За последние два года я прошёл три платных курса по кибербезопасности. Параллельно работал - сначала разгребал алерты в SOC, потом перешёл во внутренний пентест. И вот что я понял за это время: большинство обзоров курсов ИБ пишут люди, которые ни разу не открывали
msfconsole на рабочем проекте. Они копируют описания с лендингов, сравнивают ценники и делают выводы из маркетинговых обещаний. А потом студент приходит на первый реальный пентест - и обнаруживает, что половина изученного оказалась мёртвым грузом.Здесь я разбираю четыре российские программы обучения кибербезопасности 2025 года - Codeby Academy, OTUS, Skillfactory и Нетологию - через призму человека, который одновременно учился и работал. Не «какой курс дешевле», а «после какого курса вы способны провести пентест от разведки до отчёта и не получить его назад с пометкой "переделать"».
Рынок подтверждает спрос: только за первый квартал 2025 года в России открылось 41 800 вакансий в сфере кибербезопасности - почти половина от общего числа за весь 2024 год. Медианная зарплата пентестера на начальных позициях - 80 000–110 000 рублей. Масштаб утечек растёт: по данным Have I Been Pwned, комбо-лист Exploit.In содержит около 593 миллионов уникальных учётных записей, а утечка LinkedIn затронула около 164,6 миллиона. Компании нанимают, потому что цена бездействия стала слишком высокой.
Почему типичные сравнения курсов ИБ не помогают выбрать
Откройте любой обзор лучших курсов по информационной безопасности - увидите одно и то же: название, цена, длительность, пара абзацев из описания на сайте школы. Иногда - скриншот программы и ссылка на отзывы. Формально полезно, практически - бесполезно.Проблема первая: сравнивают маркетинг, а не содержание. Школа пишет «80% практики» - но что считается практикой? Тест с вариантами ответов после видеолекции? Или самостоятельная эксплуатация уязвимости на стенде с поднятым Active Directory, где нужно пройти от начальной точки до доменного администратора? Разница - как между чтением книги про плавание и заплывом через реку.
Проблема вторая: игнорируют привязку к рабочим задачам. Курс может прекрасно объяснять модель OSI, но если после него вы не способны провести разведку цели через
nmap -sV -sC, составить скоуп и приоритизировать найденные сервисы - на собеседовании это вскроется за пять минут.Проблема третья: не учитывают подготовку к международным сертификациям. Для работодателя OSCP (Offensive Security Certified Professional) или eJPT - конкретный сигнал уровня. Подписка OffSec Learn One (курс PEN-200, лабораторный доступ и попытка экзамена OSCP) стоит от $2 599/год, а CEH от EC-Council - от $550 за экзаменационный ваучер до ~$1 199 за полный пакет с обучением. Курс без привязки к сертификации оставляет вас с дипломом, который не значит ничего за пределами одной школы.
Проблема четвёртая: не сопоставляют программу с реальными фреймворками атак. Хороший курс по пентесту должен учить моделировать атаки по тактикам MITRE ATT&CK: от разведки через Phishing for Information (T1598, Reconnaissance) до первичного доступа через Phishing (T1566, Initial Access) и выполнения через User Execution (T1204, Execution). Если курс не использует эту терминологию - программа оторвана от индустриальных стандартов. Точка.
Критерии оценки: как практик выбирает курс по кибербезопасности
После трёх пройденных курсов и полутора лет в поле я сформулировал шесть критериев, по которым оцениваю любую программу обучения пентесту онлайн. По ним и буду разбирать каждую из четырёх школ.
Доля реальной практики на стендах. Не тесты, не квизы - работа в лабораторной среде, где вы сами сканируете, эксплуатируете и документируете. В идеале - 50% и выше от общего объёма. На моём первом рабочем проекте пригодилось только то, что я делал руками. Всё, что было «посмотрел видео - ответил на вопрос», испарилось через неделю.
Глубина лабораторного стенда. Одно дело - уязвимая машина с одним открытым портом и очевидным эксплойтом. Другое - стенд с доменной инфраструктурой, несколькими сегментами сети и реалистичными мисконфигурациями. Второе готовит к работе, первое - к CTF начального уровня.
Подготовка к признанным сертификациям. OSCP, eJPT, CompTIA PenTest+ ($404 за ваучер экзамена) - конкретные маркеры. Если курс явно готовит к одному из них, ваши шансы на трудоустройство выше.
Формат обратной связи от куратора. Есть ли ревью ваших отчётов? Проверяют ли лабораторные? Или обратная связь - это автоматическая проверка флагов? На реальном пентесте 60% работы - это отчёт. Умение его писать формируется только через живую обратную связь, а не через зелёную галочку в интерфейсе.
Актуальность программы. Покрывает ли курс современные техники? По данным OWASP, Broken Access Control (A01:2021) имеет incidence rate до 94% среди связанных CWE - самая распространённая категория уязвимостей. Программа, которая игнорирует веб-вектор, неполная по определению.
Стоимость часа обучения. Не общая цена, а цена за академический час. Курс за 156 000 рублей может быть дешевле курса за 85 000, если в первом втрое больше часов. Эта метрика помогает сравнивать объективно, а не на уровне «дорого/дёшево».
Codeby Academy: обучение пентесту онлайн с фокусом на практику
Программа «Специалист по тестированию на проникновение» - 540 академических часов за 10 месяцев. Стоимость: 123 990 рублей. Формат - текстовые и видеоуроки плюс практикум на виртуальных стендах.Что внутри программы
Курс покрывает полный цикл пентеста: от разведки и сбора информации до эксплуатации уязвимостей и пост-эксплуатации. В программе - углублённая работа с Linux, инструменты Metasploit и Burp Suite, отдельный акцент на подготовку к OSCP. Из четырёх рассматриваемых курсов это единственный, который явно заявляет подготовку к международной сертификации.Заявленная доля практики - около 80%. По моему опыту, это близко к реальности: бо́льшая часть обучения построена на лабораторных стендах, а не на просмотре записей. Вы получаете виртуальные машины и задания, которые нужно решить самостоятельно - никто за руку не ведёт.
Сильные стороны
Высокая концентрация практики за короткий срок. Десять месяцев - серьёзный темп, но после курса у вас будет портфолио выполненных задач и опыт работы с инструментами, которые реально используются в индустрии. Подготовка к OSCP - весомое преимущество для тех, кто метит именно в offensive security.Ограничения
Курс требует базовых знаний о сетях и Linux. Если вы никогда не работали в терминале - будет тяжело, мягко говоря. Четырёхмесячный формат подразумевает интенсивную нагрузку - совмещать с полной занятостью можно, но потребуется дисциплина и готовность жертвовать вечерами. Ближайший поток стартует 25 мая 2026 года.OTUS: кибербезопасность с уклоном в Active Directory и SIEM
Программа «Пентест. Практика тестирования на проникновение» - около 220 академических часов. Стоимость: от 85 000 до 110 000 рублей. Формат - лекции плюс лабораторные работы.Что внутри программы
OTUS делает акцент на направлениях, которые другие курсы покрывают поверхностно: безопасность Active Directory, работа с SIEM-системами и элементы low-level разработки. Программа включает изучение инструментов атак и построение понимания механики угроз на более глубоком уровне - не просто «запусти скрипт», а «пойми, что происходит под капотом».Сильные стороны
Если ваша цель - не чистый веб-пентест, а работа с корпоративной инфраструктурой, OTUS даёт более глубокое погружение в AD. Понимание Kerberos-атак, делегирования и групповых политик - это то, что пригождается на внутренних пентестах крупных компаний. Лично для меня именно AD-часть оказалась самой применимой на рабочих проектах. Ценовой диапазон - один из самых доступных среди рассматриваемых программ.Ограничения
Нет явной привязки к международным сертификациям. Доля практики в общем объёме не заявлена так чётко, как у Codeby - и это настораживает. Формат лекций может означать бо́льшую долю пассивного обучения - уточняйте это до покупки, а не после. Курс тоже требует базовой подготовки в IT.Skillfactory: обучение этичному хакингу за 13 месяцев
Программа «Белый хакер (этичный пентест)» - 13 месяцев обучения. Стоимость: около 156 000 рублей. Формат - онлайн с менторской поддержкой.Что внутри программы
Skillfactory покрывает веб-атаки, безопасность беспроводных сетей и инфраструктурный пентест. Отдельная фишка - менторская поддержка, которая может быть ценной для тех, кому нужна регулярная обратная связь от живого эксперта, а не от автопроверки.Сильные стороны
Длительный формат позволяет осваивать материал без авральных темпов. Менторская модель полезна для тех, кто переходит из смежных IT-профессий (тестирование, разработка) и нуждается в структурированном сопровождении. Покрытие беспроводных сетей - относительно редкая тема среди российских курсов, и если вам интересен Wi-Fi-пентест, это плюс.Ограничения
Самая высокая стоимость среди четырёх программ. Без указания общего количества академических часов невозможно оценить стоимость часа обучения - а это раздражает. Нет явной подготовки к международным сертификациям. 13 месяцев - длительный срок, и мотивацию придётся поддерживать самостоятельно. На практике многие «растягиваются» и теряют темп где-то к пятому месяцу.Нетология: курс ИБ для смены профессии
Программа «Специалист по информационной безопасности» - от 12 до 15 месяцев (180–360 академических часов). Стоимость: 128 300–135 000 рублей. Формат - онлайн с разбором реальных кейсов.Что внутри программы
Нетология предлагает самый широкий охват тем: DevSecOps, Linux, Bash, Python, Docker, системы обнаружения вторжений (IDS). Это не чистый пентест-курс - скорее, общая подготовка специалиста по информационной безопасности, который понимает и атаку, и защиту. Практический блок «Атака и защита» занимает около 35 часов.Сильные стороны
Главное преимущество - помощь с трудоустройством и диплом установленного образца. Для людей, которые меняют профессию и начинают с нуля, это может быть решающим фактором. Широкий охват тем даёт общую картину отрасли. DevSecOps-компонент полезен тем, кто рассматривает blue team или AppSec, а не только offensive security.Ограничения
35 часов практики - это примерно 10–20% от общего объёма в зависимости от итоговой длительности. Для формирования навыков пентеста этого откровенно мало. Курс не готовит к международным сертификациям вроде OSCP или eJPT. Если ваша цель - стать пентестером, Нетология даст широкую базу, но глубину в offensive security придётся добирать отдельно. По сути, после Нетологии вы знаете, что пентест существует. После Codeby - умеете его проводить.Сравнительная таблица лучших курсов для специалистов по ИБ 2025
| Критерий | Codeby Academy | OTUS | Skillfactory | Нетология |
|---|---|---|---|---|
| Длительность | 10 мес (540 ч) | ~220 ч | 13 мес (часы не указаны) | 12–15 мес (180–360 ч) |
| Стоимость | 123 990 руб. | 85 000–110 000 руб. | ~156 000 руб. | 128 300–135 000 руб. |
| Стоимость за час | ~266 руб./ч | ~385–500 руб./ч | Нет данных | ~375–750 руб./ч |
| Заявленная практика | ~80% | Не указана | Не указана | ~35 ч (блок «Атака и защита») |
| Подготовка к серт. | OSCP | Нет | Нет | Нет |
| Инструменты | Metasploit, Burp Suite, Nmap | AD-инструменты, SIEM | Веб, Wi-Fi, инфра | Docker, Python, IDS |
| Помощь с работой | Портфолио | Портфолио | Портфолио | Диплом + трудоустройство |
| Целевая аудитория | IT-специалисты, пентест | IT-специалисты, AD/SIEM | QA/dev, переход в ИБ | Новички, смена профессии |
Обратите внимание на разброс стоимости за час. У Нетологии он скачет от 375 до 750 рублей, потому что заявленный диапазон часов - от 180 до 360. Двукратная разница. Уточняйте конкретное количество до покупки.
Ещё нюанс: минимальная стоимость у OTUS не означает лучшее соотношение «цена/практика». Если доля лабораторных составляет, допустим, 40% против 80% у Codeby, то реальная стоимость часа практики у OTUS окажется выше. К сожалению, ни OTUS, ни Skillfactory не публикуют точный процент практической части - и это, мягко говоря, неудобно для сравнения.
Какие навыки из курса реально работают на первом пентесте
Самый важный раздел. Именно здесь теория расходится с практикой, и расходится жёстко. На моём первом внутреннем пентесте полезными оказались ровно три категории навыков:Разведка и сканирование. Умение быстро просканировать сеть, определить живые хосты, идентифицировать сервисы и версии - фундамент любого проекта. Я запускал
nmap с различными наборами скриптов ежедневно. Этому учат все четыре курса, но глубина разная: одно дело - запустить скан по шаблону, другое - понимать, какие NSE-скрипты выбрать под конкретный вектор и почему -sS не всегда лучше -sT.Эксплуатация веб-уязвимостей. По данным OWASP, Broken Access Control (A01:2021) имеет incidence rate до 94% среди связанных CWE - самая распространённая категория. На практике подтверждается: IDOR, обход авторизации, манипуляции с JWT - эти техники я применяю почти на каждом проекте. Курсы, которые включают работу с Burp Suite на реалистичных веб-приложениях, дают наибольшую отдачу.
Документирование и отчётность. Вот что совсем не очевидно из описаний курсов: на реальном пентесте 50–60% времени уходит на документирование находок и написание отчёта. Не на взлом. На бумажную работу. Курс, который заставляет вас оформлять результаты лабораторных - а не просто сдавать флаг - готовит к этому лучше. Портфолио, которое предлагают все четыре школы, - шаг в правильном направлении, но только если оно включает полноценные отчёты, а не список пройденных модулей.
Что оказалось мёртвым грузом? Теоретические модули про историю криптографии, подробный разбор модели OSI без привязки к конкретным атакам, обзорные лекции про «типы вредоносного ПО» - всё это забылось через неделю. Ценность имеют только знания, которые вы закрепили на стенде руками. Остальное - красивый фантик.
Привязка к MITRE ATT&CK: что курс должен покрывать
Если оценивать программу курса через призму MITRE ATT&CK, минимальный набор тактик, которые вы должны уметь моделировать после обучения:- Reconnaissance - сбор информации о цели, включая Phishing for Information (T1598) и Spearphishing Link (T1598.003)
- Initial Access - получение первичного доступа через Phishing (T1566) или Spearphishing Link (T1566.002)
- Execution - запуск полезной нагрузки, включая User Execution (T1204) и Malicious Link (T1204.001)
- Defense Evasion - обход защитных механизмов, включая Impersonation (T1656)
Codeby Academy и OTUS покрывают большинство этих тактик через лабораторные работы. Нетология и Skillfactory дают более обзорное понимание - достаточное для blue team, но недостаточное для уверенной работы в offensive security.
Как выбрать онлайн-курс по пентесту: пошаговый алгоритм
Вместо абстрактных советов - конкретный алгоритм. Я бы сам хотел такой прочитать два года назад.Шаг 1: определите свой текущий уровень. Вы работаете в IT и понимаете TCP/IP, Linux-терминал, основы сетей? Тогда вам подходят Codeby или OTUS - они рассчитаны на подготовленную аудиторию. Если вы переходите из другой сферы и ни разу не открывали терминал - начинайте с Нетологии.
Шаг 2: определите целевую роль. Пентестер → Codeby (фокус на offensive, подготовка к OSCP). Специалист по безопасности корпоративной инфраструктуры → OTUS (AD, SIEM). Универсальный ИБ-специалист → Нетология (широкий охват). Переход из QA/разработки → Skillfactory (менторская поддержка, плавный темп).
Шаг 3: оцените бюджет времени. У вас есть 4 месяца на интенсив при 15–20 часах в неделю? Codeby. Нужен размеренный темп на год? Skillfactory или Нетология. OTUS - промежуточный вариант.
Шаг 4: решите вопрос с сертификацией. Если вам нужен OSCP - Codeby единственный из четырёх, кто явно к нему готовит. Учтите, что к стоимости курса добавится подписка OffSec Learn One от $2 599/год (курс PEN-200, лаборатории и попытка экзамена). Это не мелочь.
Шаг 5: запросите пробный доступ или бесплатный урок. Все четыре школы предлагают возможность ознакомиться с форматом до покупки. Не игнорируйте - 15 минут пробного урока скажут больше, чем любой обзор (включая этот).
Чего не стоит ждать ни от одного курса
Ни один четырёхмесячный или даже годовой курс не сделает вас senior-пентестером. После обучения вы будете на уровне junior: способны работать под руководством, выполнять типовые задачи, писать базовые отчёты. Реальный рост начинается на проектах - и здесь важно, чтобы курс дал фундамент, на который можно наращивать опыт.HackTheBox, HackerLab и TryHackMe останутся вашими спутниками ещё долго после окончания любого курса. Такой результат — не недостаток обучения, а естественный этап в offensive security. Обратное — самообман.
Вопрос к читателям
Тем, кто уже прошёл один из этих четырёх курсов и вышел на реальный проект: какой конкретный модуль или лабораторная задача оказались наиболее полезными в первые три месяца работы? Если это был стенд с Active Directory - какой именно вектор вы отрабатывали: Kerberoasting черезGetUserSPNs.py, AS-REP Roasting, или атаку на Unconstrained Delegation?И обратный вопрос: какой модуль курса вы считаете полностью бесполезным для реальных задач? Лучше назвать конкретный модуль и объяснить почему — это полезно будущим студентам. Общие слова типа «всё было полезно» — бесполезны.
Последнее редактирование модератором:
