// advanced track
Advanced
Сложные системы: honeypots, ai detection, bug bounty workflow, hsm, e2ee, monitoring. Темы уровня: Cryptography / SOC / Threat Detection / Web/API. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.
AdvancedSOC
Honeypot network как ранний сигнал
Стек: decoy services / telemetry / alerts
Как использовать приманочные сервисы для обнаружения сканирования, credential attacks и post-exploitation интереса.
Развернуть практику
Зачем специалисту: Если honeypot трогают внутри сети, это почти всегда сигнал для расследования, а не обычный пользовательский шум.
Какие риски закрывает: Lateral movement, credential spraying, reconnaissance внутри сегментов.
Что проверить руками: Спроектировать лабораторный honeypot без доступа к production-данным и настроить alert на любые попытки входа.
Типичные ошибки: Размещать приманку с реальными секретами, не изолировать сеть, не иметь процесса triage.
Defensive-checklist
- Полная изоляция
- Никаких реальных данных
- Alert на любое касание
- Регулярная проверка логов
AdvancedThreat Detection
AI threat detection без магии
Стек: features / rules / anomaly detection
Как применять ML к логам: признаки, baseline, правила, anomaly score и человеческая проверка результата.
Развернуть практику
Зачем специалисту: Модель полезна как усилитель triage, но не должна заменять evidence, контекст и понятные detection rules.
Какие риски закрывает: False positives, пропущенные атаки из-за плохого baseline, доверие к score без объяснения.
Что проверить руками: Построить простой feature set для access logs и сравнить rule-based detection с anomaly-подходом.
Типичные ошибки: Обучать на грязных данных, считать высокий score уязвимостью, не сохранять объяснение решения.
Defensive-checklist
- Redacted logs
- Explainable features
- Human review
- Отдельная метрика false positives
AdvancedWeb/API
Bug bounty workflow: качество важнее шума
Стек: scope / evidence / report triage
Процесс ответственного исследования: scope, разрешённые действия, low-noise проверки, доказательства и аккуратный отчет.
Развернуть практику
Зачем специалисту: В реальных программах ценится не количество сканерных строк, а воспроизводимость, impact и уважение к правилам.
Какие риски закрывает: Выход за scope, шумные проверки, непроверенные findings, раскрытие чужих данных.
Что проверить руками: На учебном стенде подготовить отчет: asset, impact, reproduction, evidence, remediation, retest.
Типичные ошибки: Отправлять scanner output без валидации, трогать чужие аккаунты, игнорировать rate limits.
Defensive-checklist
- Scope snapshot
- Read-only first
- Evidence без PII
- Report только подтвержденных проблем
AdvancedCryptography
HSM concepts и управление ключами
Стек: keys / signing / envelope encryption
Разбор жизненного цикла ключей: генерация, хранение, подпись, ротация, backup и аудит операций.
Развернуть практику
Зачем специалисту: Ключи часто важнее самих данных: потеря или утечка ключа меняет весь риск-профиль системы.
Какие риски закрывает: Ключи в env, ручная ротация без журнала, отсутствие separation of duties.
Что проверить руками: Спроектировать схему: какие ключи существуют, кто может подписывать, где хранится audit trail.
Типичные ошибки: Хранить master key рядом с ciphertext, не тестировать recovery, не разделять роли.
Defensive-checklist
- Key inventory
- Rotation calendar
- Audit log
- Separation of duties
- Recovery drill
AdvancedCryptography
Encrypted chat: модель доверия
Стек: E2EE / identity keys / forward secrecy
Как думать о защищённой переписке: идентичность, обмен ключами, forward secrecy, metadata и компрометация клиента.
Развернуть практику
Зачем специалисту: Шифрование сообщений не решает проблемы доверия к устройству, серверу, backup и контактам.
Какие риски закрывает: MITM при первом контакте, утечка metadata, backup без шифрования, compromised endpoint.
Что проверить руками: Нарисовать threat model для chat-системы и отметить, какие риски закрывает E2EE, а какие остаются.
Типичные ошибки: Обещать абсолютную приватность, забывать про metadata, не проверять identity keys.
Defensive-checklist
- Проверка ключей
- Минимизация metadata
- Безопасный backup
- Ясная модель trust
AdvancedSOC
Monitoring dashboard для инфраструктуры
Стек: metrics / logs / uptime / incidents
Как собрать dashboard, который показывает здоровье сервисов, сетевую активность, ошибки и признаки атаки.
Развернуть практику
Зачем специалисту: Мониторинг должен помогать отвечать: что упало, что изменилось, кто подключался, где выросла нагрузка.
Какие риски закрывает: Незамеченный downtime, рост ошибок, brute-force по SSH, заполнение диска, деградация edge.
Что проверить руками: Составить матрицу сигналов: availability, latency, auth failures, disk, CPU, network egress, TLS expiry.
Типичные ошибки: Делать красивые графики без alert, хранить логи без retention, не тестировать incident runbook.
Defensive-checklist
- Alert на критичные сервисы
- Retention и backup логов
- Runbook
- Проверка уведомлений
- Дашборд для владельца сервиса