Ноутбук с терминалом на тёмном антистатическом коврике, рядом USB-устройства и учебник пентестера. Тёплый свет настольной лампы выхватывает сцену из глубоких угольных теней.


Три года назад я впервые проводил техническое интервью на позицию junior-пентестера. Из двадцати кандидатов ни один не смог объяснить, как работает TCP three-way handshake - зато у каждого в резюме значилось "прошёл курс по кибербезопасности". Знакомо?

С тех пор рынок вырос: по оценкам Positive Technologies, дефицит ИБ-специалистов в России - от 7 до 100 тысяч человек (в зависимости от методики подсчёта), а к 2027 году число вакансий увеличится в 1,5-1,6 раза. Вузы выпускают порядка 10 тысяч человек в год - не хватает. Но проблема не в количестве входящих, а в качестве подготовки. Ниже - roadmap, который закрывает разрыв между "хочу в пентест" и первым оффером: с зарплатными вилками, стоимостью сертификаций и требованиями, которые работодатели реально проверяют на собеседованиях.

Специальности в информационной безопасности: какие роли существуют

1783412684401.webp

Карьера в кибербезопасности - не одна профессия, а набор ролей с разным порогом входа и зарплатным потолком. Базовое деление - Red Team (атакующие) и Blue Team (защитники). Red Team - пентестеры, специалисты по анализу защищённости, операторы Red Team. Blue Team - аналитики SOC, инженеры по ИБ, специалисты по расследованию инцидентов и форензике. Подробнее - в нашем статье о карьера в кибербезопасности.

По данным анализа более 200 вакансий от Positive Education (Habr, 2024), основные направления карьеры:
  • Администрирование средств защиты информации (СЗИ) - самая частая точка входа
  • SOC и мониторинг безопасности
  • Управление уязвимостями
  • Пентест и Red Team
  • Безопасная разработка (DevSecOps)
  • Комплаенс и GRC (Governance, Risk, Compliance)
  • Форензика и расследование инцидентов
  • Защита КИИ (критической информационной инфраструктуры по ФЗ-187)
Между ролями возможны переходы. Администратор СЗИ, набравший 1-2 года опыта с конкретными продуктами вендоров, уходит в инженера ИБ, затем - в аналитика или пентестера. Обратный путь тоже работает: пентестер, уставший от проектной работы, переходит в архитектуру ИБ или управление. Для пентестера переход из администратора СЗИ - стандартная история: когда знаешь, как средства защиты работают изнутри, обходить их проще.

Зарплата ИБ специалиста: вилки по грейдам на российском рынке

Разброс зарплат в ИБ огромный, потому что под одним названием "специалист по информационной безопасности" работодатели подразумевают и документоведа по 152-ФЗ с зарплатой 40 000 рублей, и Red Team-оператора с вилкой от 300 000. Ниже - данные HeadHunter за 2024-2025 годы с разбивкой по опыту (по данным портала Cyber-Ed со ссылкой на HeadHunter).

ОпытВилка по РоссииМосква
Менее 1 года15 000 - 170 000 ₽от 70 000 ₽
1-3 года10 000 - 220 000 ₽в среднем 125 000 ₽
3-6 лет60 000 - 450 000 ₽до 250 000 ₽ (руководители)
Удалёнка (все грейды)30 000 - 480 000 ₽-

Почему вилки такие широкие? Junior-документовед в регионе и junior-пентестер в Москве - формально одинаковый опыт, но это разные рынки. Маркетинговые ориентиры от образовательных платформ (Junior - 80 000 ₽, Middle - 200 000 ₽, Senior - 400 000 ₽) ближе к реальности для offensive-ролей в крупных городах, но не для ИБ в целом.

Зарплата пентестера: контекст мирового рынка​

Для сравнения: по данным BLS (Bureau of Labor Statistics, May 2024), медианная зарплата Information Security Analyst в США - $124 910 в год. Glassdoor оценивает total pay для пентестеров в $150 376. Российский рынок при пересчёте кратно ниже, но пентестеры и здесь получают ближе к верхней границе ИБ-вилок. Главный фактор роста зарплаты - не количество сертификатов, а подтверждённый проектный опыт и портфолио из bug bounty или CTF.

Roadmap кибербезопасность 2026: как стать пентестером за 12 месяцев​

1783412782138.webp

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Практика: разверните уязвимые приложения (DVWA, Juice Shop, WebGoat) и ищите SQL-инъекции, XSS, IDOR вручную - до того, как откроете Burp Suite. Burp Suite - основной инструмент веб-пентестера, но зависимость от автоматики без понимания механики - путь в никуда. Я видел кандидатов, которые жмут "Scan" в Burp и ждут чуда, а руками не могут составить простейший UNION-запрос. Это уровень Exploit Public-Facing Application (T1190, Initial Access).

Месяцы 7-9: сетевой и инфраструктурный пентест​

Разведка: OSINT-инструменты (theHarvester, Recon-ng), сканирование с nmap (не только базовые сканы, но и NSE-скрипты, определение версий сервисов). Далее - Metasploit Framework: модули, пейлоады, хэндлеры, пост-эксплуатация. Но Metasploit - костыль для обучения, а не замена понимания. На реальном пентесте часто приходится писать кастомные скрипты на Python или Bash (Command and Scripting Interpreter, T1059, Execution).

Научитесь парсить вывод инструментов и автоматизировать рутину. Если вы до сих пор копируете каждую команду из туториала - вы не готовы. Пентестер, который не может написать скрипт для обработки вывода nmap - это как водитель, который не умеет переключать передачи.

Месяцы 10-12: Active Directory и пост-эксплуатация​

Active Directory - сердце корпоративной инфраструктуры и основная цель на внутренних пентестах. Kerberoasting, AS-REP Roasting, Pass-the-Hash, DCSync - эти техники нужно не просто знать, а уметь выполнять в условиях, когда на хосте работает EDR (и тут конкретика: поведение CrowdStrike Falcon и Kaspersky EDR Expert при DCSync - два разных мира). Сюда же входят техники OS Credential Dumping (T1003, Credential Access) и Brute Force (T1110, Credential Access).

Параллельно пишите отчёт по каждому упражнению. Качество отчётов напрямую влияет на трудоустройство - пентест-компании теряют клиентов из-за плохих отчётов чаще, чем из-за пропущенных уязвимостей.

Навыки ИБ инженера: что требуют в вакансиях пентестер 2026

По данным анализа вакансий Positive Education, типичные требования к junior-пентестеру на российском рынке:

Hard skills:
  • Администрирование GNU/Linux выше базового уровня (структура файловой системы, управление правами и службами, анализ логов)
  • Знание сетевых протоколов и инфраструктурных служб (AD, DNS, DHCP, NTP, GPO)
  • Опыт работы с SIEM-системами (MaxPatrol SIEM, ELK) - даже для offensive-роли
  • Скриптовые языки: Python, Bash, PowerShell
  • Опыт с инструментами: Burp Suite, Nmap, Metasploit, Wireshark
  • Знание OWASP Top 10 и MITRE ATT&CK
  • Опыт работы с отечественными СЗИ - отдельное требование, которое появилось после ухода западных вендоров
Soft skills:
  • Умение писать понятные отчёты - не формальность, а то, за что платят деньги
  • Работа в команде и коммуникация с заказчиком
  • Английский на уровне чтения технической документации - без этого вы отрезаны от 90% актуальных исследований
Обратите внимание: ни в одной вакансии не написано "сертификат CEH обязателен". Написано "опыт работы с конкретными продуктами" и "навыки скриптинга". Сертификаты - дополнение к навыкам, не замена.

Сертификаты по кибербезопасности: цены и корпоративная оплата​

Основные сертификации для offensive-трека с приблизительной стоимостью (по данным официальных сайтов, цены могут меняться):

СертификацияСтоимость (USD)Приблизительно (RUB)Для кого
CompTIA Security+~$400~35 000 ₽Базовый уровень, точка входа
CEH (EC-Council)$1 200 - $2 050100 000 - 180 000 ₽Формальное требование ряда вакансий
OSCP (OffSec)~$1 750 (Learn One)~150 000 ₽Золотой стандарт для пентестеров
GPEN (GIAC)~$2 500~220 000 ₽Альтернатива OSCP с акцентом на методологию

OSCP остаётся главным маркером для пентестеров на мировом рынке. На российском рынке его упоминают реже (чаще просят опыт с конкретными продуктами), но при работе на международных проектах или удалённых позициях - OSCP открывает двери.

Корпоративная оплата: как не платить из своего кармана​

Крупные ИБ-компании и банки практикуют компенсацию сертификаций. Типичные условия: работодатель оплачивает экзамен после испытательного срока с условием отработки 1-2 года. Увольняетесь раньше - возвращаете стоимость. Перед тем как платить из своего кармана, спросите на собеседовании: "Есть ли бюджет на обучение и сертификации?" В 2026 году это стандартный вопрос, и адекватный работодатель ответит конкретно.

С чего начать в кибербезопасности: три сценария входа

1783412810901.webp

Сценарий 1: из сисадмина или сетевого инженера (8-12 месяцев). Самый быстрый путь. У вас уже есть фундамент: сети, (GNU/Linux)/Windows, базовое понимание инфраструктуры. Фокус - на offensive-инструменты, веб-безопасность и методологию пентеста. Начинайте с фазы 2 roadmap (веб-безопасность).

Сценарий 2: из разработки (8-12 месяцев). Преимущество - скриптинг и понимание кода. Слабое место - сети и инфраструктура. Пройдите фазу 1 roadmap (сети и ОС), затем сразу переходите к веб-пентесту - ваш опыт разработки даст фору в понимании уязвимостей приложений. Я знаю нескольких пентестеров, пришедших из бэкенд-разработки, - они находят логические баги там, где "классические" пентестеры запускают сканер и идут дальше.

Сценарий 3: без IT-бэкграунда (12-18 месяцев). Самый длинный путь, но реальный. Начните с основ: базовое администрирование GNU/Linux (поставьте Ubuntu, научитесь жить в терминале), затем сети (получите представление о модели OSI на практике, а не в теории). Только после этого переходите к ИБ-специфике. Попытка "сразу в пентест" без фундамента - потеря времени и денег.

Во всех трёх сценариях параллельно с обучением делайте две вещи: решайте задачи на CTF-платформах (формирует портфолио) и пишите writeup по каждому решению (формирует навык отчётности). На собеседовании ссылка на GitHub с writeup-ами весит больше, чем строчка "прослушал курс".

Дефицит на рынке - факт, но он не отменяет конкуренции на конкретную вакансию. На одну позицию junior-пентестера в московской ИБ-компании приходят десятки откликов, и выигрывает не тот, у кого больше сертификатов, а тот, кто может сесть за клавиатуру и показать результат. Я провёл за последние два года более тридцати технических интервью и вижу один устойчивый паттерн: кандидаты, которые решили 50+ задач на CTF-платформах и могут объяснить свой подход, получают оффер. Кандидаты с тремя курсами в резюме, но без единого самостоятельно найденного бага - нет. Рынок платит за руки, а не за дипломы.

Roadmap выше - минимальный маршрут, который работает при условии ежедневной практики. Если сократить его до "посмотрю видео по выходным" - растяните 12 месяцев на три года и потеряете мотивацию на полпути. Если ищете джуниор-роль - IB Basics на codeby.school плюс пара решённых лаб дают что показать на техническом интервью.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab