Три года назад я впервые проводил техническое интервью на позицию junior-пентестера. Из двадцати кандидатов ни один не смог объяснить, как работает TCP three-way handshake - зато у каждого в резюме значилось "прошёл курс по кибербезопасности". Знакомо?
С тех пор рынок вырос: по оценкам Positive Technologies, дефицит ИБ-специалистов в России - от 7 до 100 тысяч человек (в зависимости от методики подсчёта), а к 2027 году число вакансий увеличится в 1,5-1,6 раза. Вузы выпускают порядка 10 тысяч человек в год - не хватает. Но проблема не в количестве входящих, а в качестве подготовки. Ниже - roadmap, который закрывает разрыв между "хочу в пентест" и первым оффером: с зарплатными вилками, стоимостью сертификаций и требованиями, которые работодатели реально проверяют на собеседованиях.
Специальности в информационной безопасности: какие роли существуют
Карьера в кибербезопасности - не одна профессия, а набор ролей с разным порогом входа и зарплатным потолком. Базовое деление - Red Team (атакующие) и Blue Team (защитники). Red Team - пентестеры, специалисты по анализу защищённости, операторы Red Team. Blue Team - аналитики SOC, инженеры по ИБ, специалисты по расследованию инцидентов и форензике. Подробнее - в нашем статье о карьера в кибербезопасности.
По данным анализа более 200 вакансий от Positive Education (Habr, 2024), основные направления карьеры:
- Администрирование средств защиты информации (СЗИ) - самая частая точка входа
- SOC и мониторинг безопасности
- Управление уязвимостями
- Пентест и Red Team
- Безопасная разработка (DevSecOps)
- Комплаенс и GRC (Governance, Risk, Compliance)
- Форензика и расследование инцидентов
- Защита КИИ (критической информационной инфраструктуры по ФЗ-187)
Зарплата ИБ специалиста: вилки по грейдам на российском рынке
Разброс зарплат в ИБ огромный, потому что под одним названием "специалист по информационной безопасности" работодатели подразумевают и документоведа по 152-ФЗ с зарплатой 40 000 рублей, и Red Team-оператора с вилкой от 300 000. Ниже - данные HeadHunter за 2024-2025 годы с разбивкой по опыту (по данным портала Cyber-Ed со ссылкой на HeadHunter).| Опыт | Вилка по России | Москва |
|---|---|---|
| Менее 1 года | 15 000 - 170 000 ₽ | от 70 000 ₽ |
| 1-3 года | 10 000 - 220 000 ₽ | в среднем 125 000 ₽ |
| 3-6 лет | 60 000 - 450 000 ₽ | до 250 000 ₽ (руководители) |
| Удалёнка (все грейды) | 30 000 - 480 000 ₽ | - |
Почему вилки такие широкие? Junior-документовед в регионе и junior-пентестер в Москве - формально одинаковый опыт, но это разные рынки. Маркетинговые ориентиры от образовательных платформ (Junior - 80 000 ₽, Middle - 200 000 ₽, Senior - 400 000 ₽) ближе к реальности для offensive-ролей в крупных городах, но не для ИБ в целом.
Зарплата пентестера: контекст мирового рынка
Для сравнения: по данным BLS (Bureau of Labor Statistics, May 2024), медианная зарплата Information Security Analyst в США - $124 910 в год. Glassdoor оценивает total pay для пентестеров в $150 376. Российский рынок при пересчёте кратно ниже, но пентестеры и здесь получают ближе к верхней границе ИБ-вилок. Главный фактор роста зарплаты - не количество сертификатов, а подтверждённый проектный опыт и портфолио из bug bounty или CTF.Roadmap кибербезопасность 2026: как стать пентестером за 12 месяцев
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Практика: разверните уязвимые приложения (DVWA, Juice Shop, WebGoat) и ищите SQL-инъекции, XSS, IDOR вручную - до того, как откроете Burp Suite. Burp Suite - основной инструмент веб-пентестера, но зависимость от автоматики без понимания механики - путь в никуда. Я видел кандидатов, которые жмут "Scan" в Burp и ждут чуда, а руками не могут составить простейший UNION-запрос. Это уровень Exploit Public-Facing Application (T1190, Initial Access).
Месяцы 7-9: сетевой и инфраструктурный пентест
Разведка: OSINT-инструменты (theHarvester, Recon-ng), сканирование сnmap (не только базовые сканы, но и NSE-скрипты, определение версий сервисов). Далее - Metasploit Framework: модули, пейлоады, хэндлеры, пост-эксплуатация. Но Metasploit - костыль для обучения, а не замена понимания. На реальном пентесте часто приходится писать кастомные скрипты на Python или Bash (Command and Scripting Interpreter, T1059, Execution).Научитесь парсить вывод инструментов и автоматизировать рутину. Если вы до сих пор копируете каждую команду из туториала - вы не готовы. Пентестер, который не может написать скрипт для обработки вывода
nmap - это как водитель, который не умеет переключать передачи.Месяцы 10-12: Active Directory и пост-эксплуатация
Active Directory - сердце корпоративной инфраструктуры и основная цель на внутренних пентестах. Kerberoasting, AS-REP Roasting, Pass-the-Hash, DCSync - эти техники нужно не просто знать, а уметь выполнять в условиях, когда на хосте работает EDR (и тут конкретика: поведение CrowdStrike Falcon и Kaspersky EDR Expert при DCSync - два разных мира). Сюда же входят техники OS Credential Dumping (T1003, Credential Access) и Brute Force (T1110, Credential Access).Параллельно пишите отчёт по каждому упражнению. Качество отчётов напрямую влияет на трудоустройство - пентест-компании теряют клиентов из-за плохих отчётов чаще, чем из-за пропущенных уязвимостей.
Навыки ИБ инженера: что требуют в вакансиях пентестер 2026
По данным анализа вакансий Positive Education, типичные требования к junior-пентестеру на российском рынке:Hard skills:
- Администрирование GNU/Linux выше базового уровня (структура файловой системы, управление правами и службами, анализ логов)
- Знание сетевых протоколов и инфраструктурных служб (AD, DNS, DHCP, NTP, GPO)
- Опыт работы с SIEM-системами (MaxPatrol SIEM, ELK) - даже для offensive-роли
- Скриптовые языки: Python, Bash, PowerShell
- Опыт с инструментами: Burp Suite, Nmap, Metasploit, Wireshark
- Знание OWASP Top 10 и MITRE ATT&CK
- Опыт работы с отечественными СЗИ - отдельное требование, которое появилось после ухода западных вендоров
- Умение писать понятные отчёты - не формальность, а то, за что платят деньги
- Работа в команде и коммуникация с заказчиком
- Английский на уровне чтения технической документации - без этого вы отрезаны от 90% актуальных исследований
Сертификаты по кибербезопасности: цены и корпоративная оплата
Основные сертификации для offensive-трека с приблизительной стоимостью (по данным официальных сайтов, цены могут меняться):| Сертификация | Стоимость (USD) | Приблизительно (RUB) | Для кого |
|---|---|---|---|
| CompTIA Security+ | ~$400 | ~35 000 ₽ | Базовый уровень, точка входа |
| CEH (EC-Council) | $1 200 - $2 050 | 100 000 - 180 000 ₽ | Формальное требование ряда вакансий |
| OSCP (OffSec) | ~$1 750 (Learn One) | ~150 000 ₽ | Золотой стандарт для пентестеров |
| GPEN (GIAC) | ~$2 500 | ~220 000 ₽ | Альтернатива OSCP с акцентом на методологию |
OSCP остаётся главным маркером для пентестеров на мировом рынке. На российском рынке его упоминают реже (чаще просят опыт с конкретными продуктами), но при работе на международных проектах или удалённых позициях - OSCP открывает двери.
Корпоративная оплата: как не платить из своего кармана
Крупные ИБ-компании и банки практикуют компенсацию сертификаций. Типичные условия: работодатель оплачивает экзамен после испытательного срока с условием отработки 1-2 года. Увольняетесь раньше - возвращаете стоимость. Перед тем как платить из своего кармана, спросите на собеседовании: "Есть ли бюджет на обучение и сертификации?" В 2026 году это стандартный вопрос, и адекватный работодатель ответит конкретно.С чего начать в кибербезопасности: три сценария входа
Сценарий 1: из сисадмина или сетевого инженера (8-12 месяцев). Самый быстрый путь. У вас уже есть фундамент: сети, (GNU/Linux)/Windows, базовое понимание инфраструктуры. Фокус - на offensive-инструменты, веб-безопасность и методологию пентеста. Начинайте с фазы 2 roadmap (веб-безопасность).
Сценарий 2: из разработки (8-12 месяцев). Преимущество - скриптинг и понимание кода. Слабое место - сети и инфраструктура. Пройдите фазу 1 roadmap (сети и ОС), затем сразу переходите к веб-пентесту - ваш опыт разработки даст фору в понимании уязвимостей приложений. Я знаю нескольких пентестеров, пришедших из бэкенд-разработки, - они находят логические баги там, где "классические" пентестеры запускают сканер и идут дальше.
Сценарий 3: без IT-бэкграунда (12-18 месяцев). Самый длинный путь, но реальный. Начните с основ: базовое администрирование GNU/Linux (поставьте Ubuntu, научитесь жить в терминале), затем сети (получите представление о модели OSI на практике, а не в теории). Только после этого переходите к ИБ-специфике. Попытка "сразу в пентест" без фундамента - потеря времени и денег.
Во всех трёх сценариях параллельно с обучением делайте две вещи: решайте задачи на CTF-платформах (формирует портфолио) и пишите writeup по каждому решению (формирует навык отчётности). На собеседовании ссылка на GitHub с writeup-ами весит больше, чем строчка "прослушал курс".
Дефицит на рынке - факт, но он не отменяет конкуренции на конкретную вакансию. На одну позицию junior-пентестера в московской ИБ-компании приходят десятки откликов, и выигрывает не тот, у кого больше сертификатов, а тот, кто может сесть за клавиатуру и показать результат. Я провёл за последние два года более тридцати технических интервью и вижу один устойчивый паттерн: кандидаты, которые решили 50+ задач на CTF-платформах и могут объяснить свой подход, получают оффер. Кандидаты с тремя курсами в резюме, но без единого самостоятельно найденного бага - нет. Рынок платит за руки, а не за дипломы.
Roadmap выше - минимальный маршрут, который работает при условии ежедневной практики. Если сократить его до "посмотрю видео по выходным" - растяните 12 месяцев на три года и потеряете мотивацию на полпути. Если ищете джуниор-роль - IB Basics на codeby.school плюс пара решённых лаб дают что показать на техническом интервью.
Последнее редактирование модератором: