Домашняя лаборатория ночью: ноутбук с терминалом Kali Linux и монитор с анализом трафика Wireshark. Тёплый свет настольной лампы, плёночное зерно в тенях.


За последний год я сопровождал 11 человек на пути к первому офферу в ИБ - от сисадминов и QA-инженеров до менеджера проектов, решившего сменить карьеру. Семеро получили офферы за 8–12 месяцев: четверо на позицию SOC-аналитика L1, трое - на стыке ИТ-поддержки и безопасности. Медианная вилка первых офферов - 80 000–120 000 рублей в Москве и 60 000–90 000 в регионах. Ни один из них не начинал с покупки OSCP за ~$1 600.

Фундамент: без чего не берут даже на джуниора​

Прежде чем тратить деньги на сертификаты, разберитесь, что реально проверяют на техническом интервью для джуниора в ИБ. По опыту менторинга базовые вопросы укладываются в четыре блока. Подробнее - в нашем обзоре карьера в кибербезопасности.

Сети и протоколы​

Разница между TCP и UDP, как работает DNS-резолвинг, что происходит при HTTP-запросе от браузера до сервера. На собеседованиях часто просят объяснить трёхстороннее рукопожатие TCP или разобрать PCAP-файл. Без этого фундамента любой инструмент - чёрный ящик. Ты запускаешь Wireshark, видишь пакеты, а что с ними делать - непонятно.

Linux на уровне уверенного пользователя​

Навигация по файловой системе, работа с правами (chmod, chown), просмотр логов через grep, awk, journalctl. Большинство SOC-платформ и SIEM-решений крутятся на Linux, и рекрутеры ожидают, что кандидат не потеряется в терминале. Для тех кто в танке - это значит: открыл консоль, нашёл нужный лог, отфильтровал по IP, не гугля каждую команду.

Один скриптовый язык​

Python или Bash - не на уровне разработчика, а на уровне автоматизации рутины. Написать скрипт, который парсит лог и выдаёт IP-адреса с аномально высоким числом запросов, - типовая задача на стажировке в SOC. Ничего сложного, но если ты не можешь это сделать без ChatGPT - на собеседовании будет больно.

Ориентация в MITRE ATT&CK

Не заучивание техник наизусть, а понимание структуры: тактики (Initial Access, Execution, Persistence), техники, процедуры. На собеседовании могут показать описание инцидента и спросить, какие тактики ATT&CK задействованы. Фишинговое письмо с вложением - это Phishing (T1566, Initial Access). Использование украденных учётных данных для закрепления - Valid Accounts (T1078, Persistence). Если можете объяснить эту цепочку - фундамент на месте.

Сертификаты по кибербезопасности 2026 - цены и реальная ценность​

На рынке десятки сертификатов, но для входа в профессию реально значимых - четыре. Ориентировочные цены по данным официальных сайтов вендоров на весну 2026 (уточняйте перед покупкой - стоимость регулярно меняется):

СертификатСтоимость экзаменаВремя подготовкиДля когоНа рынке РФ
CompTIA Security+~$400 (~40 000 руб.)2–4 мес. при 10 ч/недПервый сертификат, широкая базаРедко требуют напрямую, ценят как подтверждение фундамента
CEH (EC-Council)~$1 200 (~120 000 руб.)2–3 мес.SOC-аналитик, комплаенсЧасто встречается в вакансиях крупных компаний и госструктур
eJPT (INE)~$249 (~25 000 руб.) за экзамен + подписка INE (~$39/мес. для подготовки)1–2 мес.Начинающий пентестерМало знакома рекрутерам, но практическая часть сильная
OSCP (OffSec)~$1 600 (~160 000 руб.)4–8 мес.Пентестер уровня middleЗолотой стандарт Red Team, но НЕ для первого оффера

Критерии отбора: в обзор не вошли CISSP (требуется минимум 5 лет опыта, уровень CISO), CISM и вендорные сертификации (Cisco CyberOps, Microsoft SC-200) - они актуальны на более поздних этапах карьеры. Если вы джуниор и смотрите на CISSP - остановитесь, это как покупать гоночный болид до получения водительских прав.

CEH vs OSCP - что выбрать​

Вопрос «CEH vs OSCP что выбрать» - один из самых частых среди тех, кто планирует карьеру в информационной безопасности. Короткий ответ: зависит от грейда и направления.

CEH - теоретический экзамен с множественным выбором. Его принимают в корпоративных структурах, где важна бумага для комплаенса. По сути, это входной билет в мир «у нас есть сертифицированный специалист» для отчётности. OSCP - совсем другой зверь: 24-часовой практический экзамен, на котором нужно взломать несколько машин без подсказок. Кто сдавал - тот помнит это чувство, когда в 3 ночи ты наконец получаешь root на предпоследней машине.

Для тех, кто хочет стать пентестером с нуля, правильная последовательность: eJPT (доступная цена, практика, уверенность) → OSCP (после получения первого рабочего опыта). Для SOC-трека: Security+ → CEH или отечественные программы обучения этичному хакингу 2026 года.

Сколько учиться на специалиста ИБ - реалистичные сроки​

Самый честный ответ: от 6 до 18 месяцев до первого оффера. К моменту найма от вас ждут базовый фундамент - нулевой старт работодатели не рассматривают.

Сценарий 1: 10 часов в неделю (совмещение с основной работой)
  • Месяцы 1–3: фундамент - сети, Linux, базовый Python
  • Месяцы 4–6: первый сертификат (Security+ или eJPT), домашняя лаборатория
  • Месяцы 7–12: практика на платформах, портфолио, рассылка резюме
  • Итого до оффера: около 12 месяцев
Сценарий 2: 20+ часов в неделю (полная перезагрузка карьеры)
  • Месяцы 1–2: фундамент в ускоренном режиме
  • Месяцы 3–4: сертификат + активная практика на CTF-платформах
  • Месяцы 5–8: портфолио, нетворкинг, первые собеседования
  • Итого до оффера: около 6–8 месяцев
Сценарий 3: уже работаете в ИТ (сисадмин, сетевик, разработчик). Половина фундамента на месте - до первого оффера в ИБ реально дойти за 4–6 месяцев целенаправленной подготовки и одного сертификата. Я видел, как сисадмин с пятилетним стажем прошёл путь от «хочу в ИБ» до оффера SOC-аналитика за 4 месяца - просто потому что сети и Linux у него были в крови.

Где практиковаться в кибербезопасности - первые команды​

Теория без практики не конвертируется в оффер. Начните с двух инструментов, которые гарантированно спросят на любом техническом интервью. Команды ниже выполняются в Kali Linux на виртуальной машине - требования к окружению описаны после примеров.

Nmap: SYN-сканирование vs Connect-сканирование​

Bash:
# SYN-скан (требует root) - быстрый, half-open (не завершает рукопожатие)
sudo nmap -sS -sV -p 1-1000 192.168.1.0/24

# Connect-скан (без root) - полное TCP-соединение, медленнее
nmap -sT -sV -p 1-1000 192.168.1.0/24
Флаг -sS отправляет SYN-пакет и не завершает рукопожатие - это стандартный метод Network Service Discovery (T1046, Discovery). Флаг -sV определяет версию сервиса на открытом порту. На собеседовании обязательно спросят разницу между этими двумя режимами и почему SYN-скан требует привилегий root. Если не знаете - вот подсказка: SYN-скан работает с сырыми сокетами, а для них нужен root. Connect-скан идёт через обычный системный вызов connect(), поэтому обходится без привилегий, но оставляет больше следов в логах.

Wireshark: базовый фильтр для разбора трафика​

Код:
http.request.method == "POST" and !(ip.dst == 192.168.1.0/24)
Этот фильтр (Wireshark 3.x/4.x, CIDR-нотация в display filter) показывает все POST-запросы, уходящие за пределы локальной сети - базовый приём при анализе Network Sniffing (T1040, Discovery). В SOC-работе разбор PCAP-файлов - ежедневная задача. Умение быстро написать фильтр под конкретный кейс отличает кандидата от конкурентов на собеседовании. Потренируйтесь: скачайте любой PCAP с malware-traffic-analysis.net и попробуйте найти C2-трафик по нестандартным портам.

Платформы для практики

Требования к окружению для домашней лаборатории: минимум 8 ГБ RAM для связки Kali Linux + Metasploitable в VirtualBox/VMware, рекомендуется 16 ГБ при одновременной работе с 3+ виртуальными машинами. ОС хоста: Windows 10/11, macOS или любой дистрибутив Linux. Интернет нужен для скачивания образов, далее работа возможна offline.

ПлатформаСтоимостьУровеньЧто даёт
TryHackMeБесплатно / ~$14/мес.С нуляПошаговые задания, встроенные VM в браузере
Hack The BoxБесплатно / ~$14/мес.СреднийРеалистичные машины без подсказок
VulnHubБесплатноЛюбойСкачиваемые VM для домашней лаборатории
CyberDefendersБесплатно / ProBlue TeamPCAP-челленджи, форензика

Для SOC-трека: начните с TryHackMe (path «SOC Level 1»), затем переходите на CyberDefenders для работы с реальными артефактами. Для пентест-трека: TryHackMe → Hack The Box → подготовка к eJPT/OSCP обучению.

Как получить первый оффер - вакансии и вилки 2026

По моему наблюдению вакансий на hh.ru в начале 2026 года, типичная вилка для начинающего специалиста по информационной безопасности - 95 000–114 000 рублей (выборка небольшая, не претендую на истину в последней инстанции). Для специалистов с опытом от трёх лет вилка, как правило, превышает 200 000 рублей, а в финансовом секторе может доходить до 300 000–500 000 для middle+ грейда.

Что реально требуют в вакансиях на hh.ru для джуниора в ИБ (типичные требования Q1 2026):
  • Знание сетевых протоколов (TCP/IP, DNS, HTTP/HTTPS) - практически везде
  • Опыт работы с SIEM (MaxPatrol SIEM, KUMA, Splunk, ELK) - во многих вакансиях SOC
  • Базовое владение Linux - обязательный пункт
  • Сертификаты - чаще «желательно», чем «обязательно», но CEH и Security+ упоминаются регулярно
  • Понимание MITRE ATT&CK - растущий тренд, особенно для SOC и Threat Hunting
Вот что интересно: менеджеры по найму всё чаще оценивают кандидатов по продемонстрированным навыкам, а не только по дипломам. Портфолио с решёнными задачами на Hack The Box или writeup-ами с CTF-соревнований весит не меньше бумажного сертификата. На практике я видел, как кандидат без единого сертификата, но с 30 решёнными машинами на HTB и грамотным writeup-ом получил оффер на 110 000 рублей, обойдя конкурента с CEH.

Корпоративная оплата сертификатов​

Многие компании в РФ компенсируют расходы на профессиональные сертификации - полностью или частично:
  • Крупные интеграторы и MSSP (Solar, Positive Technologies, Kaspersky) часто оплачивают CEH и OSCP после испытательного срока
  • Банки и телеком включают бюджет на обучение в годовой план развития сотрудника
  • Типовые условия: компания оплачивает экзамен, сотрудник обязуется отработать 1–2 года после получения сертификата
Если вы уже работаете в ИТ - поговорите с руководителем о частичной компенсации Security+ или CEH. Аргумент простой: нанять нового ИБ-специалиста с рынка стоит 3–6 зарплат, а сертификация текущего сотрудника - 40 000–120 000 рублей. Математика на вашей стороне.

С чего начать прямо сейчас​

Три конкретных действия на ближайшую неделю:
  1. Установите VirtualBox + Kali Linux. Скачайте готовый OVA-образ с kali.org, импортируйте в VirtualBox. Запустите nmap -sV 127.0.0.1 - первое сканирование выполнено. Поздравляю, вы только что провели разведку (пусть и против себя).
  2. Зарегистрируйтесь на TryHackMe и пройдите бесплатный модуль «Introduction to Cyber Security». Это займёт 2–3 часа и покажет, к какому треку вы ближе - Blue Team или Red Team.
  3. Откройте hh.ru, введите «SOC аналитик junior» или «специалист по информационной безопасности junior» и прочитайте 10 вакансий. Выпишите повторяющиеся требования - это и есть ваш реальный roadmap, а не чей-то абстрактный план.
Дорожная карта кибербезопасности 2026 - не линейный маршрут, а набор развилок. Какой бы путь вы ни выбрали, первый шаг одинаковый: терминал открыт, первая команда введена.

На практике главная проблема не в выборе между CEH и OSCP, Security+ и eJPT. Проблема в том, что большинство тратят три-четыре месяца на чтение статей о «правильном» пути вместо того, чтобы открыть терминал и сделать первый nmap на локальной VM. Из 11 человек, которых я сопровождал, двое застряли именно на этапе бесконечного сравнения курсов при нулевой практике. Те, кто получил офферы, объединены одним - они начали делать. Рынок ИБ в 2026 году нанимает тех, кто показывает результат на собеседовании: writeup, скриншот дашборда SIEM с настроенным правилом, скрипт автоматизации триажа алертов. Бумажный сертификат без практики - билет на техническое интервью, которое вы провалите. Если хотите пройти базу системно и без месяцев распыления между YouTube-роликами - IB Basics на codeby.school закрывает фундамент за пару месяцев, после чего можно целиться в первые собеседования уже с конкретным портфолио.
 

Вложения

  • 1783106297879.webp
    1783106297879.webp
    32,5 КБ · Просмотры: 23
  • 1783106398948.webp
    1783106398948.webp
    26,3 КБ · Просмотры: 12
Последнее редактирование:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab