示此人曾是中央情报局官员,后在1983年至1984年期间因不恰当行为和测谎问题而被开除——导致爱德华·李·霍华德(Edward Lee Howard)身份暴露,霍华德后潜逃至苏联最终死于俄罗斯。
罗马情报站报称,尤尔琴科还揭露了已被克格勃招募的一名国家安全局雇员,此人向克格勃提供了国家安全局实施针对苏联北海潜艇部队行动的详细情报。尤尔琴科泄露的此条线索导致罗纳德·佩尔顿(Ronald Pelton)被捕并被判有罪。国防部情报局的反情报分析人员在1996年就开始怀疑安娜·贝兰·蒙特斯(Ana Belen Montes)的忠诚度,这一事实说明,判断可疑人员身份“并非只是由于一次偶然因素或观察,而是通过多次细微因素和观察的积累后作出的综合判断”。20世纪90年代末,“美国情报界有……理由相信……一名古巴间谍已经打入内部,或许就在华盛顿的重要核心部位”。
如果不能准确地判断情报泄露的途径,反情报调查人员就要调查有条件掌握这些情报的具体人员(情报来源的身份或在执行的技术行动具体情况),收集他们在境内外的活动情况,检查其在财务方面的变化,分析其可能存在的弱点,然后采取监视措施或诱捕主要嫌疑人。同时,必须分析外国情报来源出于掩盖情报泄露真实渠道而提供迷惑性情报的可能性。例如克格勃为了掩盖与埃姆斯存在情报合作关系,使用了一名被中央情报局称为“GTPROLOGUE”的人。
不过,该项反情报调查最终的结果是埃姆斯因泄露12名美国人力情报渠道(其中大部分被处决)以及与其本人有关的多项技术情报搜集行动情况而被捕,同时还为针对其他嫌疑人的进一步调查提供线索。对埃姆斯和蒙特斯的怀疑最初来自其同事的直觉。与蒙特斯案情况不同的是,在埃姆斯案中,埃姆斯的同事观察到埃姆斯的生活方式在其完成一次海外任务返回华盛顿后突然发生变化,由此产生了对其的怀疑。所谓的变化包括埃姆斯购买了一套价值超过50万美元的房屋,并计划进行大幅改造。
对埃姆斯的调查包括了解其本人及其妻子财产的可能来源、调查其所购买的房屋是否使用抵押贷款、信用调查、测谎以及对其住所实施搜查。通过更广泛的调查发现了6名可能的嫌疑人后,一个由10人组成的调查小组将相关嫌疑人按照嫌疑程度从高到低进行打分排序,每次调查中排序最靠前的嫌疑人打6分,对排序对靠后的嫌疑人每次打1分,最后根据嫌疑程度打分得出的总分对嫌疑人进行排序。埃姆斯在第一轮调查中被打了21分,但是调查组决定排查所有打分在15分以上的嫌疑人。随后的调查采取了多种方式,包括分析泄密案件的档案、编制所有已退休、辞退或者在1985年至1986年死亡的中央情报局雇员名单、访谈中央情报局驻莫斯科情报站工作人员、调查可能存在接触克格勃官员的出境情况、分析中央情报局和联邦调查局有关可能存在渗透活动的报告、重新报告变节人员和固定情报来源。在调查组发现埃姆斯在会见一名克格勃官员后银行存款显著增加后,加强了将其作为重点嫌疑人的判断。