// advanced track

Advanced

Сложные системы: honeypots, ai detection, bug bounty workflow, hsm, e2ee, monitoring. Темы уровня: Cryptography / SOC / Threat Detection / Web/API. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.

// method

Как проходить

Сначала понять протокол или риск, потом включать инструмент. Вести журнал действий: цель, команда, вывод, выводы, исправление. После каждой проверки формулировать критерий ретеста.
AdvancedSOC

Honeypot network как ранний сигнал

Стек: decoy services / telemetry / alerts

Как использовать приманочные сервисы для обнаружения сканирования, credential attacks и post-exploitation интереса.

Развернуть практику

Зачем специалисту: Если honeypot трогают внутри сети, это почти всегда сигнал для расследования, а не обычный пользовательский шум.

Какие риски закрывает: Lateral movement, credential spraying, reconnaissance внутри сегментов.

Что проверить руками: Спроектировать лабораторный honeypot без доступа к production-данным и настроить alert на любые попытки входа.

Типичные ошибки: Размещать приманку с реальными секретами, не изолировать сеть, не иметь процесса triage.

Defensive-checklist

  • Полная изоляция
  • Никаких реальных данных
  • Alert на любое касание
  • Регулярная проверка логов
AdvancedThreat Detection

AI threat detection без магии

Стек: features / rules / anomaly detection

Как применять ML к логам: признаки, baseline, правила, anomaly score и человеческая проверка результата.

Развернуть практику

Зачем специалисту: Модель полезна как усилитель triage, но не должна заменять evidence, контекст и понятные detection rules.

Какие риски закрывает: False positives, пропущенные атаки из-за плохого baseline, доверие к score без объяснения.

Что проверить руками: Построить простой feature set для access logs и сравнить rule-based detection с anomaly-подходом.

Типичные ошибки: Обучать на грязных данных, считать высокий score уязвимостью, не сохранять объяснение решения.

Defensive-checklist

  • Redacted logs
  • Explainable features
  • Human review
  • Отдельная метрика false positives
AdvancedWeb/API

Bug bounty workflow: качество важнее шума

Стек: scope / evidence / report triage

Процесс ответственного исследования: scope, разрешённые действия, low-noise проверки, доказательства и аккуратный отчет.

Развернуть практику

Зачем специалисту: В реальных программах ценится не количество сканерных строк, а воспроизводимость, impact и уважение к правилам.

Какие риски закрывает: Выход за scope, шумные проверки, непроверенные findings, раскрытие чужих данных.

Что проверить руками: На учебном стенде подготовить отчет: asset, impact, reproduction, evidence, remediation, retest.

Типичные ошибки: Отправлять scanner output без валидации, трогать чужие аккаунты, игнорировать rate limits.

Defensive-checklist

  • Scope snapshot
  • Read-only first
  • Evidence без PII
  • Report только подтвержденных проблем
AdvancedCryptography

HSM concepts и управление ключами

Стек: keys / signing / envelope encryption

Разбор жизненного цикла ключей: генерация, хранение, подпись, ротация, backup и аудит операций.

Развернуть практику

Зачем специалисту: Ключи часто важнее самих данных: потеря или утечка ключа меняет весь риск-профиль системы.

Какие риски закрывает: Ключи в env, ручная ротация без журнала, отсутствие separation of duties.

Что проверить руками: Спроектировать схему: какие ключи существуют, кто может подписывать, где хранится audit trail.

Типичные ошибки: Хранить master key рядом с ciphertext, не тестировать recovery, не разделять роли.

Defensive-checklist

  • Key inventory
  • Rotation calendar
  • Audit log
  • Separation of duties
  • Recovery drill
AdvancedCryptography

Encrypted chat: модель доверия

Стек: E2EE / identity keys / forward secrecy

Как думать о защищённой переписке: идентичность, обмен ключами, forward secrecy, metadata и компрометация клиента.

Развернуть практику

Зачем специалисту: Шифрование сообщений не решает проблемы доверия к устройству, серверу, backup и контактам.

Какие риски закрывает: MITM при первом контакте, утечка metadata, backup без шифрования, compromised endpoint.

Что проверить руками: Нарисовать threat model для chat-системы и отметить, какие риски закрывает E2EE, а какие остаются.

Типичные ошибки: Обещать абсолютную приватность, забывать про metadata, не проверять identity keys.

Defensive-checklist

  • Проверка ключей
  • Минимизация metadata
  • Безопасный backup
  • Ясная модель trust
AdvancedSOC

Monitoring dashboard для инфраструктуры

Стек: metrics / logs / uptime / incidents

Как собрать dashboard, который показывает здоровье сервисов, сетевую активность, ошибки и признаки атаки.

Развернуть практику

Зачем специалисту: Мониторинг должен помогать отвечать: что упало, что изменилось, кто подключался, где выросла нагрузка.

Какие риски закрывает: Незамеченный downtime, рост ошибок, brute-force по SSH, заполнение диска, деградация edge.

Что проверить руками: Составить матрицу сигналов: availability, latency, auth failures, disk, CPU, network egress, TLS expiry.

Типичные ошибки: Делать красивые графики без alert, хранить логи без retention, не тестировать incident runbook.

Defensive-checklist

  • Alert на критичные сервисы
  • Retention и backup логов
  • Runbook
  • Проверка уведомлений
  • Дашборд для владельца сервиса

// examples

Кодовые примеры

Для практики добавлена отдельная страница с безопасными учебными фрагментами кода. Они не копируют внешние проекты и не содержат вредоносных сценариев.

← все лабораториипрактические заметки →

// обновлено

Advanced: detection, AI policy и сложные решения без магического мышления

Advanced-трек теперь опирается на свежие материалы о detection-as-code, policy layer для LLM-агентов, malware triage и edge telemetry. Здесь важно не просто знать инструменты, а уметь строить верифицируемую защитную систему.

// обновлено

Advanced: hunt-flow, runtime policy и качество detection program

Advanced-слой обновлён вокруг тем, которых обычно не хватает в учебных материалах: reusable hunt flows, policy/runtime связка в Kubernetes, detection QA, stale-rule debt и first-hour DFIR decision making.

THREAT HUNTING

Threat hunting: гипотеза должна переживать смену инструментов

Когда hunting завязан на один SIEM-запрос или одну ручную заметку, он не переживает смену источника логов. Намного полезнее описывать hunt как reusable hypothesis flow: сущности, шаги, enrichment и критерий остановки.

читать разбор →
KUBERNETES

Kubernetes security: posture, admission и runtime должны говорить вместе

Cluster scan сам по себе не закрывает риск. Если posture показывает проблему, admission её не блокирует, а runtime ничего не замечает, команда получает красивый отчёт, но не получает контроль над дрейфом.

читать разбор →
SOC

Detection engineering: считайте не только правила, но и шум

Количество rule files почти ничего не говорит о зрелости detection program. Намного важнее coverage intent, false positive burn rate, скорость правки и способность превратить red-team/pentest lessons в стабильные сигналы.

читать разбор →
DFIR

Memory triage: первый час важнее красивой полной картины

В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.

читать разбор →