c36107dd-e584-4e9d-a4bd-695c3996c5ea.webp


Два месяца назад собеседовал кандидата на позицию SOC-аналитика L2. Резюме - загляденье: 12 месяцев обучения в известной онлайн-школе, диплом "специалиста по кибербезопасности", три проекта в портфолио. На практике человек не смог написать базовый SPL-запрос в Splunk и не объяснил, чем alert triage отличается от incident response. За ту же неделю через меня прошли четыре аналогичных кандидата. Все с "полным стеком навыков", все без конкретной специализации.

В продолжение нашей статьи для тех, кто еще в поиске.

По данным ISC2 за 2025 год, 59% организаций фиксируют критический разрыв именно в профильных навыках ИБ-специалистов - при том что на входных позициях предложение кандидатов превышает спрос на 10% (Lightcast, 2024). Рынок курсов по кибербезопасности ситуацию только усугубляет: специализации в большинстве программ нет, есть поверхностный пробег по всему за 6-12 месяцев.

Почему универсальный курс по ИБ не закрывает ни одну специализацию​

Откройте программы крупных русскоязычных онлайн-школ: GNU/Linux, сети, Python, "этичный хакинг", немного Active Directory, немного веб-уязвимостей, основы SOC. На выходе - человек, который знает обо всём понемногу, но ни одну задачу не закроет самостоятельно. Нельзя написать Yara-правило под конкретный IOC, нельзя провести forensic analysis дампа памяти, нельзя выстроить detection rule в SIEM для конкретной TTP.

Проблема не в качестве школ - Skillbox, GeekBrains и SkillFactory дают нормальный фундамент. Проблема в позиционировании: они продают "профессию", а рынок нанимает под конкретный трек. SOC-команде нужен человек, который умеет работать с корреляцией событий в конкретном SIEM, а не "универсальный специалист по кибербезопасности". Команде Red Team нужен пентестер, который пройдёт kill chain от разведки до извлечения данных, а не разработчик, умеющий запустить nmap -sV.

По данным того же ISC2, 41% организаций в 2025 году назвали AI security основным навыковым разрывом - обогнав даже облачную безопасность (36%). Рынок дробится на узкие специализации быстрее, чем курсы успевают адаптироваться. Базовый курс - нормальная отправная точка. Но после него нужно выбрать трек и копать в глубину целенаправленно.

Red Team vs Blue Team обучение: четыре трека и их реальное содержание​

1782982273249.webp

Обучение Red Team: от разведки до полной цепочки атаки​

Red Team - это не "запустил Metasploit по IP-адресу и пошёл пить кофе". Хороший курс по наступательной безопасности учит проходить полную цепочку атаки по MITRE ATT&CK: Vulnerability Scanning (T1595.002, reconnaissance) для поиска точки входа, Exploit Public-Facing Application (T1190, initial access) для получения первоначального доступа, Process Injection (T1055, defense evasion / privilege escalation) для повышения привилегий, OS Credential Dumping (T1003, credential access) для извлечения учётных данных и движения по сети.

На что смотреть в программе курса Red Team:
  • Разделение на внешний и внутренний пентест - это разные методологии, разные инструменты, разные модели угроз. Курс, который не разграничивает эти контексты, учит поверхностно
  • Работа с Active Directory - в реальных проектах большинство внутренних пентестов корпоративных сетей затрагивает AD. Если в программе нет Kerberoasting, AS-REP Roasting, DCSync - курс неполный
  • Практика обхода защитных решений - курс, который учит атакам без учёта EDR (CrowdStrike Falcon, SentinelOne, Elastic 8.x+), готовит к CTF, а не к реальной работе. Разница колоссальная
  • Отчётность - умение оформить находки в отчёт, понятный заказчику, отличает пентестера от человека с Kali Linux
Целевые сертификации: OSCP от OffSec (PEN-200 Learn One - от $1,749, порядка 160,000 RUB на середину 2025 года), eJPT от INE как входной уровень (от $249), CRTO для специализации на Red Team операциях. Цены меняются - проверяйте на официальных сайтах.

Место в kill chain: Red Team - полная цепочка от initial access до exfiltration. Курс, который учит только отдельным техникам без связки в цепочку, не готовит к реальным проектам. Это как учить отдельные удары без спарринга.

Обучение SOC-аналитика: от мониторинга алертов до threat hunting​

SOC-аналитик - самая массовая точка входа в кибербезопасность и одновременно самая дефицитная специальность в корпоративном секторе. Карьера SOC-аналитика строится по трёхуровневой модели (OffSec):
  • Tier 1 - мониторинг и triage. Ежедневный разбор алертов из SIEM, определение severity, эскалация по playbook. Порог входа: базовые сети (TCP/IP, DNS), понимание типовых атак (фишинг, brute force, lateral movement)
  • Tier 2 - глубокий анализ и incident response. Расследование эскалированных инцидентов, threat hunting, разработка detection rules. Здесь уже нужны скрипты на Python/PowerShell и умение работать с EDR-телеметрией
  • Tier 3 - проактивный поиск угроз и detection engineering. Разработка новых правил корреляции, анализ TTP по MITRE ATT&CK, создание playbook'ов
Хороший курс для SOC-аналитика обязан включать hands-on работу с конкретным SIEM. Не "мы расскажем, что такое SIEM", а "вот Splunk/ELK/MaxPatrol SIEM, вот лог-источники, напишите правило корреляции для обнаружения Network Service Discovery (T1046)". Если в программе нет работы с реальным SIEM-инстансом - это теория, а не подготовка к работе.

Вот что должен уметь выпускник: написать detection rule для обнаружения Network Service Discovery (T1046, discovery) - массового сканирования портов внутри сети. В Sigma-формате:
YAML:
title: Internal Network Port Scan Detection
logsource:
  category: firewall
detection:
  selection:
    src_ip|cidr: '10.0.0.0/8'
  condition: selection | count(dst_port) by src_ip > 50
  timeframe: 5m
level: medium
Если курс не учит писать такие правила - он готовит операторов, а не аналитиков. Разница примерно как между водителем автобуса и автомехаником.

Целевые сертификации: CompTIA Security+ (~$404 / ~37,000 RUB) как входной уровень, CompTIA CySA+ (~$404) для Tier 2, OffSec OSDA для SOC-специализации, CCD от CyberDefenders - одна из сильнейших практических сертификаций для blue team. По отзывам выпускников (Security Engineer из Microsoft, SIEM Correlation Engineer из IBM), лабораторные задания требуют 8-9 часов на одно задание. Это не "прочитал-ответил", это настоящая работа.

Курсы AppSec: безопасность кода и защита приложений​

AppSec стоит отдельно от остальных треков, потому что требует бэкграунда в разработке. Без понимания SDLC, архитектуры приложений и хотя бы одного языка (Python, JavaScript, Go, Java) на уровне Junior - входить в AppSec бессмысленно. Серьёзно, не тратьте время.

Фундамент трека - OWASP Top 10. Broken Access Control (A01:2021) встречается в 94% протестированных приложений. Security Logging and Monitoring Failures (A09:2021) - без логирования и мониторинга бреши не обнаруживаются. Курс по AppSec должен учить не просто находить XSS и SQLi, а встраивать безопасность в процесс разработки: SAST-анализ на этапе коммита, DAST-сканирование на staging, code review с фокусом на бизнес-логику.

На что смотреть в программе:
  • Работа с инструментами: Semgrep для SAST, OWASP ZAP или Burp Suite для DAST, SonarQube для continuous security analysis
  • Secure SDLC - не отдельный модуль "про безопасную разработку", а сквозная интеграция в CI/CD
  • Threat modeling - умение строить модель угроз для конкретного приложения до написания кода
Целевые сертификации: BSCP от PortSwigger (от $120 - одна из самых доступных и при этом практичных), CSSLP от ISC2 для senior-уровня, CASE от EC-Council.

AppSec - трек для людей с опытом разработки. Если вы не писали код в продакшн - начните с Red Team или SOC, а AppSec рассматривайте как второй этап карьеры.

Форензика: обучение цифровой криминалистике и расследованию инцидентов​

Цифровая криминалистика - трек для тех, кто работает "после взлома". Пока Red Team ломает, а SOC детектит, форензик восстанавливает полную картину: что произошло, когда, как атакующий попал внутрь, какие данные скомпрометированы и какие следы остались. Это критическая специальность для incident response, и она напрямую связана с юридической значимостью расследования.

В российском контексте спрос на форензику подстёгивает 187-ФЗ "О безопасности критической информационной инфраструктуры": субъекты КИИ обязаны расследовать инциденты и предоставлять результаты в НКЦКИ. Без специалиста по цифровой криминалистике организация не может выполнить требования закона, а штрафные санкции за непредставление информации об инцидентах ужесточаются.

Типичный рабочий процесс форензика строится вокруг анализа артефактов. Вот что вы должны уметь после прохождения курса по форензике - пример работы с дампом оперативной памяти через Volatility 3:
Bash:
# Дерево процессов - ищем аномальные parent-child связи
python3 vol.py -f dump.raw windows.pstree
# Поиск инжектированного кода в процессах ([URL='https://attack.mitre.org/techniques/T1055/']T1055, Process Injection[/URL])
python3 vol.py -f dump.raw windows.malfind
# Сетевые соединения на момент снятия дампа
python3 vol.py -f dump.raw windows.netscan
# Восстановление метаданных файлов из $MFT - реконструкция файловых операций атакующего
python3 vol.py -f dump.raw windows.mftscan.MFTScan
Каждая из этих команд - отдельный этап расследования. windows.pstree покажет, что svchost.exe порождён не services.exe, а cmd.exe - сигнал компрометации. windows.malfind обнаружит инжектированный шеллкод в легитимном процессе. windows.netscan выявит C2-соединения, активные на момент снятия дампа. windows.mftscan.MFTScan восстановит метаданные удалённых файлов из $MFT - создание, переименование, удаление файлов атакующим.

На что смотреть в программе курса по форензике:
  • Работа с дампами памяти (Volatility 3) и образами дисков (Autopsy, FTK Imager) - не теория "что такое образ диска", а реальный анализ
  • Сетевая форензика: Wireshark, Zeek - разбор PCAP-файлов, восстановление сессий, извлечение файлов из трафика
  • Анализ timeline - построение хронологии инцидента по артефактам из разных источников (файловая система, реестр Windows, логи)
  • Работа с Data from Local System (T1005, collection) - что именно атакующий собирал и какие артефакты это оставляет
  • Юридические аспекты: сохранение цепочки доказательств (chain of custody), оформление результатов расследования для правоохранительных органов
Целевые сертификации: GIAC GCFE (~$979 за экзамен, ~90,000 RUB; training bundle значительно дороже), CHFI от EC-Council, GIAC GCFA для advanced-уровня. Для старта без вложений: CyberDefenders Cyber Range предлагает лабораторные на основе реальных инцидентов и APT-тактик - там можно набить руку до покупки сертификации.

Как выбрать курс по кибербезопасности: decision tree для карьерного трека​

1782982337949.webp

Выбор трека - не вопрос "что модно", а вопрос "что подходит вашему бэкграунду и целям". Вот практическая схема:

Если у вас есть опыт в IT-администрировании (сети, серверы, helpdesk) - прямой путь в SOC. Вы уже понимаете инфраструктуру, осталось наложить detection-логику. Начинайте с Security+, затем CySA+ или CCD.

Если вы разработчик (backend, fullstack, DevOps) - AppSec. Вы понимаете код, архитектуру, CI/CD. Переучиваться "с нуля" на сети не нужно - идите в безопасность приложений.

Если вы хотите в наступательную безопасность и готовы вложить 6-12 месяцев в подготовку - Red Team. Предусловия: уверенный GNU/Linux, базовые сети, хотя бы один скриптовый язык. eJPT как первый шаг, затем OSCP.

Если вам интересна аналитика и расследования - форензика. Нужны терпение и внимание к деталям. Хороший старт: бесплатные лабораторные на CyberDefenders или Blue Team Labs Online, затем GCFE.

Сводная таблица для быстрого сравнения:

КритерийRed TeamSOCAppSecФорензика
Входной бэкграундGNU/Linux + сети + скриптыIT-администрированиеОпыт разработкиБазовый IT + ОС
Ключевые инструментыMetasploit, Burp Suite, Cobalt StrikeSplunk/ELK, EDR, SOARSemgrep, ZAP, SonarQubeVolatility, Autopsy, Wireshark
Входная сертификацияeJPT (~$249)Security+ (~$404)BSCP (~$120)GCFE (~$979 за экзамен)
Целевая сертификацияOSCP (~$1,749)CCD / OSDACSSLPGCFA
Формат практикиAD-стенды, CTF, пентест-лабыCyber range, SOC-симуляторыBug bounty, code reviewДампы памяти, образы дисков

Цены указаны в USD на середину 2025 года - уточняйте на официальных сайтах вендоров. В рублёвом эквиваленте разброс от ~11,000 RUB (BSCP) до ~160,000 RUB (OSCP), курс конвертации колеблется.

Отдельно про корпоративную оплату: если вы работаете в компании с ИБ-подразделением, проверьте программу компенсации обучения. Многие российские работодатели в финансовом и телеком-секторах частично или полностью оплачивают профильные сертификации при условии отработки 1-2 года после получения. Обсудите это с руководителем до покупки курса - может сэкономить вам от 37,000 до 160,000 рублей.

Теория vs лаборатория: на что смотреть при выборе программы​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Специализация в глубину стабильно выигрывает у широты на каждом уровне карьеры: SOC-аналитик, который вырос в threat intelligence или detection engineering, обгоняет по зарплате и позиции того, кто остался "универсальным Tier 1". Та же закономерность подтверждается данными OffSec: переход от Tier 1 к Tier 2 требует не новых сертификатов, а демонстрации навыка глубокого расследования.

За последний год я провёл больше тридцати собеседований на ИБ-позиции - от L1 SOC до senior пентестера. Закономерность одна: те, кто после базового курса сразу выбрал специализацию и год вкладывался в глубину, получают оффер. Те, кто набрал пять сертификатов по разным направлениям - нет. Рынок не платит за кругозор. Рынок платит за способность решить конкретную задачу: написать detection rule под новую TTP, пройти AD-стенд от начала до compromised domain admin, восстановить timeline инцидента по артефактам.

По данным ISC2, 73% профессионалов считают, что AI создаст новые узкие специализации, а не заменит существующие роли. Тренд на дробление будет усиливаться. Через два года "специалист по кибербезопасности" как позиция будет значить примерно то же, что "специалист по IT" - ничего конкретного.

Выбирайте трек, копайте в глубину, стройте портфолио из решённых задач именно в этом треке. Если выбрали SOC-направление и хотите сверить свой стек навыков с чужим опытом - на codeby.net коллеги обсуждают рабочие подходы к построению detection-процессов и делятся оценками пройденных программ обучения в профильных тредах.

Разумеется, не обойдём стороной и наш учебный центр — codeby.academy, где каждый найдёт свой курс. Линейка закрывает основные направления отрасли: «Основы информационной безопасности» для уверенного старта, WAPT для тех, кто уходит в веб-пентест, AppSec и DevSecOps для инженеров безопасной разработки, отдельные программы под SOC-аналитику и detection. Все курсы построены вокруг практики — лаборатории, стенды, которые нужно пройти руками до результата, разбор реальных кейсов, — а не вокруг чистой теории: на выходе у вас остаётся не строчка в резюме, а решённые задачи, которые можно показать на собеседовании. Загляните в каталог и выберите формат под свою цель и уровень — от первых шагов до senior-грейда найдётся программа под любую точку карьеры.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab