Два года я администрировал Windows-инфраструктуру на 800 хостов: GPO, WSUS, Exchange, файловые шары с квотами. В один из дежурных вечеров Event Viewer показал серию событий 4625 - неудачные попытки входа с одного IP на три контроллера домена за 12 минут. Классический Brute Force (T1110, Credential Access). Заблокировал источник на файрволе, собрал логи, написал отчёт для руководства - всё на навыках сисадмина, без единого курса по ИБ.
Через шесть месяцев я работал в SOC. Переход в информационную безопасность из смежной IT-специальности - не прыжок в пустоту, а логичный шаг. Ниже - конкретный план, как его сделать.Рассказ сисадмина от первого лица
Почему IT-бэкграунд - это не ноль, а фора
По данным anti-malware.ru, за первые четыре месяца 2025 года компании разместили 42 тысячи вакансий в сфере кибербезопасности. Дефицит специалистов - 45%, рынку не хватает примерно 50 тысяч человек. При этом из десяти соискателей лишь один проходит техническое собеседование. Подробнее - в нашем материале про карьера в кибербезопасности.Парадокс: компании ищут людей, которые понимают, как работает инфраструктура. Кандидат с тремя годами в Active Directory знает, почему Kerberoasting работает - ему не нужно объяснять, что такое SPN. Разработчик, написавший сотню API-эндпоинтов, увидит SQL-инъекцию в коде коллеги быстрее, чем выпускник трёхмесячного курса "ИБ с нуля". DevOps-инженер, настроивший CI/CD-пайплайн в проде, за день прикрутит SAST-сканер - потому что знает, куда вставить stage.
Войти в кибербезопасность из смежной IT-области - не "начать сначала". Это переключить оптику: те же системы, те же протоколы, но теперь вы смотрите на них глазами атакующего или защитника.
Карта навыков: что переносится из IT в кибербезопасность
Каждая IT-специальность покрывает от 30 до 60% требований конкретной ИБ-роли. Ниже - честная карта: что уже работает, что нужно добрать и за какое время реально перейти.
Из сисадмина в SOC-аналитика или Security Engineer
Самый прямой маршрут из смежных специальностей для ИБ. Сисадмин уже работает с тем, что SOC-аналитик разгребает ежедневно.Навыки, которые переносятся напрямую:
- Active Directory, GPO, управление учётными записями - примерно 40% работы SOC-аналитика при расследовании инцидентов с учётными данными (Valid Accounts, T1078)
- Event Viewer, Windows-логи - прямой аналог работы с SIEM, разница в масштабе и интерфейсе
- PowerShell и Bash - основа автоматизации детекта и реагирования (Command and Scripting Interpreter, T1059)
- Понимание сетевой топологии, DNS, DHCP - без этого анализ сетевых инцидентов превращается в гадание
- SIEM-системы: Splunk, ELK/OpenSearch или MaxPatrol SIEM. Принцип одинаковый - различается синтаксис запросов
- Фреймворк MITRE ATT&CK - по сути систематизация того, что сисадмин и так видит в логах, но без единой классификации
- Процедуры реагирования на инциденты (Incident Response playbooks)
- Базовое понимание типичных атак: фишинг (T1566, Initial Access), брутфорс (T1110), эксплуатация публичных сервисов (T1190)
Из разработчика в пентестера или AppSec-инженера
Разработчик видит код изнутри. Это преимущество, которое не получишь на курсах за три месяца.Навыки, которые переносятся напрямую:
- Чтение кода на Python, Java, JavaScript - основа code review и поиска уязвимостей в исходниках
- Понимание HTTP, REST API, механизмов аутентификации - прямой вход в тестирование веб-приложений
- Работа с базами данных и SQL - понимание SQL-инъекций на уровне механики, а не по описанию из учебника
- Отладка и реверс-инжиниринг логики приложений
- OWASP Top 10 и OWASP Testing Guide - структурированный подход к поиску уязвимостей (по данным OWASP, 94% приложений содержат ту или иную форму broken access control)
- Инструменты: Burp Suite для перехвата и анализа HTTP-трафика,
nmapдля обнаружения сетевых сервисов (Network Service Discovery, T1046) - Методология пентеста: не просто "найти баг", а выстроить цепочку атаки от входа до импакта
- Secure Development Lifecycle (SDL) - для AppSec-трека
Из DevOps в DevSecOps
Самый быстрый переход. DevSecOps - это DevOps с интеграцией security-стадий в пайплайн. Если вы уже настраиваете CI/CD, прикрутить security-gate - вопрос дней, а не месяцев.Навыки, которые переносятся напрямую:
- CI/CD (GitLab CI, Jenkins, GitHub Actions) - место интеграции SAST/DAST-сканеров
- Docker, Kubernetes - контейнерная безопасность начинается с понимания архитектуры
- Infrastructure as Code (Terraform, Ansible) - аудит и hardening инфраструктуры через код
- Мониторинг (Prometheus, Grafana, ELK) - security monitoring строится на том же стеке
- SAST/DAST-инструменты: Semgrep, Trivy, OWASP ZAP - они встраиваются в уже знакомые пайплайны
- Container security: сканирование образов, сетевые политики в K8s
- Compliance as Code: OPA/Rego для политик безопасности
- Threat modeling для архитектурных решений
Из сетевого инженера в специалиста по сетевой безопасности
Сетевик понимает, как ходят пакеты - а значит, понимает, где их можно перехватить, перенаправить или заблокировать.Навыки, которые переносятся напрямую:
- TCP/IP, маршрутизация, коммутация - фундамент сетевых атак и защиты
- Настройка файрволов, ACL, VPN - прямая работа с периметром безопасности
- Wireshark и анализ трафика - один из главных навыков для форензики и threat hunting
- Понимание DNS, DHCP, ARP - знание, где возможны атаки на уровне протоколов (ARP-спуфинг, DNS-poisoning - это всё ваша территория)
- IDS/IPS: Suricata, Snort - правила детектирования сетевых атак
- Сетевой форензик: анализ PCAP-дампов, корреляция с логами SIEM
- Знание типичных сетевых атак: ARP-спуфинг, DNS-poisoning, MITM
- Zero Trust архитектура и микросегментация
Какой путь выбрать: decision tree для смены профессии в ИБ
Выбор маршрута зависит от текущего стека и предпочтений - ломать или защищать.| Ваш текущий стек | Навык-мост | Целевая роль | Срок перехода | Первый конкретный шаг |
|---|---|---|---|---|
| Windows/(GNU/Linux)-сисадмин | AD, логи, PowerShell | SOC-аналитик, Security Engineer | 3-6 мес. | Развернуть Wazuh, написать 5 detection rules |
| Разработчик (Python/Java/JS) | Код, API, SQL | Пентестер, AppSec | 4-8 мес. | Пройти OWASP Juice Shop, решить 20 задач |
| DevOps/SRE | CI/CD, Docker, K8s | DevSecOps | 2-4 мес. | Интегрировать Trivy + Semgrep в рабочий пайплайн |
| Сетевой инженер | TCP/IP, файрволы, Wireshark | Network Security | 3-5 мес. | Настроить Suricata, разобрать 10 PCAP-дампов |
Если не можете определиться между offensive (пентест) и defensive (SOC, blue team) - начните с defensive. Позиций SOC-аналитиков и security-инженеров на рынке в 3-4 раза больше, чем пентестеров. Навыки blue team дают фундамент, с которого потом можно перейти в offensive.
План перехода в кибербезопасность по месяцам
Месяцы 1-3: фундамент и переориентация
На этом этапе вы не уходите с текущей работы. Вы перенастраиваете взгляд на уже знакомые вещи.Конкретные действия:
- Просмотрите 50-100 вакансий по целевой роли на hh.ru. Выпишите повторяющиеся требования - это ваш реальный roadmap кибербезопасности, а не абстрактные схемы из интернета
- Начните разбираться с MITRE ATT&CK - не зубрить все 200+ техник, а разобрать 10-15 самых частых для выбранного направления
- Поставьте home lab (требования к окружению ниже) и начните практиковаться
- Вступите в профильные сообщества: форум Codeby, Telegram-каналы по ИБ, профильные чаты. Нетворкинг работает: по оценкам рынка, до 30% позиций закрываются через рекомендации
Месяцы 4-6: специализация и практика на стендах
Здесь вы набираете портфолио и переходите от изучения к действию.Конкретные действия:
- Решайте задачи на платформах: TryHackMe для структурированного старта, затем CTF-задачи task-based формата
- Пишите write-up по каждому решению и публикуйте на GitHub или в блоге - это портфолио, которое увидит работодатель
- Offensive-трек: попробуйте баг-баунти на российских платформах (Standoff 365, BI.ZONE Bug Bounty). Один найденный баг - строчка в резюме, которая весит тяжелее любого сертификата
- Defensive-трек: настройте detection rules в своём SIEM, оформите как проект - описание угрозы, логика детекта, тестовый кейс
Месяцы 7-12: портфолио и выход на рынок
Конкретные действия:- Сдайте один практический сертификат (подробности ниже) - это сигнал рынку, что вы не просто читали статьи
- Обновите резюме: IT-опыт теперь подаётся через призму безопасности. "Администрировал AD на 800 хостов" превращается в "Управлял инфраструктурой идентификации, настраивал политики аудита событий безопасности, обеспечивал соответствие требованиям по защите учётных данных"
- Откликайтесь на стажировки: "Лаборатория Касперского", Positive Technologies, BI.ZONE, Solar регулярно набирают стажёров с IT-бэкграундом
- Рассмотрите внутренний переход: предложите текущему работодателю взять задачи по безопасности. Многие компании поддерживают такую смену профессии в ИБ - дешевле вырастить своего, чем нанимать с рынка
Сертификаты ИБ для начинающих: что реально ценится при каком бэкграунде
Сертификаты - не самоцель, а инструмент. Для смены специальности важны практические сертификации, а не тесты с вариантами ответов.| Сертификат | Стоимость экзамена | Формат | Для какого бэкграунда |
|---|---|---|---|
| CompTIA Security+ | ~$404 (~36 000 руб.) | Тест + Performance-Based Questions | Все направления, базовый уровень |
| eJPT (INE Security) | ~$249 (~22 000 руб.) | Практическая лаба, 48 часов | Разработчики, начинающие пентестеры |
| CompTIA CySA+ | ~$404 (~36 000 руб.) | Тест + PBQ | SOC-аналитики, сисадмины |
| OSCP (OffSec) | ~$1 749 (~157 000 руб.) | Практический экзамен, 24 часа | Пентестеры с опытом 6+ мес. |
Цены приблизительные, актуальны на середину 2025 года. Перед покупкой проверяйте на официальных сайтах вендоров.
Стратегия по бэкграунду:
- Сисадмин -> Security+ или CySA+ первым, при желании позже OSCP
- Разработчик -> eJPT как стартовый, затем OSCP или Burp Suite Certified Practitioner
- DevOps -> CKS (Certified Kubernetes Security Specialist, ~$395 / ~35 500 руб.) - хорошо ложится на существующий стек
- Сетевой инженер -> CySA+ или Security+, затем профильные вендорские (Fortinet NSE, Palo Alto PCNSA)
Home lab для перехода в ИБ: минимальный стенд
Требования к окружению:- RAM: минимум 8 ГБ (1–2 VM: Kali + Metasploitable или DVWA), рекомендуется 16 ГБ (AD-полигон с контроллером домена и двумя рабочими станциями)
- CPU: 4 ядра с поддержкой аппаратной виртуализации (VT-x / AMD-V)
- Диск: 100 ГБ свободного пространства, SSD для комфортной работы с несколькими VM
- Гипервизор: VirtualBox (бесплатно, кросс-платформенный) или VMware Workstation Player
- Интернет: нужен для скачивания образов, дальнейшая работа - offline
SOC/Blue Team (для сисадминов): Windows Server 2019 + Windows 10 + Wazuh (бесплатный SIEM). Подключите Windows-логи к Wazuh, настройте 5-10 правил детектирования по MITRE ATT&CK и проверьте их, запустив имитацию атаки с Kali Linux. На 8 ГБ RAM будет тесновато - Wazuh + Windows Server + Kali хотят минимум 12 ГБ для комфортной работы.
Пентест (для разработчиков): Kali Linux + DVWA или OWASP Juice Shop. Пройдите все задания DVWA от уровня low до impossible, задокументируйте каждую найденную уязвимость с описанием импакта. Juice Shop интереснее - там уязвимости ближе к реальным приложениям, а не к учебным примерам.
DevSecOps: GitLab CE (self-hosted) с пайплайном, содержащим Trivy (сканер контейнерных образов) и Semgrep (SAST). Настройте fail-on-critical и напишите custom-правило Semgrep для своего стека. Здесь 16 ГБ RAM - минимум, GitLab CE сам по себе прожорливый.
Сетевая безопасность: GNS3 или EVE-NG + Suricata на Linux-VM. Сгенерируйте трафик с помощью
nmap, проанализируйте алерты Suricata и напишите кастомное правило под конкретный паттерн атаки.Ошибки при переквалификации в кибербезопасность, которые стоят месяцев
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Большинство IT-специалистов переоценивают разрыв между своими текущими навыками и тем, что нужно для карьеры в кибербезопасности. За время работы в SOC я участвовал в отборе десятков кандидатов из IT - и вижу один устойчивый паттерн. Сисадмин с тремя годами в AD знает про атаки на инфраструктуру идентификации больше, чем выпускник полугодового курса - просто ещё не осознаёт, что это знание ценно. Разработчик, который каждый день пишет API, понимает injection-уязвимости на уровне, недоступном теоретику.
Настоящий барьер - не технический gap, а страх откатиться по грейду. IT-специалист с опытом не хочет становиться "джуниором". Рынок считает иначе: 42 тысячи вакансий при 45-процентном дефиците кадров - компании готовы брать IT-инженеров и доучивать security-специфику на месте. Внутренний переход вообще решает проблему грейда - вы перемещаетесь не "в джуниоры", а "на новый трек" с сохранением уровня и зарплаты.
Как стать специалистом по ИБ - вопрос не таланта, а системного подхода на протяжении 6-12 месяцев. Откройте hh.ru прямо сейчас, найдите пять вакансий по целевой роли и выпишите общие требования. Это ваш настоящий roadmap - не чей-то чужой, а конкретно ваш. На курсе IB Basics эту базу можно собрать за пару месяцев, если нужна структура, а не самостоятельное блуждание по статьям.
Последнее редактирование модератором: