// beginner track
Beginner
Первые инструменты: инвентаризация, очистка метаданных, firewall, трафик, зависимости. Темы уровня: Hardening / Network / Privacy / Supply Chain. Каждая карточка даёт назначение, риски, ручную проверку, частые ошибки и defensive-чеклист.
BeginnerNetwork
Port scanner как инструмент инвентаризации
Стек: TCP / UDP / service banners
Безопасный взгляд на сканирование портов: не искать дырки, а понимать, какие сервисы вообще опубликованы наружу.
Развернуть практику
Зачем специалисту: Инвентаризация портов помогает убрать лишние панели, забытые dev-сервисы и неожиданные базы данных.
Какие риски закрывает: Открытый SSH для всего интернета, admin UI без VPN, базы и брокеры сообщений на публичном IP.
Что проверить руками: Сравнить ожидаемый список портов с фактическим на своей лабораторной VM и закрыть всё лишнее firewall-ом.
Типичные ошибки: Сканировать чужие IP без разрешения, запускать агрессивные режимы, не документировать найденные сервисы.
Defensive-checklist
- Составить allowlist портов
- Закрыть всё неиспользуемое
- Ограничить SSH по IP
- Проверить IPv4 и IPv6
BeginnerPrivacy
Metadata cleaner для документов и изображений
Стек: EXIF / PDF metadata / Office documents
Разбор скрытых метаданных: авторы, пути файлов, GPS, версии ПО, внутренние имена документов.
Развернуть практику
Зачем специалисту: Метаданные часто раскрывают структуру компании, имена сотрудников и следы внутренней инфраструктуры.
Какие риски закрывает: OSINT по документам, утечка геолокации, раскрытие рабочих директорий и пользователей.
Что проверить руками: Проверить тестовые PDF/JPEG/DOCX на метаданные и построить безопасный процесс публикации файлов.
Типичные ошибки: Удалять только видимый текст, забывать про preview/thumbnail, публиковать исходники вместо экспортированных файлов.
Defensive-checklist
- Проверять EXIF перед публикацией
- Экспортировать clean PDF
- Удалять hidden comments
- Хранить оригиналы отдельно
BeginnerHardening
Firewall rules без хаоса
Стек: ufw / nftables / security groups
Практика создания понятной политики доступа: кто, куда и зачем может подключаться.
Развернуть практику
Зачем специалисту: Firewall должен быть не набором случайных allow, а отражением архитектуры и доверенных источников.
Какие риски закрывает: Случайно открытые панели, потеря SSH-доступа, конфликт облачных security groups и локального firewall.
Что проверить руками: Описать минимальный набор входящих правил для web-сервера и протестировать rollback-план.
Типичные ошибки: Закрывать SSH без второго доступа, не различать inbound/outbound, оставлять временные правила навсегда.
Defensive-checklist
- Сначала backup и out-of-band доступ
- Default deny inbound
- Комментарии к правилам
- Регулярный review allowlist
BeginnerNetwork
Network traffic analyzer для диагностики
Стек: pcap / tcpdump / Wireshark concepts
Лаборатория по чтению сетевого трафика: DNS-запросы, TLS-сессии, HTTP-метаданные, объём и направление соединений.
Развернуть практику
Зачем специалисту: Трафик показывает реальное поведение системы, когда логи приложения молчат или неполны.
Какие риски закрывает: Невидимые внешние подключения, неожиданные DNS-запросы, утечки через незашифрованные протоколы.
Что проверить руками: Собрать pcap в своей VM, выделить DNS/HTTP/TLS и построить простую таблицу процесс-домен-порт.
Типичные ошибки: Сохранять чувствительный трафик без защиты, анализировать pcap на рабочей машине без изоляции.
Defensive-checklist
- Минимизировать время захвата
- Редактировать PII перед передачей
- Хранить pcap как evidence
- Сравнить трафик с ожидаемой моделью
BeginnerSupply Chain
Dependency scanner и обновления без паники
Стек: OSV / lockfiles / semver
Как смотреть уязвимости зависимостей и принимать решение: обновлять срочно, планово или компенсировать контролями.
Развернуть практику
Зачем специалисту: Слепое обновление ломает продукт, а игнорирование CVE оставляет реальный риск в production.
Какие риски закрывает: Уязвимые библиотеки, dependency confusion, устаревшие transitive packages.
Что проверить руками: Проверить тестовый проект, разделить findings на reachable/not reachable и сформировать план обновлений.
Типичные ошибки: Оценивать только CVSS, не проверять достижимость кода, забывать про lockfile и CI.
Defensive-checklist
- Проверить direct и transitive deps
- Оценить reachability
- Тестировать обновления в CI
- Документировать accepted risk