Как участник одного из исследований архитектуры снорта - не соглашусь :) Там есть архитектурные проблемы, из-за которых он неспособен работать в реалтайме на большом количестве полключенных сигнатур

Не способен в реалтайме или фолсит начинает? Согласись, что первое - это проблема архитектуры, а второе - рук тех, кто настраивает

Нет. Методология изначально была неправильна - отражает только то, как ловятся текущими ИБ решениями уже известные атаки. Которым, на минуточку, уже много лет (2010 Stuxnet, 2014 Havex).

Смысл их сейчас ловить?
Завтра APT42 устроит блэкаут в Зурумбии - и на следующий год те же решения будут с успехом рассказывать, как они бы успешно ее заблокировали год спустя?

Настоящих хакеров надо брать для тестов. Red teams. With possible bug bounty from ics vendors, why not.

вы не путайте  CTF и Detection Challenge

"With possible bug bounty from ics vendors" huh?
Где мои плюшки (

Как это сделали в рамках ATT&CK evaluations (только для EDR решений)
https://attackevals.mitre.org/methodology/

В итоге можно вспомнить результаты аудита Эйнштейна счетной палатой США - когда внедренный снорт не ловил даже метасплойтовские эксплойты - сигнатуры были тупо отключены.

Для понимания что такое 50 фолсов в день для клиента, по регламенту каждый необходимо зарегистрировать и отработать, это в лучшем случае 30 минут на каждый, итого 25 рабочих часов в сутки.

А сколько фолзов даёт модный статистический анализ аномалий . Это не прямой детект по простым  сигнатуркам отработанных атак.

Помню сразу затестили на стенде метасплоитом этерналблю как только появились сигнатуры в базах . снорт ловил. )

Когда эпидемия с wc началась я его детектил по коду события и параметру anonymous logon  в журнале безопасности виндовс. Без всяких ids.

Это у вас экспертный подход для разовых акций . А сейчас тренд на ИИ, тк человеки устают, квасят пиво и пропускают события иб. 50 событий и сдулся.
А надо чтобы виртуальная женщина сказала нежным голосом . " уважаемый хозяин , вашу окии атаковали хакеры, но не волнуйтесь я уже всех поймала, и даже написала заявление в полицию, отдыхайте дальше ". Вот за такую женщину и денег не жалко .

Ну вот в одном месте они и собираются. Так было в Сингапуре, так происходит на PHDays (только там увы мало кто тревожит АСУ ТП, если я не ошибаюсь) Да, @YaYca Dmitry ?