Статья Собеседование в кибербезопасность: разбор вопросов, провальные ответы и план подготовки

Более сотни технических интервью я провёл сам — от junior SOC-аналитиков до пентестеров. И примерно столько же прошёл как кандидат: при смене работы и на mock-собеседованиях. Знаете, что общего между кандидатами, которые проваливаются? Не отсутствие знаний. Они готовятся не к тому. Зубрят определение модели OSI (которое гуглится за 10 секунд), но не могут объяснить, на каком уровне работает их любимый сниффер и почему это важно при расследовании инцидента.

Статья записана со слов HR (партнёра нашего учебного центра).

Эта статья - не очередной список «50 вопросов и ответов» из учебника. Здесь разбор реального процесса: какие этапы вас ждут, что за вопросы на собеседовании ИБ задают чаще всего, какие ответы ведут к офферу, а какие — к вежливому завершению интервью Плюс конкретный план подготовки за две недели - с лабораторными, площадками и тренировкой soft skills.

Этапы собеседования в ИБ: от звонка рекрутера до оффера​

Прежде чем готовиться к техническим вопросам, разберитесь в структуре процесса. Собеседование пентестером или SOC-аналитиком - это не один разговор, а цепочка из трёх или пяти этапов. Каждый фильтрует по-своему. По данным HackTheBox, типичный pipeline: HR-скрининг, интервью с нанимающим менеджером, peer-интервью с будущей командой, практическое задание, финальная встреча с руководством. В СНГ чаще три-четыре этапа, но логика та же.

HR-скрининг - первый фильтр​

HR-рекрутер не будет спрашивать про уровни модели TCP/IP. Его задача - проверить минимум: релевантный опыт или образование, зарплатные ожидания, готовность к формату работы. Но бывают сюрпризы: один участник форума Codeby рассказывал, как рекрутер по телефону спросила, что такое «пинг» и для чего он нужен. Банальность - но если замешкаетесь, первое впечатление испорчено.

На этом этапе карьера в кибербезопасности зависит от трёх вещей: знание компании (зайдите на сайт, прочитайте, чем конкретно занимается их ИБ-отдел), чёткая мотивация (почему именно ИБ, а не DevOps или сисадмин) и адекватная самооценка уровня. Если в вакансии написано «опыт работы с SIEM», а вы ни разу не открывали ни один SIEM - скажите честно, но добавьте, какие лабораторные вы проходили.

Техническое интервью - ядро отбора junior ИБ специалиста​

Тут начинается настоящая проверка. Тимлид или senior-инженер гоняет по теории и практике. Формат варьируется: от устного опроса в стиле «экзамен» до совместного разбора инцидента на экране. На позицию junior ИБ специалиста вопросы обычно крутятся вокруг четырёх блоков:

• Сетевые протоколы и модели (TCP/IP, OSI, DNS, DHCP, HTTP/HTTPS)
• Криптография и аутентификация (симметричное/асимметричное шифрование, хеширование, PKI)
• Типы атак и методы защиты (DDoS, XSS, MITM, brute force, phishing)
• Инструменты (Wireshark, Nmap, Burp Suite - хотя бы на уровне «запускал, понимаю вывод»)

Момент, который многие упускают: интервьюер оценивает не только правильность ответа, но и ход мысли. Не знаете ответ - проговорите вслух, как бы вы его искали. Для ИБ-специалиста аналитический подход важнее энциклопедических знаний. Я, когда собеседую, именно на это смотрю в первую очередь.

Практическое задание и разбор кейсов​

На некоторых собеседованиях дают take-home задание или живой кейс. Для SOC-позиции - разбор PCAP-файла в Wireshark: найдите подозрительный трафик, определите тип атаки, предложите меры. Для пентестера - отчёт по результатам сканирования или разбор CVE с описанием вектора эксплуатации. На кейсовых интервью дают 15-20 минут на решение и презентацию подхода. Формат часто встречается для позиций с элементами консалтинга и управления.

Вопросы на собеседовании ИБ: полный разбор по категориям​

Ниже - не абстрактный список из учебника, а вопросы, которые реально звучат на собеседованиях. Я сгруппировал их по темам и добавил контекст: почему интервьюер спрашивает именно это и что он на самом деле хочет услышать.

Сети и протоколы - фундамент для любой позиции​

Каждое собеседование на начальную позицию в ИБ начинается с сетей. Не потому что интервьюер любит академические вопросы, а потому что без понимания сетевого стека вы не сможете анализировать трафик, настроить файрвол или объяснить атаку.

Модель OSI и TCP/IP. Участники форума Codeby подтверждают: вопрос про семь уровней OSI звучит на каждом собеседовании. Но простого перечисления мало. Интервьюер может попросить назвать два подуровня канального уровня (LLC и MAC), уточнить, на каком уровне работает ARP, или спросить, чем TCP/IP (4 уровня) отличается от OSI (7 уровней) на практике. Типичный follow-up: «На каком уровне OSI работает Wireshark, когда вы перехватываете HTTP-трафик?» Правильный ход мысли: Wireshark захватывает кадры на канальном уровне (L2), но разбирает данные вплоть до прикладного (L7).

TCP vs UDP. Классика. Ожидаемый ответ - не только «TCP надёжный, UDP быстрый», а конкретные примеры: TCP - для HTTP, SSH, FTP; UDP - для DNS-запросов, VoIP, стриминга. Продвинутый кандидат добавит: «Для ИБ разница критична - TCP-handshake (SYN, SYN-ACK, ACK) можно использовать для SYN-flood атак, а UDP-протоколы чаще эксплуатируются для amplification-атак через DNS или NTP.»

DNS и DHCP. Спрашивают, как работает DNS-резолвинг (рекурсивный vs итеративный запрос), какие типы записей существуют (A, AAAA, MX, CNAME, TXT), и почему DNS-мониторинг важен для безопасности. По данным Coursera, интервьюеры ожидают, что кандидат знает: DNS-мониторинг позволяет отслеживать запросы к вредоносным доменам, обнаруживать туннелирование через DNS и выявлять подозрительную активность на ранней стадии.

Сканирование портов и сетевое обнаружение. Если целитесь в пентест - вопрос про Nmap обязателен. В MITRE ATT&CK это техника Network Service Discovery (T1046, тактика Discovery). Вас могут попросить объяснить разницу между nmap -sS (SYN-сканирование, не завершает TCP-handshake) и nmap -sT (полное TCP-соединение), или спросить, что покажет -sV (определение версий сервисов). Один из участников Codeby рассказывал, как на собеседовании в Red Team его расспрашивали про конкретный инструмент, версию уязвимого сервиса и методику эксплуатации - так что будьте готовы к деталям.

Атаки и защита: что спрашивают на собеседовании по безопасности​

Этот блок проверяет, понимаете ли вы угрозы, с которыми придётся работать каждый день. Вопросы - от базовых определений до разбора kill chain конкретной атаки.

Триада CIA. Конфиденциальность, целостность, доступность - три столпа информационной безопасности. Вопрос кажется простым, но хороший ответ включает примеры нарушения каждого элемента: утечка персональных данных (конфиденциальность), подмена данных в БД (целостность), DDoS-атака на сервис (доступность).

Разница между уязвимостью, эксплойтом и угрозой. По данным CyberTalents и Indeed, этот вопрос входит в топ-5 по частоте. Уязвимость - слабость в системе (например, не обновлённый Apache с известной CVE). Эксплойт - код или метод, который эту слабость использует. Угроза - актор или событие, потенциально эксплуатирующее уязвимость. Риск - мера потенциального ущерба. Звучит как учебник, но попробуйте объяснить это своими словами без подготовки - большинство кандидатов плывут.

Фишинг и социальная инженерия. В матрице MITRE ATT&CK фишинг (T1566) относится к тактике Initial Access. Интервьюер может спросить: «Как вы будете защищать организацию от фишинга?» Слабый ответ - «поставим антиспам». Сильный - многоуровневый подход: обучение сотрудников распознаванию фишинговых писем, настройка SPF/DKIM/DMARC, внедрение MFA, мониторинг подозрительных переходов через IDS. Антиспам - один из слоёв, а не серебряная пуля.

Brute Force. Техника T1110 в MITRE ATT&CK (тактика Credential Access). Типичный вопрос: «Как предотвратить атаку перебором?» Ответ должен охватывать: политику сложности паролей, блокировку аккаунта после N неудачных попыток, rate-limiting, MFA, мониторинг аномальных аутентификаций в SIEM.

XSS, SQL-инъекции, MITM. Для позиций, связанных с веб-безопасностью, спрашивают про OWASP Top Ten. Кандидат должен объяснить разницу между Reflected и Stored XSS, показать базовый пример SQL-инъекции и описать, как Content Security Policy (CSP) и параметризованные запросы помогают защититься. MITM - классика на понимание сетевой безопасности: как работает ARP-spoofing, почему HTTPS не всегда спасает (SSL stripping), какие инструменты используют атакующие.

IDS vs IPS, антивирус vs EDR. Вопрос про разницу между системой обнаружения вторжений (IDS) и системой предотвращения (IPS) задают на каждом собеседовании в SOC. IDS только детектирует и уведомляет, IPS активно блокирует. HIDS работает на хосте, NIDS - на сетевом уровне. Аналогично: антивирус борется с известными массовыми угрозами по сигнатурам, EDR выявляет сложные целевые атаки через поведенческий анализ. Если путаете одно с другим - для интервьюера это красный флаг.

Криптография и управление доступом​

Симметричное vs асимметричное шифрование. По данным Indeed и CyberTalents, один из самых частых вопросов. Кандидат должен назвать конкретные алгоритмы (AES - симметричный, RSA - асимметричный), объяснить, почему в TLS-handshake используются оба типа (асимметричное - для обмена ключами, симметричное - для шифрования данных), и знать, что гибридный подход комбинирует скорость симметричного шифрования с безопасностью асимметричного.

Хеширование vs шифрование. Принципиальная разница: хеширование - односторонняя операция (MD5, SHA-256), шифрование - обратимая. Хороший кандидат добавит: «MD5 и SHA-1 считаются криптографически слабыми, для хранения паролей стоит использовать bcrypt или Argon2 с солью.» Если скажете «MD5 - нормальный хеш» - собеседование на этом может и закончиться.

Модели разграничения доступа. MAC (мандатный), DAC (дискреционный), RBAC (ролевой), ABAC (атрибутивный). Интервьюеры любят спрашивать, какая модель применяется в Active Directory (RBAC + DAC), и просить привести пример, когда ABAC предпочтительнее RBAC. Техника Valid Accounts (T1078, MITRE ATT&CK) показывает, почему управление доступом критично: компрометация легитимных учётных данных позволяет обойти большинство систем защиты.

Как отвечать на техническое интервью: примеры хороших и провальных ответов​

Теория - полдела. Формат ответа определяет, пройдёте вы или нет. Разберу три реальных примера.

🔓 Эксклюзивный контент для зарегистрированных пользователей.

Зарегистрироваться или Войти

Вопрос: «Объясните, как работает протокол TLS»

Провальный ответ: «TLS - это протокол шифрования. Он шифрует данные между клиентом и сервером. Используется в HTTPS.» Технически верно, но слишком поверхностно. Интервьюер подумает, что кандидат прочитал одну статью и не понимает механику.

Хороший ответ: «Клиент отправляет ClientHello с поддерживаемыми cipher suites. Сервер отвечает ServerHello, выбирая cipher suite, и отправляет сертификат. Клиент проверяет сертификат через цепочку CA, генерирует pre-master secret, шифрует его открытым ключом сервера. Оба генерируют сессионный ключ - дальше обмен идёт симметричным шифрованием. Если чего-то не помню в деталях handshake TLS 1.3 - готов уточнить, но принцип именно такой.» Обратите внимание на последнюю фразу: честное «готов уточнить» лучше, чем выдумывание деталей.

Вопрос: «Какие инструменты вы используете для анализа сетевого трафика?»

Провальный ответ: «Wireshark.» Одно слово - и тишина. Интервьюер ждёт контекста.

Хороший ответ: «Для перехвата и глубокого разбора пакетов - Wireshark, когда нужен GUI. Для быстрого захвата на сервере без графики - tcpdump -i eth0 -w capture.pcap, потом анализирую файл локально. Для мониторинга в реальном времени - tshark с фильтрами. Кстати, всё это по MITRE ATT&CK - техника T1040, Network Sniffing. Как защитник, знаю, что обнаружить пассивный сниффинг можно через проверку promiscuous mode на интерфейсах.»

Вопрос: «Расскажите про атаку, которую вы исследовали или воспроизводили»

Провальный ответ: «Я читал про SQL-инъекции.» Это не опыт. Это пересказ.

Хороший ответ: «На TryHackMe прошёл комнату OWASP Juice Shop, где эксплуатировал Stored XSS через форму отзыва. Внедрил скрипт, который отправлял cookie администратора на мой listener. Потом использовал украденную сессию для доступа к админ-панели. В качестве защиты - настроил CSP-заголовок, который блокирует inline-скрипты, и добавил HttpOnly-флаг для cookie.» Конкретная комната, конкретная атака, конкретная мера защиты - после такого ответа кандидата запоминают.

Подготовка к собеседованию ИБ - пошаговый план​

Ниже - план, который я рекомендую кандидатам, когда до собеседования остаётся две недели. Рассчитан на людей с базовым представлением об ИБ, которым нужно структурировать знания.

Требования к окружению для практики​

Перед началом подготовки убедитесь, что у вас есть:

• Компьютер, минимум 8 ГБ RAM (для виртуальных машин)
• VirtualBox или VMware с установленной Kali Linux (актуальная версия)
• Аккаунт на TryHackMe (бесплатный план покрывает базовые комнаты) или HackTheBox (free tier)
• Wireshark и Nmap (входят в Kali, но можно поставить отдельно на хостовую ОС)
• Стабильный интернет для работы с облачными лабораторными

Неделя 1: теория и лабораторные​

Дни 1-2: Сети. Перечитайте материал по OSI и TCP/IP. Не заучивайте определения - откройте Wireshark, запустите захват трафика и посмотрите, как реальный HTTP-запрос проходит через уровни. Выполните nmap -sV -sC scanme.nmap.org и разберите каждую строку вывода: открытые порты, версии сервисов, результаты NSE-скриптов. Это закрывает типовой вопрос про сканирование портов.

Дни 3-4: Криптография и аутентификация. Разберите TLS-handshake. Откройте Wireshark, зайдите на любой HTTPS-сайт и найдите пакеты ClientHello/ServerHello. Запомните разницу между SHA-256 (хеш), AES-256 (симметричное), RSA (асимметричное). Проработайте тему управления доступом: RBAC, MAC, DAC.

Дни 5-7: Атаки и защита. Пройдите одну-две комнаты на TryHackMe из learning path «SOC Level 1» или «Introduction to Cyber Security». Сфокусируйтесь на практическом разборе XSS, SQL-инъекции, brute force. Параллельно изучите OWASP Top Ten - не все десять до мельчайших деталей, но хотя бы топ-5 с примерами. Посмотрите матрицу MITRE ATT&CK: не зубрите все техники, но поймите структуру (тактика - техника - процедура) и научитесь приводить примеры из каждой тактики.

Неделя 2: mock-интервью и портфолио​

Дни 8-10: Тренировка ответов. Попросите друга или коллегу провести mock-интервью. Некого попросить - запишите себя на камеру (звучит глупо, работает отлично). Пройдитесь по списку вопросов из этой статьи. Отрабатывайте не только содержание, но и формат: структурированный ответ вместо потока сознания. Для поведенческих вопросов - метод STAR (Situation - Task - Action - Result): конкретная ситуация, ваша задача, действия, результат.

Дни 11-12: Оформление портфолио. Соберите writeups по пройденным комнатам TryHackMe или машинам HTB. Выложите на GitHub или личный блог. Подготовьте краткое описание каждого: какая задача, какие инструменты, какой результат. Это ваш ответ на вопрос «а есть практический опыт?» - и поверьте, среди кандидатов на junior-позиции мало кто заморачивается с портфолио. Вы сразу выделяетесь.

Дни 13-14: Финальная подготовка. Перечитайте описание вакансии. Подготовьте три-пять вопросов к интервьюеру (не «какая зарплата», а «какой стек инструментов использует ваша команда», «как устроен процесс реагирования на инциденты», «какие системы мониторинга развёрнуты»). Проверьте технику: камера, микрофон, стабильность интернета для видеозвонка.

Как попасть в информационную безопасность без коммерческого опыта​

Главный страх начинающих: «везде требуют опыт, а где его взять без первой работы». Замкнутый круг, который разбивается тремя способами.

Первый - сертификации. Необязательно дорогие вроде OSCP. Для входа хватит CompTIA Security+, которая подтверждает базовые знания, или eJPT (eLearnSecurity Junior Penetration Tester) для тех, кто целится в пентест. Даже бесплатные сертификаты от Google Cybersecurity на Coursera показывают мотивацию. Я считаю, что eJPT - лучшее соотношение цена/польза для старта: и практика, и строчка в резюме.

Второй - CTF и лабораторные. Регулярное решение задач на TryHackMe, HackTheBox или участие в CTF-соревнованиях (включая Codeby Games) - это и есть практический опыт. На собеседовании можно сказать: «Я решил 30 машин на HTB, вот мои writeups». Убедительнее, чем «прошёл курс по ИБ».

Третий - стажировки и bug bounty. Многие компании в СНГ берут стажёров в SOC. Зарплата минимальная, но через 3-6 месяцев у вас будет строчка в резюме. Bug bounty на HackerOne - ещё один путь: даже один принятый репорт демонстрирует реальный навык поиска уязвимостей, а не теоретические знания.

Портфолио и площадки для первой работы в ИБ​

Что должно быть в портфолио начинающего специалиста по безопасности:

• Профиль на TryHackMe или HTB с видимым прогрессом (стрик, ранг, решённые машины)
• GitHub-репозиторий с writeups по CTF или лабораторным
• Один-два небольших проекта: скрипт автоматизации на Python (парсер логов или сканер поддоменов), настроенная лаба (AD-домен в VirtualBox с описанием конфигурации)
• Сертификаты - даже бесплатные от Cisco Networking Academy или курсов IBM на Coursera

Где искать первую работу в ИБ: LinkedIn (особенно для международных позиций - участники Codeby подтверждают, что первые приглашения часто приходят именно оттуда), HeadHunter (фильтр по «информационная безопасность» + «без опыта» или «стажёр»), Telegram-каналы профильных сообществ, карьерные страницы компаний-интеграторов ИБ.

Soft skills на собеседовании пентестером и в SOC​

Технические вопросы - только половина интервью. По данным HackTheBox, peer-интервью (встреча с будущей командой) оценивает не столько ваши ответы, сколько способ взаимодействия: слушаете ли вы вопрос до конца, структурируете ли ответ, не паникуете ли при незнакомом вопросе.

Типичные поведенческие вопросы для ИБ-позиций:

• «Расскажите, как вы объясняли техническую проблему нетехническому коллеге.» Работа в ИБ - постоянная коммуникация с бизнесом. Если не можете объяснить руководству, почему нужен патч, в терминах бизнес-риска, а не CVE-номеров - половина вашей ценности теряется.
• «Приведите пример, когда вы ошиблись и как это исправили.» В ИБ ошибки неизбежны. Интервьюер хочет видеть зрелость: признание ошибки, анализ причины, конкретные шаги по исправлению. «Ошибок не было» - худший ответ из возможных.
• «Как вы остаётесь в курсе новых угроз?» Перечислите конкретные ресурсы: блоги (Krebs on Security, PortSwigger Research), подкасты, Telegram-каналы, RSS-ленту CVE, участие в CTF. Абстрактное «читаю новости» не считается.

Главный soft skill для трудоустройства в ИБ - умение признать границы своих знаний. Фраза «я с этим пока не работал, но вот как бы я начал разбираться» оценивается выше, чем уверенный неправильный ответ. Как отмечают в CyberTalents: «Лучше сказать, что вы не знаете, чем пытаться ответить и показать полное непонимание темы.»

Чек-лист: что проверить за день до собеседования​

Финальный чек-лист для подготовки к собеседованию ИБ - распечатайте или сохраните в заметках:

• Перечитали описание вакансии и выписали ключевые технологии (SIEM, EDR, конкретные продукты)
• Можете назвать 7 уровней OSI и 4 уровня TCP/IP без запинки
• Способны объяснить разницу: IDS/IPS, симметричное/асимметричное шифрование, хеширование/шифрование, уязвимость/эксплойт/угроза
• Имеете заготовку ответа на вопрос «Расскажите про атаку, которую вы исследовали» - с названием лабораторной, инструментом и мерой защиты
• Подготовили три вопроса к интервьюеру о команде, стеке и процессах
• Проверили камеру, микрофон и интернет-соединение
• Знаете имя интервьюера и его роль (LinkedIn в помощь)
• Зарплатные ожидания сформулированы как диапазон, а не точная цифра

Собеседование пентестером или SOC-аналитиком - это не экзамен, а диалог. Интервьюер ищет не ходячую энциклопедию, а человека, с которым можно работать в команде и который умеет думать. Покажите ход мысли, честно обозначьте пробелы и продемонстрируйте, что знаете, как их закрыть. Именно это отличает кандидатов, которые получают оффер, от тех, кому достаётся вежливое «мы вам перезвоним».

Вопрос к читателям​

Для подготовки к техническому интервью на позицию SOC-аналитика L1 часто рекомендуют TryHackMe learning path «SOC Level 1», но конкретные комнаты по-разному закрывают типичные вопросы собеседования. Какую комнату или машину (TryHackMe, HTB, HackerLab) вы бы назвали лучшей для отработки разбора сетевого трафика в Wireshark с фильтрами вроде tcp.flags.syn==1 && tcp.flags.ack==0? Укажите название комнаты и какой конкретный вопрос на интервью она помогает закрыть - соберём коллективную карту подготовки.