FAQ 🎯 Карьерный навигатор в кибербезопасности 2026: треки, зарплаты, точки входа

[Сергей Попов]

Карьерный навигатор в кибербезопасности 2026

Куда идти, сколько платят, с чего начать. Тред-ориентир для тех, кто только смотрит в ИБ, и для тех, кто уже работает junior и хочет двигаться дальше.

Каждую неделю в личку нашего форума приходит вариация одного и того же вопроса: «Подскажите, с чего начать в инфобезе?» или «Я полгода работаю SOC L1 и не понимаю, куда расти». Отвечать одинаково в личку 50 раз — потеря времени и для меня, и для людей, которые задают вопрос завтра.

Поэтому собрал в одном месте: пять основных треков ИБ, зарплатные ориентиры на 2026 (по данным hh.ru, SuperJob, Habr Career и моим личным наблюдениям как рекрутера), необходимые навыки, точки входа. И — главное — открытый опрос в конце, чтобы понять, кто вы и куда идёте. По его результатам буду апдейтить тред раз в квартал.

Пост написан в первую очередь для тех, кто только присоединился к форуму. Если вы уже в ИБ десять лет — пропустите вступительную часть и комментируйте по существу.

5 треков ИБ — куда можно идти

Кибербезопасность — это не одна профессия. Это семейство профессий, и человек, который хорош в одном, может быть посредственным в другом. Понимать треки нужно до того, как тратите деньги на обучение.

1. Pentester / Offensive Security

Что делает. Симулирует реальную атаку на инфраструктуру заказчика, чтобы найти уязвимости до того, как их найдут настоящие злоумышленники. Работает в формате engagement'ов: 2–4 недели одна цель, отчёт с PoC, рекомендации по фиксу.

Зарплата 2026 (Москва, медиана):

• Junior (0–1 год): 100–140 000 ₽
• Middle (2–4 года): 180–260 000 ₽
• Senior (5+ лет, своё имя): 280–400 000+ ₽
• Lead / руководитель направления: от 350 000 ₽, есть позиции до 600 000+

Необходимые навыки. Linux на уровне shell, сети (TCP/IP, маршрутизация, основные протоколы), Active Directory, веб-уязвимости из OWASP Top 10, инструменты: Nmap, Burp Suite, Metasploit, BloodHound, mimikatz, Cobalt Strike (для middle+).

Точка входа. TryHackMe Tier-0/Tier-1 → HackerLab.pro Easy/Medium → решённые HackTheBox machines + writeup'ы в портфолио → первая позиция в маленькой compliance-конторе или ТП крупного интегратора. Сертификация (если упомянуть на собеседовании): eJPT (старт), потом OSCP.

Кому подходит. Любите ломать вещи, разбираться «как оно устроено внутри», готовы к ненормированному графику и многим engagement'ам подряд. Терпение читать чужой код / конфиги — обязательно.

Читать в тему:

• Пентест Active Directory: полный гайд от разведки до Domain Admin
• BloodHound Active Directory: разведка домена, построение графа атак и эксплуатация ACL
• OSINT пентест: полный арсенал разведки по цели — от Shodan до графа связей

2. SOC Analyst (мониторинг и реагирование)

Что делает. Первая линия защиты в крупной компании. Сидит за консолью SIEM, расследует алерты, эскалирует серьёзные инциденты в L2/L3, пишет playbook'и. Часто работа сменная, в том числе ночные.

Зарплата 2026 (Москва, медиана):

• Junior / L1 (0–1 год): 90–130 000 ₽
• L2 (2–3 года): 150–220 000 ₽
• L3 / Senior (4+ лет): 240–340 000 ₽
• Tier-3 incident responder / руководитель SOC: 300–450 000+ ₽

Необходимые навыки. SIEM (KUMA, Splunk, MaxPatrol, ArcSight), базовое понимание сетей и логов Windows/Linux, основы MITRE ATT&CK, написание правил корреляции, KQL/SPL.

Точка входа. Любой курс по основам SIEM (есть бесплатные на YouTube), потом стажировка в SOC интегратора — Solar JSOC, Bi.Zone, Innostage, Kaspersky MDR. Конкурс высокий, но позиций тоже много. Готовность работать сменно даёт огромное преимущество.

Кому подходит. Любите наблюдение, паттерн-матчинг, умеете долго смотреть в логи и не сходить с ума. Терпение и внимательность важнее «креатива». Хорошая стартовая позиция, чтобы потом перейти в DFIR или threat hunting.

Читать в тему:

• Аналитик SOC: полный гайд для старта в профессии — от первого алерта до Tier 3
• Аналитик SOC — с чего начать: инструменты, навыки и план выживания в первые 90 дней
• Карьера SOC-аналитика в 2026: реальный путь от новичка до специалиста

3. DFIR (Digital Forensics & Incident Response)

Что делает. Когда атака уже случилась — DFIR-специалисты разбирают, что произошло, откуда зашли, что унесли, как закрыть пробелы. Работа в формате инцидентов: первые 24–72 часа максимально интенсивно, потом отчёт и постмортем.

Зарплата 2026 (Москва, медиана):

• Junior / Trainee: 140–180 000 ₽
• Middle (2–4 года): 220–320 000 ₽
• Senior / Incident Lead: 340–500 000+ ₽
• Forensic Lead в крупной IR-команде: до 600 000+ ₽

Необходимые навыки. Глубокое знание Windows/Linux internals, malware analysis (статика + динамика), память / диск artifacts (Volatility, Autopsy), Yara-правила, понимание MITRE ATT&CK по фазам, английский для чтения отчётов и threat intel.

Точка входа. Сначала SOC L2/L3, потом переход. Прямой путь junior'ом в DFIR редок — там нужен опыт. Альтернатива: SANS FOR508/FOR578 (дорого) или собственные разборы публичных incident report'ов с детальным write-up на форуме.

Кому подходит. Любите детектив, готовы к скачкам нагрузки (3 дня тишины, потом 30 часов без сна на инциденте), детальные. Хороший английский почти обязателен.

Читать в тему:

• DFIR инструменты 2025: Velociraptor, KAPE, EZ Tools и Autopsy — настройка лаборатории
• Incident Response: пошаговый разбор кибератаки от triage до отчёта
• Форензика Windows: пошаговый разбор артефактов при расследовании инцидента

4. AppSec / Secure Development

Что делает. Безопасность встроенная в процесс разработки. Code review, threat modeling, настройка SAST/DAST, обучение разработчиков, реагирование на bug bounty. Меньше «брейка» — больше системной работы.

Зарплата 2026 (Москва, медиана):

• Junior AppSec / Security Engineer: 150–210 000 ₽
• Middle (2–4 года): 250–340 000 ₽
• Senior AppSec: 350–500 000 ₽
• Lead AppSec / Head of Product Security: 500 000+ ₽, в крупном финтехе до 800 000

Необходимые навыки. Один-два языка программирования глубоко (Python, Go, Java, JavaScript — на выбор), OWASP Top 10 + ASVS, threat modeling, SAST (SonarQube, Semgrep), DAST (Burp, ZAP), CI/CD (GitLab/GitHub Actions), Docker/Kubernetes базово.

Точка входа. Любой опыт разработки + интерес к безопасности — практически прямой путь. Часто переход внутри компании: разработчик → AppSec. Курсы — Secure Code Warrior, бесплатные материалы PortSwigger.

Кому подходит. Если вы умеете программировать и не хотите бросать код полностью — это ваш трек. Меньше адреналина, больше глубины. Один из самых быстрорастущих по зарплате треков в 2025–2026.

Читать в тему:

• Пентест веб-приложений по OWASP Top 10: что пропускают сканеры и как находить уязвимости в Burp Suite
• Практическая безопасность API: OWASP API Top 10, типовые уязвимости и методика тестирования
• Безопасность Infrastructure as Code: от мисконфигурации в Terraform до detection-правила в SIEM

5. Red Team / Adversary Emulation

Что делает. То же, что pentester, но в формате длинных операций (1–3 месяца), с симуляцией конкретной угрозы (APT, ransomware-group), с упором на evasion, OPSEC, скрытность. Цель — не «найти все баги», а «дойти до domain admin и не быть пойманным».

Зарплата 2026 (Москва, медиана):

• Junior Red Team (требуется 2–3 года pentest или offsec бекграунд): 200–280 000 ₽
• Middle Red Team Operator: 300–420 000 ₽
• Senior / Lead: 450 000+ ₽, часто до 700 000+

Необходимые навыки. Всё то же, что pentester, плюс: глубокое понимание EDR/SIEM и как их обходить, кастомные C2-фреймворки, AV/EDR evasion, OPSEC, malware development базово, AD post-exploitation на эксперт-уровне.

Точка входа. Через pentest (2–3 года Middle+) → внутренний переход в Red Team или offer в специализированную команду (Bi.Zone Red, Kaspersky Red, Solar 4RAYS). Прямого Junior'а не бывает почти никогда.

Кому подходит. Только если у вас уже есть бекграунд в pentest или в IR (понимание blue side). Не входной трек.

Читать в тему:

• Red Team vs SOC: как пентестер обходит EDR и SIEM в реальных проектах
• Написание C2 фреймворка на Python: от архитектуры до обхода EDR
• MITRE ATT&CK на практике: как строить сценарии Red Team и измерять покрытие техник

Если ты только начинаешь (не выбрал ещё трек)

Не пытайтесь решить «куда я пойду через 5 лет» сейчас. Решите, что вы делаете на этой неделе и в следующем месяце.

Шаг 1. Зарегистрируйтесь и пройдите 5–10 задач на hackerlab.pro — это бесплатно, по-русски, легко стартовать.

Шаг 2. Параллельно — TryHackMe «Pre-Security» и «Complete Beginner» (бесплатные комнаты). Базовые Linux/сети — то, без чего никуда.

Шаг 3. Решили 20–30 задач? Уже понимаете, что вам ближе — атака, защита, разбор, код? Это и есть выбор трека. Сейчас можно подумать о структурированном курсе. На codeby.academy есть «IB Basics» и треки под отдельные специализации (WAPT для тех, кто выбрал pentest; SOC, AppSec — отдельно).

Шаг 4. Параллельно — пишите writeup. Каждые 3–5 решённых задач = один пост на форуме. Это будет ваше портфолио к собеседованию. Без writeup'ов вход в индустрию намного тяжелее.

Статьи, с которых стоит начать:

• Зарплата в кибербезопасности 2025: реальные цифры, востребованные специализации и резюме для junior
• Специализации в кибербезопасности: Red Team, Blue Team, Purple Team — как выбрать свой путь
• Домашняя лаборатория для пентеста в 2026: от гипервизора до первого взлома уязвимого стенда
• Портфолио по информационной безопасности без опыта: пошаговая сборка с нуля до оффера

Если ты уже Junior и не понимаешь, куда расти

Распространённая ситуация: год работы в SOC L1 или ассистентом pentest'ера, и ощущение «я уперся». Что делать.

Сделайте три вещи в течение года:

1. Один сертификат, который реально просят. Pentest → eJPT, потом OSCP. SOC → BTL1 (Blue Team Level 1) или GIAC GCIH. AppSec → Burp Practitioner. DFIR → GIAC GCFA. Цель — добавить строчку в резюме, которая отличает вас от 80% других «junior без сертификатов».
2. Один pet-проект на GitHub. Не Hello World, а что-то полу-полезное: парсер CVE, мини-сканер, decoy honeypot, скрипт автоматизации YARA-правил. Что угодно, но реальное и публичное. Это отличный буфер на собеседовании — про код у вас точно спросят.
3. Один публичный writeup в месяц. На codeby.net, Habr, Хабр Q&A — где удобно. Каждый writeup строит репутацию. Через год у вас 12 публикаций, и вы узнаваемы. Это меняет финальный оффер на 30–50%.

Если в SOC L1 и хотите двигаться внутри: попроситесь на ночные смены (там реальный engagement), просите ментора в L2, разбирайте инциденты не только по runbook, а с пониманием TTPs. Через 8–12 месяцев нормального перформанса вы L2.

Статьи для роста:

• Сертификация по пентесту: OSCP vs CEH vs eJPT vs PNPT — честное сравнение от практика
• Собеседование в кибербезопасность: разбор вопросов, провальные ответы и план подготовки
• Как попасть на стажировку по кибербезопасности в 2026 году: разбор программ, требования и советы

Расскажи в комментариях

Чтобы тред не превратился в FAQ, который никто не читает — нужна обратная связь. Напишите коротко:

• На каком этапе вы сейчас? (Думаю начать / учусь самостоятельно / junior 1-й год / middle / etc.)
• Что мешает следующему шагу? (Не понимаю с чего начать / не могу найти первую работу / стек устарел / опыт не релевантен / etc.)
• Какой трек рассматриваете?

Отвечу лично каждому. Другие участники форума — тоже подключаются. Это форум, не комментарии под YouTube — здесь принято разговаривать.

Что дальше

• Тред обновляется раз в квартал. Зарплаты, рынок, новые ссылки — всё свежее. Подпишитесь, чтобы видеть.
• Свежие вакансии падают сюда же, в раздел «Карьера в ИБ» — от @codeby_jobs_bot, 12 штук в день, фильтр уже отбирает только релевантные вакансии.
• Курсы и сертификации — codeby.academy. Если хотите структуру, а не self-paced.
• Практика бесплатно — hackerlab.pro. 600+ задач, новые добавляются еженедельно.
• Свежие writeup'ы и разборы атак — раздел «Этичный хакинг».

Удачи в треке. Пишите комментарии — реально читаю.