// advanced track

Advanced

Сложные системы: honeypots, ai detection, bug bounty workflow, hsm, e2ee, monitoring. Темы уровня: Cryptography / SOC / Threat Detection / Web/API. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.

// method

Как проходить

Сначала понять протокол или риск, потом включать инструмент. Вести журнал действий: цель, команда, вывод, выводы, исправление. После каждой проверки формулировать критерий ретеста.
AdvancedSOC

Honeypot network как ранний сигнал

Стек: decoy services / telemetry / alerts

Как использовать приманочные сервисы для обнаружения сканирования, credential attacks и post-exploitation интереса.

Развернуть практику

Зачем специалисту: Если honeypot трогают внутри сети, это почти всегда сигнал для расследования, а не обычный пользовательский шум.

Какие риски закрывает: Lateral movement, credential spraying, reconnaissance внутри сегментов.

Что проверить руками: Спроектировать лабораторный honeypot без доступа к production-данным и настроить alert на любые попытки входа.

Типичные ошибки: Размещать приманку с реальными секретами, не изолировать сеть, не иметь процесса triage.

Defensive-checklist

  • Полная изоляция
  • Никаких реальных данных
  • Alert на любое касание
  • Регулярная проверка логов
AdvancedThreat Detection

AI threat detection без магии

Стек: features / rules / anomaly detection

Как применять ML к логам: признаки, baseline, правила, anomaly score и человеческая проверка результата.

Развернуть практику

Зачем специалисту: Модель полезна как усилитель triage, но не должна заменять evidence, контекст и понятные detection rules.

Какие риски закрывает: False positives, пропущенные атаки из-за плохого baseline, доверие к score без объяснения.

Что проверить руками: Построить простой feature set для access logs и сравнить rule-based detection с anomaly-подходом.

Типичные ошибки: Обучать на грязных данных, считать высокий score уязвимостью, не сохранять объяснение решения.

Defensive-checklist

  • Redacted logs
  • Explainable features
  • Human review
  • Отдельная метрика false positives
AdvancedWeb/API

Bug bounty workflow: качество важнее шума

Стек: scope / evidence / report triage

Процесс ответственного исследования: scope, разрешённые действия, low-noise проверки, доказательства и аккуратный отчет.

Развернуть практику

Зачем специалисту: В реальных программах ценится не количество сканерных строк, а воспроизводимость, impact и уважение к правилам.

Какие риски закрывает: Выход за scope, шумные проверки, непроверенные findings, раскрытие чужих данных.

Что проверить руками: На учебном стенде подготовить отчет: asset, impact, reproduction, evidence, remediation, retest.

Типичные ошибки: Отправлять scanner output без валидации, трогать чужие аккаунты, игнорировать rate limits.

Defensive-checklist

  • Scope snapshot
  • Read-only first
  • Evidence без PII
  • Report только подтвержденных проблем
AdvancedCryptography

HSM concepts и управление ключами

Стек: keys / signing / envelope encryption

Разбор жизненного цикла ключей: генерация, хранение, подпись, ротация, backup и аудит операций.

Развернуть практику

Зачем специалисту: Ключи часто важнее самих данных: потеря или утечка ключа меняет весь риск-профиль системы.

Какие риски закрывает: Ключи в env, ручная ротация без журнала, отсутствие separation of duties.

Что проверить руками: Спроектировать схему: какие ключи существуют, кто может подписывать, где хранится audit trail.

Типичные ошибки: Хранить master key рядом с ciphertext, не тестировать recovery, не разделять роли.

Defensive-checklist

  • Key inventory
  • Rotation calendar
  • Audit log
  • Separation of duties
  • Recovery drill
AdvancedCryptography

Encrypted chat: модель доверия

Стек: E2EE / identity keys / forward secrecy

Как думать о защищённой переписке: идентичность, обмен ключами, forward secrecy, metadata и компрометация клиента.

Развернуть практику

Зачем специалисту: Шифрование сообщений не решает проблемы доверия к устройству, серверу, backup и контактам.

Какие риски закрывает: MITM при первом контакте, утечка metadata, backup без шифрования, compromised endpoint.

Что проверить руками: Нарисовать threat model для chat-системы и отметить, какие риски закрывает E2EE, а какие остаются.

Типичные ошибки: Обещать абсолютную приватность, забывать про metadata, не проверять identity keys.

Defensive-checklist

  • Проверка ключей
  • Минимизация metadata
  • Безопасный backup
  • Ясная модель trust
AdvancedSOC

Monitoring dashboard для инфраструктуры

Стек: metrics / logs / uptime / incidents

Как собрать dashboard, который показывает здоровье сервисов, сетевую активность, ошибки и признаки атаки.

Развернуть практику

Зачем специалисту: Мониторинг должен помогать отвечать: что упало, что изменилось, кто подключался, где выросла нагрузка.

Какие риски закрывает: Незамеченный downtime, рост ошибок, brute-force по SSH, заполнение диска, деградация edge.

Что проверить руками: Составить матрицу сигналов: availability, latency, auth failures, disk, CPU, network egress, TLS expiry.

Типичные ошибки: Делать красивые графики без alert, хранить логи без retention, не тестировать incident runbook.

Defensive-checklist

  • Alert на критичные сервисы
  • Retention и backup логов
  • Runbook
  • Проверка уведомлений
  • Дашборд для владельца сервиса
← все лабораториипрактические заметки →