Ночной зал SOC: монитор с журналом событий Windows и строками ошибок входа, рядом учебник по кибербезопасности и кружка кофе. Тёплый свет лампы, тёмная атмосфера.


Два года я администрировал Windows-инфраструктуру на 800 хостов: GPO, WSUS, Exchange, файловые шары с квотами. В один из дежурных вечеров Event Viewer показал серию событий 4625 - неудачные попытки входа с одного IP на три контроллера домена за 12 минут. Классический Brute Force (T1110, Credential Access). Заблокировал источник на файрволе, собрал логи, написал отчёт для руководства - всё на навыках сисадмина, без единого курса по ИБ.
Рассказ сисадмина от первого лица
Через шесть месяцев я работал в SOC. Переход в информационную безопасность из смежной IT-специальности - не прыжок в пустоту, а логичный шаг. Ниже - конкретный план, как его сделать.

Почему IT-бэкграунд - это не ноль, а фора​

По данным anti-malware.ru, за первые четыре месяца 2025 года компании разместили 42 тысячи вакансий в сфере кибербезопасности. Дефицит специалистов - 45%, рынку не хватает примерно 50 тысяч человек. При этом из десяти соискателей лишь один проходит техническое собеседование. Подробнее - в нашем материале про карьера в кибербезопасности.

Парадокс: компании ищут людей, которые понимают, как работает инфраструктура. Кандидат с тремя годами в Active Directory знает, почему Kerberoasting работает - ему не нужно объяснять, что такое SPN. Разработчик, написавший сотню API-эндпоинтов, увидит SQL-инъекцию в коде коллеги быстрее, чем выпускник трёхмесячного курса "ИБ с нуля". DevOps-инженер, настроивший CI/CD-пайплайн в проде, за день прикрутит SAST-сканер - потому что знает, куда вставить stage.

Войти в кибербезопасность из смежной IT-области - не "начать сначала". Это переключить оптику: те же системы, те же протоколы, но теперь вы смотрите на них глазами атакующего или защитника.

Карта навыков: что переносится из IT в кибербезопасность​

1784219062537.webp

Каждая IT-специальность покрывает от 30 до 60% требований конкретной ИБ-роли. Ниже - честная карта: что уже работает, что нужно добрать и за какое время реально перейти.

Из сисадмина в SOC-аналитика или Security Engineer​

Самый прямой маршрут из смежных специальностей для ИБ. Сисадмин уже работает с тем, что SOC-аналитик разгребает ежедневно.

Навыки, которые переносятся напрямую:
  • Active Directory, GPO, управление учётными записями - примерно 40% работы SOC-аналитика при расследовании инцидентов с учётными данными (Valid Accounts, T1078)
  • Event Viewer, Windows-логи - прямой аналог работы с SIEM, разница в масштабе и интерфейсе
  • PowerShell и Bash - основа автоматизации детекта и реагирования (Command and Scripting Interpreter, T1059)
  • Понимание сетевой топологии, DNS, DHCP - без этого анализ сетевых инцидентов превращается в гадание
Что нужно добрать (3-6 месяцев):
  • SIEM-системы: Splunk, ELK/OpenSearch или MaxPatrol SIEM. Принцип одинаковый - различается синтаксис запросов
  • Фреймворк MITRE ATT&CK - по сути систематизация того, что сисадмин и так видит в логах, но без единой классификации
  • Процедуры реагирования на инциденты (Incident Response playbooks)
  • Базовое понимание типичных атак: фишинг (T1566, Initial Access), брутфорс (T1110), эксплуатация публичных сервисов (T1190)
Стартовая зарплата: 70-110 тыс. руб. для SOC-аналитика L1, по данным anti-malware.ru. С опытом сисадминства можно претендовать на L2 или позицию Security Engineer - 120-160 тыс. руб.

Из разработчика в пентестера или AppSec-инженера​

Разработчик видит код изнутри. Это преимущество, которое не получишь на курсах за три месяца.

Навыки, которые переносятся напрямую:
  • Чтение кода на Python, Java, JavaScript - основа code review и поиска уязвимостей в исходниках
  • Понимание HTTP, REST API, механизмов аутентификации - прямой вход в тестирование веб-приложений
  • Работа с базами данных и SQL - понимание SQL-инъекций на уровне механики, а не по описанию из учебника
  • Отладка и реверс-инжиниринг логики приложений
Что нужно добрать (4-8 месяцев):
  • OWASP Top 10 и OWASP Testing Guide - структурированный подход к поиску уязвимостей (по данным OWASP, 94% приложений содержат ту или иную форму broken access control)
  • Инструменты: Burp Suite для перехвата и анализа HTTP-трафика, nmap для обнаружения сетевых сервисов (Network Service Discovery, T1046)
  • Методология пентеста: не просто "найти баг", а выстроить цепочку атаки от входа до импакта
  • Secure Development Lifecycle (SDL) - для AppSec-трека
Стартовая зарплата: 80-130 тыс. руб. для junior-пентестера, 100-150 тыс. руб. для AppSec-инженера.

Из DevOps в DevSecOps​

Самый быстрый переход. DevSecOps - это DevOps с интеграцией security-стадий в пайплайн. Если вы уже настраиваете CI/CD, прикрутить security-gate - вопрос дней, а не месяцев.

Навыки, которые переносятся напрямую:
  • CI/CD (GitLab CI, Jenkins, GitHub Actions) - место интеграции SAST/DAST-сканеров
  • Docker, Kubernetes - контейнерная безопасность начинается с понимания архитектуры
  • Infrastructure as Code (Terraform, Ansible) - аудит и hardening инфраструктуры через код
  • Мониторинг (Prometheus, Grafana, ELK) - security monitoring строится на том же стеке
Что нужно добрать (2-4 месяца):
  • SAST/DAST-инструменты: Semgrep, Trivy, OWASP ZAP - они встраиваются в уже знакомые пайплайны
  • Container security: сканирование образов, сетевые политики в K8s
  • Compliance as Code: OPA/Rego для политик безопасности
  • Threat modeling для архитектурных решений
Стартовая зарплата: 130-200 тыс. руб. DevSecOps - одна из самых высокооплачиваемых точек входа, потому что спрос радикально превышает предложение.

Из сетевого инженера в специалиста по сетевой безопасности​

Сетевик понимает, как ходят пакеты - а значит, понимает, где их можно перехватить, перенаправить или заблокировать.

Навыки, которые переносятся напрямую:
  • TCP/IP, маршрутизация, коммутация - фундамент сетевых атак и защиты
  • Настройка файрволов, ACL, VPN - прямая работа с периметром безопасности
  • Wireshark и анализ трафика - один из главных навыков для форензики и threat hunting
  • Понимание DNS, DHCP, ARP - знание, где возможны атаки на уровне протоколов (ARP-спуфинг, DNS-poisoning - это всё ваша территория)
Что нужно добрать (3-5 месяцев):
  • IDS/IPS: Suricata, Snort - правила детектирования сетевых атак
  • Сетевой форензик: анализ PCAP-дампов, корреляция с логами SIEM
  • Знание типичных сетевых атак: ARP-спуфинг, DNS-poisoning, MITM
  • Zero Trust архитектура и микросегментация
Стартовая зарплата: 90-140 тыс. руб. для Network Security Engineer.

Какой путь выбрать: decision tree для смены профессии в ИБ​

Выбор маршрута зависит от текущего стека и предпочтений - ломать или защищать.

Ваш текущий стекНавык-мостЦелевая рольСрок переходаПервый конкретный шаг
Windows/(GNU/Linux)-сисадминAD, логи, PowerShellSOC-аналитик, Security Engineer3-6 мес.Развернуть Wazuh, написать 5 detection rules
Разработчик (Python/Java/JS)Код, API, SQLПентестер, AppSec4-8 мес.Пройти OWASP Juice Shop, решить 20 задач
DevOps/SRECI/CD, Docker, K8sDevSecOps2-4 мес.Интегрировать Trivy + Semgrep в рабочий пайплайн
Сетевой инженерTCP/IP, файрволы, WiresharkNetwork Security3-5 мес.Настроить Suricata, разобрать 10 PCAP-дампов

Если не можете определиться между offensive (пентест) и defensive (SOC, blue team) - начните с defensive. Позиций SOC-аналитиков и security-инженеров на рынке в 3-4 раза больше, чем пентестеров. Навыки blue team дают фундамент, с которого потом можно перейти в offensive.

План перехода в кибербезопасность по месяцам​

1784219098096.webp

Месяцы 1-3: фундамент и переориентация​

На этом этапе вы не уходите с текущей работы. Вы перенастраиваете взгляд на уже знакомые вещи.

Конкретные действия:
  1. Просмотрите 50-100 вакансий по целевой роли на hh.ru. Выпишите повторяющиеся требования - это ваш реальный roadmap кибербезопасности, а не абстрактные схемы из интернета
  2. Начните разбираться с MITRE ATT&CK - не зубрить все 200+ техник, а разобрать 10-15 самых частых для выбранного направления
  3. Поставьте home lab (требования к окружению ниже) и начните практиковаться
  4. Вступите в профильные сообщества: форум Codeby, Telegram-каналы по ИБ, профильные чаты. Нетворкинг работает: по оценкам рынка, до 30% позиций закрываются через рекомендации
Время: 5-10 часов в неделю параллельно с основной работой.

Месяцы 4-6: специализация и практика на стендах​

Здесь вы набираете портфолио и переходите от изучения к действию.

Конкретные действия:
  1. Решайте задачи на платформах: TryHackMe для структурированного старта, затем CTF-задачи task-based формата
  2. Пишите write-up по каждому решению и публикуйте на GitHub или в блоге - это портфолио, которое увидит работодатель
  3. Offensive-трек: попробуйте баг-баунти на российских платформах (Standoff 365, BI.ZONE Bug Bounty). Один найденный баг - строчка в резюме, которая весит тяжелее любого сертификата
  4. Defensive-трек: настройте detection rules в своём SIEM, оформите как проект - описание угрозы, логика детекта, тестовый кейс
Время: 10-15 часов в неделю. К концу этапа у вас - 3-5 оформленных проектов.

Месяцы 7-12: портфолио и выход на рынок​

Конкретные действия:
  1. Сдайте один практический сертификат (подробности ниже) - это сигнал рынку, что вы не просто читали статьи
  2. Обновите резюме: IT-опыт теперь подаётся через призму безопасности. "Администрировал AD на 800 хостов" превращается в "Управлял инфраструктурой идентификации, настраивал политики аудита событий безопасности, обеспечивал соответствие требованиям по защите учётных данных"
  3. Откликайтесь на стажировки: "Лаборатория Касперского", Positive Technologies, BI.ZONE, Solar регулярно набирают стажёров с IT-бэкграундом
  4. Рассмотрите внутренний переход: предложите текущему работодателю взять задачи по безопасности. Многие компании поддерживают такую смену профессии в ИБ - дешевле вырастить своего, чем нанимать с рынка

Сертификаты ИБ для начинающих: что реально ценится при каком бэкграунде​

Сертификаты - не самоцель, а инструмент. Для смены специальности важны практические сертификации, а не тесты с вариантами ответов.

СертификатСтоимость экзаменаФорматДля какого бэкграунда
CompTIA Security+~$404 (~36 000 руб.)Тест + Performance-Based QuestionsВсе направления, базовый уровень
eJPT (INE Security)~$249 (~22 000 руб.)Практическая лаба, 48 часовРазработчики, начинающие пентестеры
CompTIA CySA+~$404 (~36 000 руб.)Тест + PBQSOC-аналитики, сисадмины
OSCP (OffSec)~$1 749 (~157 000 руб.)Практический экзамен, 24 часаПентестеры с опытом 6+ мес.

Цены приблизительные, актуальны на середину 2025 года. Перед покупкой проверяйте на официальных сайтах вендоров.

Стратегия по бэкграунду:
  • Сисадмин -> Security+ или CySA+ первым, при желании позже OSCP
  • Разработчик -> eJPT как стартовый, затем OSCP или Burp Suite Certified Practitioner
  • DevOps -> CKS (Certified Kubernetes Security Specialist, ~$395 / ~35 500 руб.) - хорошо ложится на существующий стек
  • Сетевой инженер -> CySA+ или Security+, затем профильные вендорские (Fortinet NSE, Palo Alto PCNSA)
Как договориться о корпоративной оплате. Многие работодатели компенсируют стоимость сертификаций - полностью или частично. Типичные условия: оплата после успешной сдачи, обязательство отработать 1-2 года после получения. Positive Technologies, "Лаборатория Касперского", Сбер, BI.ZONE практикуют такой подход. Аргумент для руководства: сертифицированный сотрудник закрывает требования регуляторов (ФЗ-152, приказы ФСТЭК) и снижает риски при аудитах. На практике достаточно написать обоснование на одну страницу с расчётом ROI - работает в 60-70% случаев.

Home lab для перехода в ИБ: минимальный стенд​

Требования к окружению:
  • RAM: минимум 8 ГБ (1–2 VM: Kali + Metasploitable или DVWA), рекомендуется 16 ГБ (AD-полигон с контроллером домена и двумя рабочими станциями)
  • CPU: 4 ядра с поддержкой аппаратной виртуализации (VT-x / AMD-V)
  • Диск: 100 ГБ свободного пространства, SSD для комфортной работы с несколькими VM
  • Гипервизор: VirtualBox (бесплатно, кросс-платформенный) или VMware Workstation Player
  • Интернет: нужен для скачивания образов, дальнейшая работа - offline
Сценарии по треку:

SOC/Blue Team (для сисадминов): Windows Server 2019 + Windows 10 + Wazuh (бесплатный SIEM). Подключите Windows-логи к Wazuh, настройте 5-10 правил детектирования по MITRE ATT&CK и проверьте их, запустив имитацию атаки с Kali Linux. На 8 ГБ RAM будет тесновато - Wazuh + Windows Server + Kali хотят минимум 12 ГБ для комфортной работы.

Пентест (для разработчиков): Kali Linux + DVWA или OWASP Juice Shop. Пройдите все задания DVWA от уровня low до impossible, задокументируйте каждую найденную уязвимость с описанием импакта. Juice Shop интереснее - там уязвимости ближе к реальным приложениям, а не к учебным примерам.

DevSecOps: GitLab CE (self-hosted) с пайплайном, содержащим Trivy (сканер контейнерных образов) и Semgrep (SAST). Настройте fail-on-critical и напишите custom-правило Semgrep для своего стека. Здесь 16 ГБ RAM - минимум, GitLab CE сам по себе прожорливый.

Сетевая безопасность: GNS3 или EVE-NG + Suricata на Linux-VM. Сгенерируйте трафик с помощью nmap, проанализируйте алерты Suricata и напишите кастомное правило под конкретный паттерн атаки.

Ошибки при переквалификации в кибербезопасность, которые стоят месяцев​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Большинство IT-специалистов переоценивают разрыв между своими текущими навыками и тем, что нужно для карьеры в кибербезопасности. За время работы в SOC я участвовал в отборе десятков кандидатов из IT - и вижу один устойчивый паттерн. Сисадмин с тремя годами в AD знает про атаки на инфраструктуру идентификации больше, чем выпускник полугодового курса - просто ещё не осознаёт, что это знание ценно. Разработчик, который каждый день пишет API, понимает injection-уязвимости на уровне, недоступном теоретику.

Настоящий барьер - не технический gap, а страх откатиться по грейду. IT-специалист с опытом не хочет становиться "джуниором". Рынок считает иначе: 42 тысячи вакансий при 45-процентном дефиците кадров - компании готовы брать IT-инженеров и доучивать security-специфику на месте. Внутренний переход вообще решает проблему грейда - вы перемещаетесь не "в джуниоры", а "на новый трек" с сохранением уровня и зарплаты.

Как стать специалистом по ИБ - вопрос не таланта, а системного подхода на протяжении 6-12 месяцев. Откройте hh.ru прямо сейчас, найдите пять вакансий по целевой роли и выпишите общие требования. Это ваш настоящий roadmap - не чей-то чужой, а конкретно ваш. На курсе IB Basics эту базу можно собрать за пару месяцев, если нужна структура, а не самостоятельное блуждание по статьям.
 
Последнее редактирование модератором:
  • Нравится
Реакции: nhkfan
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab