За последний год я сопровождал 11 человек на пути к первому офферу в ИБ - от сисадминов и QA-инженеров до менеджера проектов, решившего сменить карьеру. Семеро получили офферы за 8–12 месяцев: четверо на позицию SOC-аналитика L1, трое - на стыке ИТ-поддержки и безопасности. Медианная вилка первых офферов - 80 000–120 000 рублей в Москве и 60 000–90 000 в регионах. Ни один из них не начинал с покупки OSCP за ~$1 600.
Фундамент: без чего не берут даже на джуниора
Прежде чем тратить деньги на сертификаты, разберитесь, что реально проверяют на техническом интервью для джуниора в ИБ. По опыту менторинга базовые вопросы укладываются в четыре блока. Подробнее - в нашем обзоре карьера в кибербезопасности.Сети и протоколы
Разница между TCP и UDP, как работает DNS-резолвинг, что происходит при HTTP-запросе от браузера до сервера. На собеседованиях часто просят объяснить трёхстороннее рукопожатие TCP или разобрать PCAP-файл. Без этого фундамента любой инструмент - чёрный ящик. Ты запускаешь Wireshark, видишь пакеты, а что с ними делать - непонятно.Linux на уровне уверенного пользователя
Навигация по файловой системе, работа с правами (chmod, chown), просмотр логов через grep, awk, journalctl. Большинство SOC-платформ и SIEM-решений крутятся на Linux, и рекрутеры ожидают, что кандидат не потеряется в терминале. Для тех кто в танке - это значит: открыл консоль, нашёл нужный лог, отфильтровал по IP, не гугля каждую команду.Один скриптовый язык
Python или Bash - не на уровне разработчика, а на уровне автоматизации рутины. Написать скрипт, который парсит лог и выдаёт IP-адреса с аномально высоким числом запросов, - типовая задача на стажировке в SOC. Ничего сложного, но если ты не можешь это сделать без ChatGPT - на собеседовании будет больно.Ориентация в MITRE ATT&CK
Не заучивание техник наизусть, а понимание структуры: тактики (Initial Access, Execution, Persistence), техники, процедуры. На собеседовании могут показать описание инцидента и спросить, какие тактики ATT&CK задействованы. Фишинговое письмо с вложением - это Phishing (T1566, Initial Access). Использование украденных учётных данных для закрепления - Valid Accounts (T1078, Persistence). Если можете объяснить эту цепочку - фундамент на месте.Сертификаты по кибербезопасности 2026 - цены и реальная ценность
На рынке десятки сертификатов, но для входа в профессию реально значимых - четыре. Ориентировочные цены по данным официальных сайтов вендоров на весну 2026 (уточняйте перед покупкой - стоимость регулярно меняется):| Сертификат | Стоимость экзамена | Время подготовки | Для кого | На рынке РФ |
|---|---|---|---|---|
| CompTIA Security+ | ~$400 (~40 000 руб.) | 2–4 мес. при 10 ч/нед | Первый сертификат, широкая база | Редко требуют напрямую, ценят как подтверждение фундамента |
| CEH (EC-Council) | ~$1 200 (~120 000 руб.) | 2–3 мес. | SOC-аналитик, комплаенс | Часто встречается в вакансиях крупных компаний и госструктур |
| eJPT (INE) | ~$249 (~25 000 руб.) за экзамен + подписка INE (~$39/мес. для подготовки) | 1–2 мес. | Начинающий пентестер | Мало знакома рекрутерам, но практическая часть сильная |
| OSCP (OffSec) | ~$1 600 (~160 000 руб.) | 4–8 мес. | Пентестер уровня middle | Золотой стандарт Red Team, но НЕ для первого оффера |
Критерии отбора: в обзор не вошли CISSP (требуется минимум 5 лет опыта, уровень CISO), CISM и вендорные сертификации (Cisco CyberOps, Microsoft SC-200) - они актуальны на более поздних этапах карьеры. Если вы джуниор и смотрите на CISSP - остановитесь, это как покупать гоночный болид до получения водительских прав.
CEH vs OSCP - что выбрать
Вопрос «CEH vs OSCP что выбрать» - один из самых частых среди тех, кто планирует карьеру в информационной безопасности. Короткий ответ: зависит от грейда и направления.CEH - теоретический экзамен с множественным выбором. Его принимают в корпоративных структурах, где важна бумага для комплаенса. По сути, это входной билет в мир «у нас есть сертифицированный специалист» для отчётности. OSCP - совсем другой зверь: 24-часовой практический экзамен, на котором нужно взломать несколько машин без подсказок. Кто сдавал - тот помнит это чувство, когда в 3 ночи ты наконец получаешь root на предпоследней машине.
Для тех, кто хочет стать пентестером с нуля, правильная последовательность: eJPT (доступная цена, практика, уверенность) → OSCP (после получения первого рабочего опыта). Для SOC-трека: Security+ → CEH или отечественные программы обучения этичному хакингу 2026 года.
Сколько учиться на специалиста ИБ - реалистичные сроки
Самый честный ответ: от 6 до 18 месяцев до первого оффера. К моменту найма от вас ждут базовый фундамент - нулевой старт работодатели не рассматривают.Сценарий 1: 10 часов в неделю (совмещение с основной работой)
- Месяцы 1–3: фундамент - сети, Linux, базовый Python
- Месяцы 4–6: первый сертификат (Security+ или eJPT), домашняя лаборатория
- Месяцы 7–12: практика на платформах, портфолио, рассылка резюме
- Итого до оффера: около 12 месяцев
- Месяцы 1–2: фундамент в ускоренном режиме
- Месяцы 3–4: сертификат + активная практика на CTF-платформах
- Месяцы 5–8: портфолио, нетворкинг, первые собеседования
- Итого до оффера: около 6–8 месяцев
Где практиковаться в кибербезопасности - первые команды
Теория без практики не конвертируется в оффер. Начните с двух инструментов, которые гарантированно спросят на любом техническом интервью. Команды ниже выполняются в Kali Linux на виртуальной машине - требования к окружению описаны после примеров.Nmap: SYN-сканирование vs Connect-сканирование
Bash:
# SYN-скан (требует root) - быстрый, half-open (не завершает рукопожатие)
sudo nmap -sS -sV -p 1-1000 192.168.1.0/24
# Connect-скан (без root) - полное TCP-соединение, медленнее
nmap -sT -sV -p 1-1000 192.168.1.0/24
-sS отправляет SYN-пакет и не завершает рукопожатие - это стандартный метод Network Service Discovery (T1046, Discovery). Флаг -sV определяет версию сервиса на открытом порту. На собеседовании обязательно спросят разницу между этими двумя режимами и почему SYN-скан требует привилегий root. Если не знаете - вот подсказка: SYN-скан работает с сырыми сокетами, а для них нужен root. Connect-скан идёт через обычный системный вызов connect(), поэтому обходится без привилегий, но оставляет больше следов в логах.Wireshark: базовый фильтр для разбора трафика
Код:
http.request.method == "POST" and !(ip.dst == 192.168.1.0/24)
Платформы для практики
Требования к окружению для домашней лаборатории: минимум 8 ГБ RAM для связки Kali Linux + Metasploitable в VirtualBox/VMware, рекомендуется 16 ГБ при одновременной работе с 3+ виртуальными машинами. ОС хоста: Windows 10/11, macOS или любой дистрибутив Linux. Интернет нужен для скачивания образов, далее работа возможна offline.| Платформа | Стоимость | Уровень | Что даёт |
|---|---|---|---|
| TryHackMe | Бесплатно / ~$14/мес. | С нуля | Пошаговые задания, встроенные VM в браузере |
| Hack The Box | Бесплатно / ~$14/мес. | Средний | Реалистичные машины без подсказок |
| VulnHub | Бесплатно | Любой | Скачиваемые VM для домашней лаборатории |
| CyberDefenders | Бесплатно / Pro | Blue Team | PCAP-челленджи, форензика |
Для SOC-трека: начните с TryHackMe (path «SOC Level 1»), затем переходите на CyberDefenders для работы с реальными артефактами. Для пентест-трека: TryHackMe → Hack The Box → подготовка к eJPT/OSCP обучению.
Как получить первый оффер - вакансии и вилки 2026
По моему наблюдению вакансий на hh.ru в начале 2026 года, типичная вилка для начинающего специалиста по информационной безопасности - 95 000–114 000 рублей (выборка небольшая, не претендую на истину в последней инстанции). Для специалистов с опытом от трёх лет вилка, как правило, превышает 200 000 рублей, а в финансовом секторе может доходить до 300 000–500 000 для middle+ грейда.Что реально требуют в вакансиях на hh.ru для джуниора в ИБ (типичные требования Q1 2026):
- Знание сетевых протоколов (TCP/IP, DNS, HTTP/HTTPS) - практически везде
- Опыт работы с SIEM (MaxPatrol SIEM, KUMA, Splunk, ELK) - во многих вакансиях SOC
- Базовое владение Linux - обязательный пункт
- Сертификаты - чаще «желательно», чем «обязательно», но CEH и Security+ упоминаются регулярно
- Понимание MITRE ATT&CK - растущий тренд, особенно для SOC и Threat Hunting
Корпоративная оплата сертификатов
Многие компании в РФ компенсируют расходы на профессиональные сертификации - полностью или частично:- Крупные интеграторы и MSSP (Solar, Positive Technologies, Kaspersky) часто оплачивают CEH и OSCP после испытательного срока
- Банки и телеком включают бюджет на обучение в годовой план развития сотрудника
- Типовые условия: компания оплачивает экзамен, сотрудник обязуется отработать 1–2 года после получения сертификата
С чего начать прямо сейчас
Три конкретных действия на ближайшую неделю:- Установите VirtualBox + Kali Linux. Скачайте готовый OVA-образ с kali.org, импортируйте в VirtualBox. Запустите
nmap -sV 127.0.0.1- первое сканирование выполнено. Поздравляю, вы только что провели разведку (пусть и против себя). - Зарегистрируйтесь на TryHackMe и пройдите бесплатный модуль «Introduction to Cyber Security». Это займёт 2–3 часа и покажет, к какому треку вы ближе - Blue Team или Red Team.
- Откройте hh.ru, введите «SOC аналитик junior» или «специалист по информационной безопасности junior» и прочитайте 10 вакансий. Выпишите повторяющиеся требования - это и есть ваш реальный roadmap, а не чей-то абстрактный план.
На практике главная проблема не в выборе между CEH и OSCP, Security+ и eJPT. Проблема в том, что большинство тратят три-четыре месяца на чтение статей о «правильном» пути вместо того, чтобы открыть терминал и сделать первый
nmap на локальной VM. Из 11 человек, которых я сопровождал, двое застряли именно на этапе бесконечного сравнения курсов при нулевой практике. Те, кто получил офферы, объединены одним - они начали делать. Рынок ИБ в 2026 году нанимает тех, кто показывает результат на собеседовании: writeup, скриншот дашборда SIEM с настроенным правилом, скрипт автоматизации триажа алертов. Бумажный сертификат без практики - билет на техническое интервью, которое вы провалите. Если хотите пройти базу системно и без месяцев распыления между YouTube-роликами - IB Basics на codeby.school закрывает фундамент за пару месяцев, после чего можно целиться в первые собеседования уже с конкретным портфолио.Вложения
Последнее редактирование: