Третья часть моего рассказа о направлениях кибербезопасности. И тема:Threat Hunting

Обратите внимание: Threat Hunting — продвинутая специализация. Обычно требуют 1-2 года опыта в SOC или IR. Но путь можно начать с нуля и сразу ориентироваться на эту цель.

Этап 0: Фундаментальная база (4-6 месяцев)

Цель: Получить знания, без которых охотиться не на что и негде.

1. Операционные системы — экспертное понимание
Windows (глубоко):

Архитектура: процессы, потоки, дескрипторы, реестр, DLL

Механизмы аутентификации: NTLM, Kerberos (как это выглядит в логах)

WMI, PowerShell, RPC — как используются злоумышленниками (Living off the Land)

Критически: Автозапуск (Persistence): Run Keys, Services, Scheduled Tasks, COM Hijacking

Linux:

Системные вызовы (syscalls), процессы, cron, systemd

Аудит: auditd правила, как детектировать подозрительные вызовы Файловые системы, скрытые каталоги, атрибуты

2. Компьютерные сети — видеть аномалии

Не просто теория, а аномалии:

DNS: запросы на DGA-домены, tunneling, fast-flux

HTTP/S: нестандартные User-Agent, beaconing (регулярные "звонки" на C2)

Протоколы: SMB, RDP, SSH — признаки brute-force и lateral movement

Инструменты: Wireshark, Zeek/Bro, tcpdump — не просто смотреть, а строить behavioural-

базу

3. Кибербезопасность — атаки и защита

MITRE ATT&CK Framework — ваш основной язык и карта

Изучить все тактики (Tactics), ключевые техники (Techniques)

Понимать, как каждая техника проявляется в данных (Data Sources)

Кибер-убийственная цепочка (Cyber Kill Chain) — альтернативный взгляд

Этап 1: Ядро Threat Hunting (6-8 месяцев)

Цель: Освоить методологию, инструменты и мышление охотника.

1. Методологии охоты

Гипотезно-ориентированный подход: Самая важная концепция!

"А что, если...?" → Гипотеза → Поиск данных → Анализ → Выводы

Пример: "А что, если в сети есть скрытый C2-канал через DNS?"

Модели:

Persistence Hunting: Поиск механизмов выживания в системе
Anomaly Hunting: Поиск отклонений от базовой линии
Intel-Driven Hunting: Охота по конкретным IOC и TTP из отчетов
Картирование к ATT&CK: Каждая ваша гипотеза должна быть привязана к конкретной технике MITRE (например, T1059.003 - Windows Command Shell)
2. Ключевые техники охоты

1. Stack Counting: Анализ вызовов процессов (какая программа кого запустила)
2. Baselining: Понимание "нормы" для вашего окружения (какие порты обычно открыты, какие процессы)
3. Deception Technology: Использование ловушек (honeytokens, canary files)
4. Hunting for LOLBAS: Поиск использования легитимных инструментов в злонамеренных целях

Первым фото прикреплю, что вы должны знать: где искать и что искать

Этап 2: Практика в лабораториях (параллельно с Этапом 1)

Цель: Наработать мышечную память и образ мышления.

1. Лабораторные платформы

TryHackMe:
"Threat Hunting" path (обязательно!)
"Windows Event Logs" room

"Red Team" rooms (чтобы понять TTP злоумышленников)

Hack The Box (Defensive Paths):

"Cyber Defense" track

Сложнее, но ближе к реальности

LetsDefend.io:

Реалистичная SIEM, можно практиковать гипотезы Кейсы, основанные на реальных инцидентах

2. Создание домашней лаборатории для охоты

Продвинутая схема:

[Атакующий (Kali)] → [Жертва (Win10 + Linux)] → [Данные] → [Аналитическая платформа]

↓

[Сбор данных: EDR, Sysmon, Zeek]

↓

[SIEM: Elastic Stack + HELK или Security Onion]

↓

[Threat Hunter (вы) + Jupyter Notebook]

Что настроить:

1. Sysmon + SwiftOnSecurity Config на Windows — золотой стандарт логирования

2. Zeek для сетевого трафика — генерирует структурированные логи

3. Elastic Stack или Security Onion как платформа для анализа

4. Atomic Red Team для симуляции атак и тестирования гипотез

3. Инструменты охотника

Сбор и обогащение - OSQuery, Velociraptor, Logstash

Анализ данных - Jupyter Notebook + Python (Pandas, Matplotlib), R

Анализ процессов - Sysinternals Suite, Process Explorer, Process Monitor

Сетевой анализ - Zeek, RITA (BlackHat), Stenographer

EDR-подобные - Wazuh, Elastic Agent, LimaCharlie

Оркестрация - TheHive, Cortex (для управления гипотезами)

Этап 3: Углубление и специализация (4-6 месяцев)

Цель: Перейти от проверки гипотез к проактивной охоте.

1. Data Science для охотника

Основы Python: Не просто скрипты, а анализ

Pandas для работы с большими объемами логов

Matplotlib/Seaborn для визуализации аномалий

Jupyter Notebook как основная рабочая среда

Статистика: Понимание распределений, выбросов (outliers), корреляций Машинное обучение (базово): Кластеризация для поиска аномалий

2. Углубление в атаки

Red Team视角: Пройти базовые курсы по пентесту

Основы Active Directory атак (Kerberoasting, Pass-the-Hash)

Техники обхода защиты (AV/EDR evasion)

Современные C2-фреймворки (Cobalt Strike, Sliver)

Цель: Не стать хакером, а понимать, что и где искать

3. Сертификации

Для начала: CompTIA CySA+ (охватывает основы анализа)

Специализированные:

Blue Team Level 1 (BTL1) — практическая база

Certified Threat Intelligence Analyst (CTIA) — понимание угроз

GIAC Cyber Threat Intelligence (GCTI) — продвинутый уровень

Идеальная цель: SANS FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics → GCFA/GCTI
Этап 4: Формирование портфолио и поиск работы

Цель: Стать Junior Threat Hunter.

1. Портфолио охотника

GitHub:

Jupyter Notebooks с разборами охоты

Скрипты для автоматизации (парсинг логов, enrichment IOC)

Конфигурации Sysmon, Zeek, детекционные правила

Блог/Write-ups:

Полные циклы охоты: гипотеза → поиск → находки → рекомендации

Пример: "Охота на Kerberoasting в Active Directory"

Разборы реальных APT-отчетов и их TTP

Участие в сообществе:

Публикация детекционных правил в форматах Sigma или YARA

Контрибьюшн в open-source проекты (Velociraptor, OSQuery)

2. Ключевые компетенции для резюме

Hard Skills:

Знание MITRE ATT&CK и умение строить гипотезы

Опыт работы с EDR/XDR платформами (CrowdStrike, SentinelOne, Microsoft Defender) Навыки анализа данных (SQL, Python, ElasticSearch/Kibana)

Понимание современных атак и TTP

Soft Skills:

Любопытство и настойчивость (главное качество!) Критическое мышление Умение визуализировать и объяснять данные

Способность работать с неполной информацией

3. Типовые задачи на собеседовании

Теоретические:

"Опишите вашу любимую технику MITRE ATT&CK и как бы вы искали её в сети?" "Как бы вы обнаружили lateral movement в сегментированной сети?"

"Что такое beaconing и как его детектировать статистически?"

Практические:

Дадут набор логов (Sysmon + Proxy) и спросят: "Есть ли здесь компрометация?" Попросят написать гипотезу для охоты на конкретную угрозу (например, ransomware) Предложат проанализировать дамп трафика на наличие C2
Ресурсы для обучения

Бесплатные:

MITRE ATT&CK Navigator — интерактивное изучение матрицы

Detection Lab от Chris Long — готовая лаборатория на GitHub

PurpleSharp — инструмент для симуляции атак и тестирования детекций

Threat Hunter Playbook от Roberto Rodriguez (@Cyb3rWard0g)

Awesome Threat Detection — curated list ресурсов на GitHub

Платные (но стоящие):

Hunt Evil — практический курс от автора Practical Threat Intelligence

SANS FOR508 — лучший, но дорогой курс

Pluralsight — курсы по анализу данных для security

Сообщества:

Open Threat Research Forge (OTRF) — Discord с профессионалами

SOC & Threat Hunting — Telegram-чаты

Twitter: @Cyb3rPandaH, @Cyb3rWard0g, @huntresslabs, @SwiftOnSecurity

Критически важные советы:

1. Начинайте с малого: Одна хорошая гипотеза в неделю лучше 10 поверхностных.

2. Документируйте всё: Даже неудачные охоты — это опыт. Ведите "Hunter's Journal".

3. Мыслите как противник: Регулярно смотрите записи с Red Team конференций.

4. Автоматизируйте рутину: Если дважды делаете одно действие — пишите скрипт.
5. Создайте свою "карту охоты": Таблица: TTP → Гипотеза → Где искать → Инструменты.

Путь сложный, но это одна из самых творческих и востребованных ролей в cybersecurity. Вы становитесь не просто реагирующим аналитиком, а проактивным исследователем. Прикреплю фото таблицы, чтобы можно было заскринить план обучения. Всем благ, дальше расскажу о Red Team / Pentest.

Кибербезопасность — это не одна работа и не один путь. Здесь нет универсального «стань киберспецом». Кто-то целыми днями смотрит логи и ловит атаки. Кто-то расследует взломы. Кто-то ломает системы легально. А кто-то вообще не пишет код, но управляет рисками и аудитами. Этот пост — карта направлений в кибербезопасности. Он нужен, чтобы Вы поняли, куда реально идти, что там делают на практике и чего ждать по деньгам и сложности. Без мотивационных сказок. Без «войти за месяц». Только честная картина рынка и вариантов развития. Прочитай — и выбери путь осознанно, а не наугад.

SOC / Blue Team Этап 0:
Фундамент (3-6 месяцев)
Цель: Понимать, как всё устроено. Без этого этапа дальнейшее обучение будет шатким.
1. Компьютерные сети (Самое важное!):
• Теория: Модель OSI и TCP/IP. Протоколы: Ethernet, IP, TCP/UDP, DNS, HTTP/HTTPS, DHCP, ARP. NAT, VLAN, Subnetting.
• Ресурсы: Книга "Компьютерные сети" Таненбаума, курс Network+ от CompTIA (бесплатные видео на YouTube).
• Практика: Настроить домашний роутер, поработать с Wireshark для просмотра базового трафика.
2. Операционные системы:
• Windows: Архитектура, процессы, службы, реестр, журналы событий (Event Log). Управление через PowerShell (основы).
• Linux: Обязательно! Установите дистрибутив (Ubuntu, CentOS). Изучите командную строку (bash), структуру файловой системы, управление процессами, пакетами, правами (chmod/chown), основы сетевых утилит (netstat, ss, tcpdump).
• Ресурсы: Microsoft Learn, сайт likegeeks.com, книга "Linux для начинающих".
3. Кибербезопасность - основы:
• Триада CIA (Конфиденциальность, Целостность, Доступность).
• Базовые понятия: угрозы, уязвимости, риски, виды атак (DoS, фишинг, malware).
• Ресурсы: Введение в кибербезопасность от Cisco Networking Academy (бесплатно), TryHackMe - комнаты "Pre Security" и "Introduction to Cyber Security".
Этап 1: Ядро Blue Team (6-9 месяцев)
Цель: Получить конкретные навыки, необходимые для работы в SOC.
1. Системный и сетевой мониторинг:
• SIEM (Security Information and Event Management): Основная рабочая среда SOCаналитика.
• Практика: Разверните дома ELK-стек (Elasticsearch, Logstash, Kibana) или Wazuh (бесплатный SIEM с HIDS). Настройте сбор и анализ логов с вашего ПК.
• Изучите: Что такое корреляция событий, алерты, дашборды.
2. Анализ угроз (Threat Intelligence):
• Понять: Что такое IOC (Indicators of Compromise) - хэши, IP-адреса, домены.
• Научиться: Пользоваться открытыми источниками (OTX AlienVault, VirusTotal, Abuse.ch).
• Форматы: STIX/TAXII (базово).
3. Расследование инцидентов (Incident Response):
• Жизненный цикл: Подготовка → Обнаружение → Анализ → Устранение → Восстановление → Уроки.
• Практика на CTF: Расследуйте "утечки данных", "заражение вирусом" на платформах для тренировок.
• Форензика (базово): Анализ дампов оперативной памяти, дисков (автономно). Инструменты: Volatility, Autopsy.
4. Основы защиты сетей:
• Firewall (МЭ): Разберитесь с понятием политик (allow/deny), stateful inspection.
• IDS/IPS (Системы обнаружения/предотвращения вторжений): Чем отличаются, как работают (на основе сигнатур и аномалий).
• Практика: Поработайте с open-source решениями: Snort (IDS), Suricata (IDS/IPS), pfSense (firewall).
5. Логи и их анализ:
• Какие логи критичны: Windows Security/System Logs, Linux auth.log/syslog, веб-сервера (Apache/nginx), сетевые устройства.
• Научиться: "Читать" логи, вытаскивать из них ключевую информацию (IP, имя пользователя, временная метка, действие).
Этап 2: Практика и сертификации (параллельно с Этапом 1)
Цель: Закрепить знания, получить подтверждающие документы для резюме.
1. Лабораторная практика:
• TryHackMe: Лучший старт! Пройдите все комнаты из дорожки "Cyber Defense" и "SOC Level 1". Интерактивно, с пояснениями.
• LetsDefend.io: Платформа, созданная специально для Blue Team. Вы выступаете в роли SOC-аналитика, работаете с реальной SIEM, расследуете инциденты. Критически важно!
• Blue Team Labs Online (Security Blue Team): Более продвинутые лабораторные работы.
• Создайте свою домашнюю лабу: В VMware/VirtualBox разверните мини-сеть: "жертва" (Windows), "атакующий" (Kali Linux), "защитник" (Linux с ELK/Wazuh).
2. Сертификации (выберите 1-2 для старта):
• CompTIA Security+: Фундаментальный сертификат по безопасности. Обязателен к изучению программы, даже если не сдаете экзамен.
• CompTIA CySA+ (Cybersecurity Analyst): Более сфокусирован на анализе и навыках Blue Team. Отличный следующий шаг после Security+.
• Blue Team Level 1 (BTL1) от Security Blue Team: Практический экзамен в формате лаборатории. Очень ценится сообществом.
• EC-Council Certified SOC Analyst (CSA): Специализированный сертификат для SOC.

Этап 3: Трудоустройство (поиск первой работы)
Цель: Получить позицию Junior SOC Analyst или Security Operations Center Intern.
1. Портфолио:
• GitHub: Выкладывайте свои скрипты (например, на Python для парсинга логов), конфигурации для SIEM, отчеты по расследованию инцидентов из LetsDefend.
• Блог/Write-ups: Пишите разборы решенных вами заданий с TryHackMe/LetsDefend. Показывайте ход мыслей аналитика.
2. Резюме и LinkedIn:
Резюме: Делайте упор на навыки (SIEM, анализ логов, IDS, основы сетей, Linux) и практический опыт (лабы, CTF, пет-проекты). Укажите пройденные курсы и сертификаты.
LinkedIn: Заполните профиль на 100%. Укажите ключевые слова: "SOC Analyst", "Cybersecurity", "Threat Hunting", "SIEM".
Подпишитесь на хедхантеров и компании.
3. Подготовка к собеседованию:
• Техническая часть: Будьте готовы: Разобрать пейлоад (PCAP-файл) в Wireshark. Проанализировать образец лога и сказать, что произошло. Объяснить, как работает DDoS-атака и как ее обнаружить. Рассказать, что вы будете делать, если увидите алерт "Множественные неудачные попытки входа в систему".
• Поведенческая часть: Говорите о своем энтузиазме, желании учиться, внимательности к деталям. Ты должен быть лучше, чем другие в глазах работодателя, покажи уверенность, даже если ты боишься.
Ключевые навыки Junior SOC Analyst:
• Hard Skills: Понимание сетей, ОС, основ безопасности. Умение работать с SIEM, анализировать логи, понимать IOC. Базовые знания по IDS/IPS, фаерволам.
• Soft Skills: Аналитическое мышление, внимание к деталям, стрессоустойчивость (работа в сменах), умение ясно излагать мысли в отчете, желание постоянно учиться.
Об остальных направлениях расскажу в следующих постах.

На работе на одном проекте столкнулся в Nuxt 4 с проблемой, когда в page-компоненте нужно делать разные редиректы через navigateTo() по различным условиям в процессе выполнения setup функции. Примерно так:

<template>
  Some page
</template>

<script lang="ts" setup>
if (1 + 1 === 2) {
  await navigateTo('/?abc=1', {
    redirectCode: 302,
  });
}

if (2 + 2 === 4) {
  await navigateTo('/?abc=2', {
    redirectCode: 302,
  });
}

if (3 + 3 === 6) {
  await navigateTo('/?abc=3', {
    redirectCode: 302,
  });
}

if (4 + 4 === 8) {
  await navigateTo('/?abc=4', {
    redirectCode: 302,
  });
}
</script>

Тут возникает проблема: в конечном итоге срабатывает редирект на самый последний урл, т.е. в коде выше переход будет на /?abc=4. Я порылся в документации, не нашёл ничего встроенного, чтобы избежать срабатывания последующих вызовов navigateTo. Вроде как это поведение связано с vue router.

Вот так написать тоже нельзя:

if (1 + 1 === 2) {
  await navigateTo('/?abc=1', {
    redirectCode: 302,
  });
  return; // так нельзя в script setup
}

Пришлось делать единственное решение - это завести boolean-переменную и проверять уже её.

let isAlreadyRedirected = false;

if (1 + 1 === 2) {
  await navigateTo('/?abc=1', {
    redirectCode: 302,
  });
  isAlreadyRedirected = true;
}

if (!isAlreadyRedirected && 2 + 2 === 4) {
  await navigateTo('/?abc=2', {
    redirectCode: 302,
  });
  isAlreadyRedirected = true;
}

if (!isAlreadyRedirected && 3 + 3 === 6) {
  await navigateTo('/?abc=3', {
    redirectCode: 302,
  });
  isAlreadyRedirected = true;
}

if (!isAlreadyRedirected && 4 + 4 === 8) {
  await navigateTo('/?abc=4', {
    redirectCode: 302,
  });
  isAlreadyRedirected = true;
}

Ещё раз - это единственное, что решило проблему. Если у вас есть какое-то другое решение, напишите плиз.

На любом собесе по system design и хайлоаду вас наверняка спросят про пагинацию. И вопрос этот с подвохом, т.к. на хайлоаде БД очень большие, с миллионами записей. Например, спросят как сделать бесконечную ленту последних постов с подгрузкой. И тут главное не обос****ться как я сделал на своем собесе 😂

Итак, что мы знаем про курсоры? В PostgreSQL есть самые настоящие курсосы! Они так и называются CURSOR. В постгресе они работают только внутри транзакций.

BEGIN;
DECLARE zhopa_cursor CURSOR FOR
  SELECT id, title, created_at FROM posts;

-- Получаем 10 строк:
FETCH 10 FROM zhopa_cursor;

-- Получаем еще следующие 10 строк сразу после места, где остановились до этого:
FETCH 10 FROM zhopa_cursor;

CLOSE zhopa_cursor;
COMMIT;

Обратите внимание, что обязательны транзакция и конкретное имя для курсора. Можно ли это использовать в вебе? Нет. Но я на собесе начал заливать про эти курсоры постгреса и про хранение имен курсоров, хотя непонятно как это все реализовать для веба. Типа не закрывать некоторое время транзакцию и держать открытой некоторое время пока идут http запросы? 😂

Короче, в веб разработке есть так называемые курсоры, которые никакими курсорами на самом деле не являются. Это обычные WHERE условия в SQL! Но за каким-то х***м это называется курсором.

Вот SQL получения первого списка постов для ленты:

SELECT id, title, created_at
FROM posts
ORDER BY created_at DESC, id DESC
LIMIT 20;

Далее браузер в http запросе для получения следующих 20 постов передает payload:

"last_created_at": "2026-01-15 12:30:00+00",
"last_id": 12345,

И бэк делает SQL запрос:

SELECT id, title, created_at
FROM posts
WHERE (created_at, id) < ($1, $2)
ORDER BY created_at DESC, id DESC
LIMIT 20;

Вот эта строка:

WHERE (created_at, id) < ($1, $2)

это и есть как бы наш курсор, хотя нифига это не курсор.

Такой запрос с псевдо-курсором намного быстрее, чем юзанье OFFSET когда постгрес читает все подходящие записи в таблице и тут же скипает часть их.

Очередной миф на сайте "Современный учебник JavaScript":
https://learn.javascript.ru/comparison

Цитата:

Откуда дровишки? Правда о JavaScript написана только в одном месте - в документации языка. Поэтому смотрим доку:
https://262.ecma-international.org/16.0/index.html

EqualityExpression : EqualityExpression == RelationalExpression
 1. Let lRef be ? Evaluation of EqualityExpression.
 2. Let lVal be ? GetValue(lRef).
 3. Let rRef be ? Evaluation of RelationalExpression.
 4. Let rVal be ? GetValue(rRef).
 5. Return ? IsLooselyEqual(rVal, lVal).

Ага, значит, ищем IsLooselyEqual:

The abstract operation IsLooselyEqual takes arguments x (an ECMAScript language value) and y (an ECMAScript language value) and returns either a normal completion containing a Boolean or a throw completion. It provides the semantics for the == operator. It performs the following steps when called:

1. If SameType(x, y) is true, then
   a. Return IsStrictlyEqual(x, y).
2. If x is null and y is undefined, return true.
3. If x is undefined and y is null, return true.
4. NOTE: This step is replaced in section B.3.6.2.
5. If x is a Number and y is a String, return ! IsLooselyEqual(x, ! ToNumber(y)).
6. If x is a String and y is a Number, return ! IsLooselyEqual(! ToNumber(x), y).
7. If x is a BigInt and y is a String, then
   a. Let n be StringToBigInt(y).
   b. If n is undefined, return false.
   c. Return ! IsLooselyEqual(x, n).
8. If x is a String and y is a BigInt, return ! IsLooselyEqual(y, x).
9. If x is a Boolean, return ! IsLooselyEqual(! ToNumber(x), y).
10. If y is a Boolean, return ! IsLooselyEqual(x, ! ToNumber(y)).
11. If x is either a String, a Number, a BigInt, or a Symbol and y is an Object, return ! IsLooselyEqual(x, ? ToPrimitive(y)).
12. If x is an Object and y is either a String, a Number, a BigInt, or a Symbol, return ! IsLooselyEqual(? ToPrimitive(x), y).
13. If x is a BigInt and y is a Number, or if x is a Number and y is a BigInt, then
   a. If x is not finite or y is not finite, return false.
   b. If ℝ(x) = ℝ(y), return true; otherwise return false.
14. Return false.

Вот и весь ответ. В JS есть чёткий алгоритм нестрогого сравнения, который назван IsLooselyEqual, а всё остальное - отсебятина.

null == undefined; // вернёт true

В Javascript при нестрогом сравнении null равен undefined не потому, что они оба привелись к 0, а потому что в пункте 2 чётко сказано, если первый оператор null и второй оператор undefined, то нужно вернуть true.

Помните интернет нулевых? Тогда мы были совсем молодые, а кто-то даже не родился ещё или был совсем мал, но уже в то время в интернете велись активные дискуссии. Не было нейросетей, не было чатов в мессенджерах и не было групп в соцсетях.

Некоторые форумы живы до сих пор! Активность участников там снизилась, но вся старая информация ещё хранится. Cyberforum живёт:

Эти форумы на основе движка vBulletin ни с чем не спутаешь.

Или "Форум Винского" на движке phpBB - это форум знают многие "профессиональные" туристы из России.