RH-ISAC’daki analistler kendilerini sadece tehdit istihbaratını toplarken haftada 10 saat harcadıklarını bulduklarında, süreçlerinin sürdürülebilir olmadığını biliyorlardı. Blogları, RSS beslemelerini ve sosyal medya kanallarını manuel olarak izliyorlardı, ancak yararlı sinyalleri alakasız konuşmalardan ayırmak çok uzun sürdü. Feedly Tehdit Zekası’nı benimsedikten sonra, ekip bu süreyi yüzde 70’den fazla azalttı ve 10 saatten haftada sadece 2-3 saate düştü.
CTI ekipleri iş akışlarını daha verimli hale getirmenin yollarını aradıklarından bunun gibi hikayeler daha yaygın hale geliyor. Tehdit verilerinin hacmi büyüyor ve analistler, zamanlarının çoğunu analiz etmek yerine toplayarak geçiriyorlarsa tükenme riskiyle karşı karşıya. Feedly Tehdit İstihbaratı, veri toplamayı otomatikleştirerek ve analistlerin keşiften eyleme geçmesine yardımcı olan bağlam ekleyerek bu dengesizliği ele almak için tasarlanmıştır.
Feedly’de bir personel tehdidi istihbarat danışmanı olan Josh Darby MacLellan, ilk elden vardiyayı gördü. Şirkete katılmadan önce, finans sektöründe analist olarak çalıştı ve sayısız kaynağı manuel olarak izleme zorluğuyla karşı karşıya kaldı. “Yer işaretli web siteleriyle dolu bir klasörü manuel olarak incelemek hataya eğilimlidir” diye hatırladı. “Bazen hayati bir makaleyi kaçırdık ve başka bir takımdan ya da daha da kötüsü CISO’mızdan haber aldık.”
Feedly’nin cevabı, devlet danışmanları, satıcı blogları, güvenlik açığı veritabanları, haber siteleri, sosyal medya ve hatta karanlık web dahil olmak üzere 10.000’den fazla açık web kaynağını sürekli olarak tarayan AI güdümlü bir platformdur. 1.000 AI modeli TTP’ler, CVES ve IOC gibi yapılandırılmamış verileri çıkarır, ardından bunları gerçek zamanlı bir tehdit grafiğine ekler. Analistler, bu grafiği, raporlar oluşturmak ve orijinal kaynaklara alıntılarla belirli soruları cevaplamak için CTI tarafından eğitilmiş bir büyük dil modeli olan AI ile sorgulayabilir.
Amaç, analistin odağını değiştirmektir. MacLellan’ın dediği gibi, “zeka tüketicileri hala insan, yani istihbarat hala insandan insana bir iş. Feedly’nin rolü, yüksek hacimli, varlıklar çıkarma, tekilleştirme ve kümeleme gibi düşük karmaşıklık görevlerine harcanan zamanı azaltmak, analistleri bulguları paydaşlarının harekete geçirebileceği şekilde yorumlamaları ve iletmeleri için serbest bırakmaktır.
Müşteri sonuçları ölçülebilir kazanımlara işaret eder. Örneğin, Grinnoise, Besle’yi benimsedikten sonra 2023’te 290’dan 2024’te 573’ten 573’e neredeyse iki katına çıktı, CVE araştırmalarını iyileştirmek ve CISA’nın yüzde 65’inden daha erken bir güvenlik açıklarını işaretlemelerine yardımcı oldu. Sopra STERIA olarak, CTI ekibi Feedly’yi kullanarak günlük bültenleri itebileceğinden, müşterilerin yeni güvenlik açıkları hakkında biletleri keskin bir şekilde düştü. “Bunun farkında mısınız?” Müşteriler zaten gelen kutularında cevabı vardı.
Bir sağlık BT organizasyonu olan Gematik için, günlük düzinelerce web sitesini kontrol etmek ve makaleleri özetlemek için günlük bir eziyet olan şey, aerodinamik bir iş akışına dönüştü. Yapay zeka beslemeleri ve takım tahtaları ile raporlar için yutma süresi makale başına 10 dakikaya kadar sadece 2 saniyeye düştü. Başka bir kullanıcı olan GISA, güvenlik açığı kontrollerini otomatikleştirerek ve yem çıkışlarını doğrudan biletleme sistemine entegre ederek ekibine günde 20 saat kaydedildi.
Entegrasyon genellikle CTI ekipleri için bir yapışma noktasıdır, ancak Feedly hem hazır hem de özel bağlantılar için seçenekler sunar. Anomali tehdit akışı, Cortex XSoar, Microsoft Sentinel ve OpenCTI gibi platformlarla kullanıma hazır entegrasyonları destekler. Daha uzmanlaşmış ihtiyaçlar için, Feedly Rest API, makale meta verilerinden MITER ATT & CK TTP’lere kadar zenginleştirilmiş tehdit istihbarat verilerine programlı erişim sağlar. Feedly ayrıca, ekiplerin Splunk ve Powerbi gibi araçlara takılmasına yardımcı olmak için Python ve PowerShell’deki örnek komut dosyaları ile bir GitHub depolarını korur.
Daha geniş zorluk devam ediyor: CTI ekipleri, kendilerini ham verilerle ezmeden daha hızlı ilgili zeka sunma baskısı altındadır. Toplama süresini azaltarak, daha zengin bağlam sağlayarak ve mevcut iş akışlarına entegrasyon sağlayarak, Feedly analistlere devam etmenin bir yolunu vermeye çalışıyor. MacLellan’ın belirttiği gibi, sonuç stresi azaltmakla ilgilidir. “Beedly ile, izlemenin çoğunu otomatikleştirdik ve çok fazla boşluğu kapattık, ilgili makalelerdeki tehditleri algılamamızın artmasını sağladık” dedi.