Meus 2 cents:
Gosbuster nao eh uma ferramenta ruim - tem varios pontos positivos.
Mas como o foco principal eh forca-bruta, depende muito do wordlist utilizado como base (o felling do profissional pode ser um diferencial aqui - lembremos que estamos em pt-br)
Dentro de uma analise de seguranca (pentest), este eh apenas um dos componentes.
Enfim, para uma aplicacao exposta ao publico sempre que possivel recomendo a utilizacao de um WAF (Web Application Firewall) - gosto bastante do ModSecurity. Trabalhando em conjunto com o Fail2Ban - ja garante algum tipo de barreira (IPS).
E lembrar de fazer um "hardening" na aplicacao tambem ajuda (p.ex. eliminar usuarios com nome "admin/adm/administrator", ter politica de senhas, implementar 2FA ou OTP - acho OTP com whatsapp muito pratico, modificar o path de administracao (nada de /admin), nao deixar 'npm run dev' em app de producao e por ai vai).
Um ponto que aprecio eh criar um 'honeypot' (p.ex. /admin) e ligar direto este endpoint a uma regra de seguranca de log e bloqueio (p.ex. IPTABLES DROP SRC IP) - ajuda um bocado (principalmente contra varreduras automatizadas por script).
Sobre redes, publiquei este post faz algum tempo:
Muito boa a sua contribuição, Estou estudando cybersec e é um pouco difícil ter um direcionamento tão amigável na área.