Часть контекста

это уже хорошо :) т.ч. какие ASN наиболее вредоносны - часть контекста )))

Ерунда. Я вам так скажу, 3.7 млрд IPv4 потенциально вредоносны.

а сколько IPv6 вредоносны...

Мы очень много усилий тратим чтобы не агрегировать в кучу, а наоборот, найти критерии как из кучи выделить данные с определёнными признаками, допустим как найти атаку на промышленный объект в этих данных

это как раз к вопросу о дата сайенс

На первый взгляд берёшь рандомный завод и вперёд,  но это неправильно

Это существенно отличается от сбора фидов и статистики по asn.

Как ты найдёшь что хост в ОТ сегменте этого завода а не в HR

И тп, и тут много кругов datascience требуется

Условно, если бы "насыщать" все условные ежедневные ip их атрибутами в реал тайм. Сервисы, порты, банеры портов и хранить это в "истории" - это может быть интересно.

Или есть ли критерии по которым можно найти сервера определённой APT группы, когда их развернули, но ещё не начали использовать

Когда такое накопал, это очень Actionable

Кажется вы обсуждаете сразу  много разных способов и целей использования фидов.

* Одно дело поиск таргетированных атак на промышленность
* Аналитика для вендоров
* Взрослый сок который полноценно занимается обогащением и трет интеллом.
* Обычный заказчик для которого фид это всего лишь ещё одно место из которого может вдруг прийти аларм, чтоб ибшник подпрыгнул и пошел смотреть вдруг чего не так.
* И т.д.

И вот вы прям тут про разное и на разных языках говорите: вендора, исследователи, серты.
А обычный заказчик сидит и недоумевает над всем.

Он переваривает и мотает на ус, что легче экспертам заплатить,  чем самому ввязываться

за что платить то?)))

кто те эксперды

Мне кажется когда мы начинали эту тему двигать, было 10-20 человек в стране

Сейчас должно быть в разы больше)

эксперд по фидам) эх