Два месяца назад собеседовал кандидата на позицию SOC-аналитика L2. Резюме - загляденье: 12 месяцев обучения в известной онлайн-школе, диплом "специалиста по кибербезопасности", три проекта в портфолио. На практике человек не смог написать базовый SPL-запрос в Splunk и не объяснил, чем alert triage отличается от incident response. За ту же неделю через меня прошли четыре аналогичных кандидата. Все с "полным стеком навыков", все без конкретной специализации.
В продолжение нашей статьи для тех, кто еще в поиске.
По данным ISC2 за 2025 год, 59% организаций фиксируют критический разрыв именно в профильных навыках ИБ-специалистов - при том что на входных позициях предложение кандидатов превышает спрос на 10% (Lightcast, 2024). Рынок курсов по кибербезопасности ситуацию только усугубляет: специализации в большинстве программ нет, есть поверхностный пробег по всему за 6-12 месяцев.
Почему универсальный курс по ИБ не закрывает ни одну специализацию
Откройте программы крупных русскоязычных онлайн-школ: GNU/Linux, сети, Python, "этичный хакинг", немного Active Directory, немного веб-уязвимостей, основы SOC. На выходе - человек, который знает обо всём понемногу, но ни одну задачу не закроет самостоятельно. Нельзя написать Yara-правило под конкретный IOC, нельзя провести forensic analysis дампа памяти, нельзя выстроить detection rule в SIEM для конкретной TTP.Проблема не в качестве школ - Skillbox, GeekBrains и SkillFactory дают нормальный фундамент. Проблема в позиционировании: они продают "профессию", а рынок нанимает под конкретный трек. SOC-команде нужен человек, который умеет работать с корреляцией событий в конкретном SIEM, а не "универсальный специалист по кибербезопасности". Команде Red Team нужен пентестер, который пройдёт kill chain от разведки до извлечения данных, а не разработчик, умеющий запустить
nmap -sV.По данным того же ISC2, 41% организаций в 2025 году назвали AI security основным навыковым разрывом - обогнав даже облачную безопасность (36%). Рынок дробится на узкие специализации быстрее, чем курсы успевают адаптироваться. Базовый курс - нормальная отправная точка. Но после него нужно выбрать трек и копать в глубину целенаправленно.
Red Team vs Blue Team обучение: четыре трека и их реальное содержание
Обучение Red Team: от разведки до полной цепочки атаки
Red Team - это не "запустил Metasploit по IP-адресу и пошёл пить кофе". Хороший курс по наступательной безопасности учит проходить полную цепочку атаки по MITRE ATT&CK: Vulnerability Scanning (T1595.002, reconnaissance) для поиска точки входа, Exploit Public-Facing Application (T1190, initial access) для получения первоначального доступа, Process Injection (T1055, defense evasion / privilege escalation) для повышения привилегий, OS Credential Dumping (T1003, credential access) для извлечения учётных данных и движения по сети.На что смотреть в программе курса Red Team:
- Разделение на внешний и внутренний пентест - это разные методологии, разные инструменты, разные модели угроз. Курс, который не разграничивает эти контексты, учит поверхностно
- Работа с Active Directory - в реальных проектах большинство внутренних пентестов корпоративных сетей затрагивает AD. Если в программе нет Kerberoasting, AS-REP Roasting, DCSync - курс неполный
- Практика обхода защитных решений - курс, который учит атакам без учёта EDR (CrowdStrike Falcon, SentinelOne, Elastic 8.x+), готовит к CTF, а не к реальной работе. Разница колоссальная
- Отчётность - умение оформить находки в отчёт, понятный заказчику, отличает пентестера от человека с Kali Linux
Место в kill chain: Red Team - полная цепочка от initial access до exfiltration. Курс, который учит только отдельным техникам без связки в цепочку, не готовит к реальным проектам. Это как учить отдельные удары без спарринга.
Обучение SOC-аналитика: от мониторинга алертов до threat hunting
SOC-аналитик - самая массовая точка входа в кибербезопасность и одновременно самая дефицитная специальность в корпоративном секторе. Карьера SOC-аналитика строится по трёхуровневой модели (OffSec):- Tier 1 - мониторинг и triage. Ежедневный разбор алертов из SIEM, определение severity, эскалация по playbook. Порог входа: базовые сети (TCP/IP, DNS), понимание типовых атак (фишинг, brute force, lateral movement)
- Tier 2 - глубокий анализ и incident response. Расследование эскалированных инцидентов, threat hunting, разработка detection rules. Здесь уже нужны скрипты на Python/PowerShell и умение работать с EDR-телеметрией
- Tier 3 - проактивный поиск угроз и detection engineering. Разработка новых правил корреляции, анализ TTP по MITRE ATT&CK, создание playbook'ов
Вот что должен уметь выпускник: написать detection rule для обнаружения Network Service Discovery (T1046, discovery) - массового сканирования портов внутри сети. В Sigma-формате:
YAML:
title: Internal Network Port Scan Detection
logsource:
category: firewall
detection:
selection:
src_ip|cidr: '10.0.0.0/8'
condition: selection | count(dst_port) by src_ip > 50
timeframe: 5m
level: medium
Целевые сертификации: CompTIA Security+ (~$404 / ~37,000 RUB) как входной уровень, CompTIA CySA+ (~$404) для Tier 2, OffSec OSDA для SOC-специализации, CCD от CyberDefenders - одна из сильнейших практических сертификаций для blue team. По отзывам выпускников (Security Engineer из Microsoft, SIEM Correlation Engineer из IBM), лабораторные задания требуют 8-9 часов на одно задание. Это не "прочитал-ответил", это настоящая работа.
Курсы AppSec: безопасность кода и защита приложений
AppSec стоит отдельно от остальных треков, потому что требует бэкграунда в разработке. Без понимания SDLC, архитектуры приложений и хотя бы одного языка (Python, JavaScript, Go, Java) на уровне Junior - входить в AppSec бессмысленно. Серьёзно, не тратьте время.Фундамент трека - OWASP Top 10. Broken Access Control (A01:2021) встречается в 94% протестированных приложений. Security Logging and Monitoring Failures (A09:2021) - без логирования и мониторинга бреши не обнаруживаются. Курс по AppSec должен учить не просто находить XSS и SQLi, а встраивать безопасность в процесс разработки: SAST-анализ на этапе коммита, DAST-сканирование на staging, code review с фокусом на бизнес-логику.
На что смотреть в программе:
- Работа с инструментами: Semgrep для SAST, OWASP ZAP или Burp Suite для DAST, SonarQube для continuous security analysis
- Secure SDLC - не отдельный модуль "про безопасную разработку", а сквозная интеграция в CI/CD
- Threat modeling - умение строить модель угроз для конкретного приложения до написания кода
AppSec - трек для людей с опытом разработки. Если вы не писали код в продакшн - начните с Red Team или SOC, а AppSec рассматривайте как второй этап карьеры.
Форензика: обучение цифровой криминалистике и расследованию инцидентов
Цифровая криминалистика - трек для тех, кто работает "после взлома". Пока Red Team ломает, а SOC детектит, форензик восстанавливает полную картину: что произошло, когда, как атакующий попал внутрь, какие данные скомпрометированы и какие следы остались. Это критическая специальность для incident response, и она напрямую связана с юридической значимостью расследования.В российском контексте спрос на форензику подстёгивает 187-ФЗ "О безопасности критической информационной инфраструктуры": субъекты КИИ обязаны расследовать инциденты и предоставлять результаты в НКЦКИ. Без специалиста по цифровой криминалистике организация не может выполнить требования закона, а штрафные санкции за непредставление информации об инцидентах ужесточаются.
Типичный рабочий процесс форензика строится вокруг анализа артефактов. Вот что вы должны уметь после прохождения курса по форензике - пример работы с дампом оперативной памяти через Volatility 3:
Bash:
# Дерево процессов - ищем аномальные parent-child связи
python3 vol.py -f dump.raw windows.pstree
# Поиск инжектированного кода в процессах ([URL='https://attack.mitre.org/techniques/T1055/']T1055, Process Injection[/URL])
python3 vol.py -f dump.raw windows.malfind
# Сетевые соединения на момент снятия дампа
python3 vol.py -f dump.raw windows.netscan
# Восстановление метаданных файлов из $MFT - реконструкция файловых операций атакующего
python3 vol.py -f dump.raw windows.mftscan.MFTScan
windows.pstree покажет, что svchost.exe порождён не services.exe, а cmd.exe - сигнал компрометации. windows.malfind обнаружит инжектированный шеллкод в легитимном процессе. windows.netscan выявит C2-соединения, активные на момент снятия дампа. windows.mftscan.MFTScan восстановит метаданные удалённых файлов из $MFT - создание, переименование, удаление файлов атакующим.На что смотреть в программе курса по форензике:
- Работа с дампами памяти (Volatility 3) и образами дисков (Autopsy, FTK Imager) - не теория "что такое образ диска", а реальный анализ
- Сетевая форензика: Wireshark, Zeek - разбор PCAP-файлов, восстановление сессий, извлечение файлов из трафика
- Анализ timeline - построение хронологии инцидента по артефактам из разных источников (файловая система, реестр Windows, логи)
- Работа с Data from Local System (T1005, collection) - что именно атакующий собирал и какие артефакты это оставляет
- Юридические аспекты: сохранение цепочки доказательств (chain of custody), оформление результатов расследования для правоохранительных органов
Как выбрать курс по кибербезопасности: decision tree для карьерного трека
Выбор трека - не вопрос "что модно", а вопрос "что подходит вашему бэкграунду и целям". Вот практическая схема:
Если у вас есть опыт в IT-администрировании (сети, серверы, helpdesk) - прямой путь в SOC. Вы уже понимаете инфраструктуру, осталось наложить detection-логику. Начинайте с Security+, затем CySA+ или CCD.
Если вы разработчик (backend, fullstack, DevOps) - AppSec. Вы понимаете код, архитектуру, CI/CD. Переучиваться "с нуля" на сети не нужно - идите в безопасность приложений.
Если вы хотите в наступательную безопасность и готовы вложить 6-12 месяцев в подготовку - Red Team. Предусловия: уверенный GNU/Linux, базовые сети, хотя бы один скриптовый язык. eJPT как первый шаг, затем OSCP.
Если вам интересна аналитика и расследования - форензика. Нужны терпение и внимание к деталям. Хороший старт: бесплатные лабораторные на CyberDefenders или Blue Team Labs Online, затем GCFE.
Сводная таблица для быстрого сравнения:
| Критерий | Red Team | SOC | AppSec | Форензика |
|---|---|---|---|---|
| Входной бэкграунд | GNU/Linux + сети + скрипты | IT-администрирование | Опыт разработки | Базовый IT + ОС |
| Ключевые инструменты | Metasploit, Burp Suite, Cobalt Strike | Splunk/ELK, EDR, SOAR | Semgrep, ZAP, SonarQube | Volatility, Autopsy, Wireshark |
| Входная сертификация | eJPT (~$249) | Security+ (~$404) | BSCP (~$120) | GCFE (~$979 за экзамен) |
| Целевая сертификация | OSCP (~$1,749) | CCD / OSDA | CSSLP | GCFA |
| Формат практики | AD-стенды, CTF, пентест-лабы | Cyber range, SOC-симуляторы | Bug bounty, code review | Дампы памяти, образы дисков |
Цены указаны в USD на середину 2025 года - уточняйте на официальных сайтах вендоров. В рублёвом эквиваленте разброс от ~11,000 RUB (BSCP) до ~160,000 RUB (OSCP), курс конвертации колеблется.
Отдельно про корпоративную оплату: если вы работаете в компании с ИБ-подразделением, проверьте программу компенсации обучения. Многие российские работодатели в финансовом и телеком-секторах частично или полностью оплачивают профильные сертификации при условии отработки 1-2 года после получения. Обсудите это с руководителем до покупки курса - может сэкономить вам от 37,000 до 160,000 рублей.
Теория vs лаборатория: на что смотреть при выборе программы
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Специализация в глубину стабильно выигрывает у широты на каждом уровне карьеры: SOC-аналитик, который вырос в threat intelligence или detection engineering, обгоняет по зарплате и позиции того, кто остался "универсальным Tier 1". Та же закономерность подтверждается данными OffSec: переход от Tier 1 к Tier 2 требует не новых сертификатов, а демонстрации навыка глубокого расследования.
За последний год я провёл больше тридцати собеседований на ИБ-позиции - от L1 SOC до senior пентестера. Закономерность одна: те, кто после базового курса сразу выбрал специализацию и год вкладывался в глубину, получают оффер. Те, кто набрал пять сертификатов по разным направлениям - нет. Рынок не платит за кругозор. Рынок платит за способность решить конкретную задачу: написать detection rule под новую TTP, пройти AD-стенд от начала до compromised domain admin, восстановить timeline инцидента по артефактам.
По данным ISC2, 73% профессионалов считают, что AI создаст новые узкие специализации, а не заменит существующие роли. Тренд на дробление будет усиливаться. Через два года "специалист по кибербезопасности" как позиция будет значить примерно то же, что "специалист по IT" - ничего конкретного.
Выбирайте трек, копайте в глубину, стройте портфолио из решённых задач именно в этом треке. Если выбрали SOC-направление и хотите сверить свой стек навыков с чужим опытом - на codeby.net коллеги обсуждают рабочие подходы к построению detection-процессов и делятся оценками пройденных программ обучения в профильных тредах.
Разумеется, не обойдём стороной и наш учебный центр — codeby.academy, где каждый найдёт свой курс. Линейка закрывает основные направления отрасли: «Основы информационной безопасности» для уверенного старта, WAPT для тех, кто уходит в веб-пентест, AppSec и DevSecOps для инженеров безопасной разработки, отдельные программы под SOC-аналитику и detection. Все курсы построены вокруг практики — лаборатории, стенды, которые нужно пройти руками до результата, разбор реальных кейсов, — а не вокруг чистой теории: на выходе у вас остаётся не строчка в резюме, а решённые задачи, которые можно показать на собеседовании. Загляните в каталог и выберите формат под свою цель и уровень — от первых шагов до senior-грейда найдётся программа под любую точку карьеры.
Последнее редактирование модератором: