Рубрика «Кем работать в IT» — это интервью с представителями IT-профессий, в которых специалисты рассказывают о тонкостях своей работы: плюсах, минусах, подводных камнях и заработной плате. Мы надеемся, что джунам и стажёрам она поможет больше узнать о том, что их ожидает на карьерном пути, а профессионалам — посмотреть на свою специальность через чужой опыт и, может быть, открыть для себя что-то новое.
Для этой статьи о своём опыте работы нам рассказали специалисты «Группы Астра»:
Роман,
ведущий специалист по анализу безопасности, отдел анализа защищённости
Владислав,
специалист департамента обеспечения качества, отдел тестирования безопасности ПО
По данным зарплатного калькулятора Хабр Карьеры, средний размер заработной платы пентестера во втором полугодии 2023 года составлял 122 тыс. руб. Конечно, это среднее значение. Есть те, кто зарабатывает меньше: 87 тыс. руб., а есть и те, кто получает 209 тысяч и более.
О специальности
Расскажите, чем вы сейчас занимаетесь
Роман: Я занимаюсь тестированием защищённости системного ПО, а также анализом эффективности средств защиты информации ОС Astra Linux. Анализирую трендовые CVE (Common Vulnerabilities and Exposures) и потенциальные уязвимости, выявляемые внутренними командами. Участвую в экспертном сопровождении программы Bug Bounty «Группы Астра»: анализирую отчёты, ищу схожие векторы атак, формирую предложения по развитию СЗИ для их нейтрализации. Также периодически участвую во внутренних и внешних проектах компании по анализу защищённости нашей ОС.
Владислав: Я провожу аудит внутренней инфраструктуры компании, тестирую её различные веб-сервисы (в основном корпоративные: почта, порталы и так далее) на предмет устойчивости к проникновению. Иногда появляются задачи на тестирование внешних сервисов, с которыми взаимодействуют непосредственно клиенты компании.
Какое у вас образование?
Роман: В 2012 году получил высшее образование по специальности «компьютерная безопасность».
Владислав: Высшее техническое по направлению «Информационная безопасность автоматизированных систем». Сейчас параллельно с работой учусь в магистратуре, иногда участвую в CTF (Capture the Flag). Например, на CTFZone, стараюсь посещать профильные конференции, различные митапы и тест-драйвы продуктов. Регулярно читаю статьи и оттачиваю навыки на специальных площадках. Самые популярные — Hack The Box, PortSwigger Academy и TryHackMe. Сюда также можно отнести Root Me.
Начало карьеры
Как вы узнали о своей специальности? С чего всё начиналось?
Роман: Мой отец — программист. Впервые я познакомился с «286-м», когда мне было 6 лет. Компьютер для меня был больше развлечением, но постепенно интерес к компьютерным играм вытеснило желание понимать, как в целом функционирует эта «шайтан-машина».
Я начал писать сначала простые, а затем более сложные программы на языках Pascal и C/C++. В школе я создал программу, чтобы облегчить учёбу и вычислять значения определённых интегралов. Уже на первых курсах института я понял, что делать обычные прикладные программы мне неинтересно. Тогда я начал писать вирусы, далее их дополнили эксплойты. К этому моменту я уже точно определился с тем, от чего меня драйвит моя специальность.
Владислав: Я заинтересовался программированием ещё в 8 классе, особенно привлекла веб-разработка. В старших классах узнал об ИБ, больше всего зацепила концепция вечного «противостояния добра и зла», возможность использовать свои знания для защиты. Так я твёрдо решил, что мне надо туда.
В конце 3 курса нужно было выбрать тему для будущего диплома. Именно тогда я углубился в предметные области, которые непосредственно связаны с работой пентестера. Для меня была важна уникальность: таких задач не встретишь ни в одной другой профессии.
Как вы искали свою первую работу в IT? Как долго?
Роман: Свою первую настоящую работу я получил после 3 курса института. Я её не искал, она нашла меня сама в лице проекта от Минобрнауки и заключалась в исследовании методов динамического анализа бинарного кода.
Владислав: Первая работа была Backend-разработчиком на Python. В начале третьего курса зарегистрировался на нескольких платформах для поиска работы, оформил резюме и начал откликаться на вакансии. На удивление достаточно быстро получил приглашение на интервью и уже через неделю пришёл на первое собеседование.
Расскажите про своё первое собеседование и первое место работы. Какой вы получили опыт?
Роман: В проекте от Минобрнауки я работал 2 года. Попал туда благодаря своим преподавателям, а по результатам учёбы получилось пройти без собеседований. Приобрёл свой первый профессиональный опыт в команде грамотных исследователей и разработчиков — своих старших товарищей и преподавателей. Там же я научился тщательно планировать своё время (хотелось всё посвятить интересной работе, но мог сильно пострадать учебный процесс). Именно там начали развиваться навыки исследователя безопасности.
Владислав: Первое собеседование прошло лучше, чем я ожидал. Компания искала джунов и не требовала каких-то уникальных знаний. Весь отбор состоял из одного собеседования и небольшого тестового задания в конце. Я легко справился и получил оффер, после чего стал частью небольшой команды из Front- и Backend-разработчиков. Вместе мы работали над сервисом и API к нему.
Помимо огромного буста в техническом плане, я научился работать в команде – как оказалось, это не так просто. Я на практике понял зависимость друг от друга во время разработки.
Расскажите про ваши провальные собеседования. Где это было? Какую работу над ошибками получилось сделать?
Роман: Когда я получил диплом, получилось попасть на работу по распределению от вуза. То есть собеседований в классическом смысле на моём карьерном пути почти не было. Первое общепринятое собеседование было в «Астру».
Владислав: На предыдущей позиции в другой ИТ-компании я проработал около полугода. В определённый момент мне стало интересно, что ещё может предложить рынок, и я устроил эксперимент: обновил резюме и начал откликаться.
Меня заинтересовала роль DevOps-инженера. Тогда казалось, что моих знаний разработчика вполне достаточно, и, получив приглашение на техническое интервью, я был спокоен. Но всё пошло, мягко говоря, не по плану. Я не ответил на большинство вопросов, хотя каждый был для меня знаком. Просто не хватало технической базы. Сказать, что я был расстроен после собеседования, — не сказать ничего. Но это было отличным уроком. Я узнал о проблемных областях в своих знаниях и определил свой дальнейший вектор развития как специалиста. От мыслей работы в DevOps я отказался :)
Какой была ваша первая зарплата, если не секрет?
Роман: Самую первую зарплату я получил в школе: будучи старшеклассниками, мы с приятелем вытолкали застрявшую «Волгу», за что получили от водителя по 50 рублей :) Если говорить про работу по специальности, студентом я получал приблизительно 25 000 рублей за полгода. Когда устроился на свою первую работу, мне платили больше — 30 000 рублей в месяц.
Владислав: Около 30 000 рублей. Студентом работал на неполную ставку и удалённо, поэтому был очень рад таким деньгам.
Как складывался ваш карьерный путь в IT после первой работы?
Роман: Перед тем как снова начать поиск работы, помимо финансовой составляющей я сформулировал для себя другие основные критерии:
работа должна быть лишена элементов рутины и бесполезности;
каждая выполненная задача должна приносить моральное удовлетворение;
в окружении должны находиться люди, у которых можно научиться чему-то в профессиональном плане.
И такая компания нашлась. Два года я с нуля работал над внутренним продуктом, который упростил решение возникающих задач по поиску уязвимостей. Параллельно с этим я занимался разработкой автоматизированных средств эксплуатации уязвимостей, а также исследованиями в области преодоления современных механизмов отслеживания отпечатков браузеров.
Владислав: До начала работы пентестером я успел поработать преподавателем Python-разработки. В этой роли я улучшил свои софт-скиллы, что помогает мне и по сей день. В остальном я продолжал учёбу и уже после окончания вуза решил устроиться на позицию, которая непосредственно связана с информационной безопасностью.
О компании
Как вы попали в компанию, в которой работаете сейчас? Где нашли вакансию, на какую должность и как прошло собеседование?
Роман: На предыдущем месте работы в какой-то момент я почувствовал, что хочу расти профессионально, но рост был медленнее, чем мне хотелось. Поэтому в конце 2023 года я решил изучить другие предложения.
Вакансию специалиста по анализу безопасности я нашел на сайте «Группы Астра». Откликнулся и довольно быстро получил приглашение на интервью, беседу с потенциальным руководителем. В ходе разговора убедился, что ИБ-направление мне интересно, заинтересовали задачи подразделения анализа защищённости и обрадовала готовность поддержать мои инициативы со стороны будущего руководителя. Главное, что всё это логично встраивалось в глобальный вектор развития компании по разработке и внедрению лидирующих российских ИТ-решений, в том числе СЗИ.
Более того, с «Астрой» я сталкивался неоднократно в предыдущей профессиональной деятельности, некоторые её сотрудники долгое время были моими коллегами в прошлом. После собеседования ко мне вернулись уже с оффером, и я практически сразу его принял.
Владислав: В «Астру» меня пригласили. Я не иду лёгким путём и люблю эксперименты :) Поэтому, когда я увидел, что это вакансия специалиста по динамическому и фаззинг-тестированию, стало интересно. Я понимал, что это отдалённо связано со специальностью пентестера, и решил попытать удачу. Пошёл на техническое собеседование. В этот раз я детально ознакомился с вакансией и хорошо подготовился, поэтому всё прошло удачно. Я получил оффер, меня всё устраивало, и я его принял.
Как проходил процесс адаптации? С какими трудностями вы столкнулись?
Роман: С адаптацией проблем не возникло, коллектив оказался довольно молодым и дружным, в подразделении на тот момент работало более 50 сотрудников. У руководителей есть чёткое понимание направлений развития команды и продуктов компании в целом.
Конкретно моему направлению нужно закрывать цели, связанные с проверкой безопасности реализации основных механизмов защиты ОС. Мне предоставили достаточно широкое поле для творчества в подходах к постановке и решению задач. Например, я мог сам выбрать инструментарий и методы проведения исследований с учётом моего опыта и компетенций. Помимо этого я мог напрямую влиять на формирование команды.
Владислав: Для фаззинга были необходимы навыки программирования, в частности автоматизации. Первое время было тяжело. Я получал новые задачи, которыми раньше не занимался. Например, надо было работать с большим количеством готового инструментария для тестирования и анализировать чужой код и документацию. Спустя месяц я привык к своим обязанностям, и работа пошла заметно легче. Я начал разбираться в своей области и мог самостоятельно решать большинство задач по тестированию.
Иногда всё же приходилось задавать вопросы коллегам и разбираться в теории. Порой, чтобы просто начать работу, нужно было большую часть дня тратить на изучение документаций и поиск ответов в интернете. Я считаю, что это вполне естественная составляющая работы начинающих специалистов. Не нужно бояться задавать вопросы и тратить много времени на их разбор. Все прекрасно всё понимают.
Какие знания у вас уже были, когда вы пришли в свою компанию?
Роман: К моменту прихода в компанию на протяжении предыдущих 14 лет я занимался как разработкой (full-stack в проектах на ASP.NET, драйверы для ОС Windows и модули ядра Linux, прикладное ПО и сервисы на C++ и C#), так и анализом безопасности (анализ реализаций, поиск и эксплуатация уязвимостей в IoT-устройствах, АСУ ТП, системных компонентах ОС Windows и Linux и т.д.). Также был 8-летний опыт преподавания дисциплин в области компьютерной безопасности.
Владислав: Навыки в программировании и проведении тестирований, а также в операционных системах и ИБ. Этого, к счастью, хватило.
Как вы продвигались в компании? Какие навыки в этом помогли?
Роман: Я не так давно работаю в «Астре», поэтому ретроспективный анализ пока сделать нельзя. Однако уже за этот небольшой период я узнал много нового об основном продукте компании, появились задачи, которые «зацепили» меня. При этом, помимо технических навыков в анализе безопасности и разработке, опыт и навыки работы со студентами и молодыми специалистами помогают выполнять функцию наставника для молодых ребят, чтобы они быстрее погружались в предметную область и осваивали новые методики и технологии.
Владислав: В течение первых нескольких месяцев работы я пришёл к тому, что хотел бы заниматься тестированием на проникновение. Поговорил об этом с руководителем, согласовал возможность перехода, и уже спустя месяц мне удалось попасть на желаемую позицию. В этом помогло, конечно, обучение вне рабочего времени, практика на различных платформах, изучение книг и статей, например с HackTricks и PortSwigger.
На какую среднюю зарплату вы рассчитывали тогда и что получили?
Роман: Приходя в компанию, я рассчитывал на среднюю рыночную зарплату для опытного специалиста в области компьютерной безопасности. Компания полностью удовлетворила мои ожидания. Не могу жаловаться:)
Владислав: Рассчитывал на зарплату сильно ниже, чем ту, что мне в итоге предложили. Я даже в зарплатную вилку сначала не попал :) Всё-таки самокритика иногда подводит, поэтому начинающим специалистам всегда важно анализировать рынок труда и советоваться с коллегами, имеющими больший опыт, а также быть уверенным в своих знаниях. Сейчас всем доволен.
Сейчас на Хабр Карьере почти 100 вакансий в сфере информационной безопасности. У «Группы Астра» также есть открытые вакансии для специалистов разных направлений.
Об опыте
Что сейчас нужно знать специалисту, чтобы попасть в вашу сферу?
Роман: Прежде всего нужно знать архитектуру, учитывать особенности реализации и применения объекта исследования, а также типовые сценарии атак. Для лучшего понимания чужого кода необходим опыт разработки. Нужно владеть инструментами анализа бинарного и исходного кода, также помогут навыки архитектурного анализа ПО, пентеста. При этом, поскольку упор в основном делается на анализ системных компонентов, специалисту необходим набор знаний о работе низкоуровневых механизмов, в том числе механизмов защиты современных операционных систем.
Владислав: Специалисты по тестированию на проникновение — многопрофильные ребята. Присутствует некоторое разделение по основным направлениям, но хороший пентестер должен разбираться в сетевых технологиях, операционных системах, виртуализации, программировании и автоматизации рутинных задач, и это далеко не полный список. Начинающему специалисту достаточно выбрать что-то одно и начинать развиваться с этого, а остальное пойдёт по нарастающей.
Какие бы вы выделили важные Soft и Hard Skills для специалиста вашего направления?
Роман: Soft-скиллы: творческое мышление; умение чётко выражать свои мысли, в том числе письменно; целеустремлённость; умение работать в команде; адаптивность; критическое мышление.
Hard-скиллы: навыки разработки на Python, C/C++, SQL, Java, C#; базовые знания о функционировании сетей и принципах работы наиболее часто используемых сетевых протоколов (TCP, UDP, HTTP, DNS, DHCP, SMTP); основные типы сетевых атак; принципы функционирования ОС семейства Linux; системы управления базами данных (MySQL, PostgreSQL, MongoDB); основные виды уязвимостей ПО; основные принципы криптографических методов защиты информации.
Владислав: Hard-скиллы — помимо уже озвученного, отдельно выделю знания по вебке: понимание работы прикладных протоколов, уязвимости веба, их эксплуатация, митигация и защита от них. Опыт создания приложений будет хорошим плюсом. Также полезно знать наше законодательство, различные отечественные и зарубежные стандарты и методологии тестирования. Вообще советую не бояться изучать новую информацию, которая на первый взгляд не нужна вам сейчас. Рано или поздно может понадобиться всё!
Среди soft-скиллов я бы отметил усидчивость и внимание к деталям, умение сконцентрироваться на длительной задаче. Соглашусь, очень важно умение работы в команде, ведь почти любое тестирование происходит совместно с коллегами. Ну и, конечно, умение правильно донести свои мысли. Это критично как при составлении отчётов о проведённых тестированиях, так и в общении с начальством.
Поговорим об ошибках. Что вы сделали не так, что не нужно делать новичкам?
Роман: Я бы посоветовал как можно чаще прислушиваться к конструктивной критике со стороны. В тех случаях, когда задачи становятся неинтересными и начинают носить рутинный характер, пытаться что-то изменить в лучшую сторону. Даже интересные на первый взгляд исследовательские задачи бывают оторваны от реальных проблем, поэтому стоит периодически «поднимать голову» и не бояться проводить переоценку «пути исследования».
В моей практике бывали случаи, когда решение задачи находилось достаточно быстро, но перед этим было потрачено немало усилий на проработку альтернативных способов её решения. Такие кейсы — это, несомненно, полезный опыт, но главное — вовремя остановиться!
Владислав: Самой главной проблемой считаю свою попытку разом начать изучать множество направлений. Конечно, когда начинаешь активно погружаться в профессию, хочется без остановки впитывать много информации. Но всё же стоит остановиться, понять, к какому направлению тестирования тебя больше тянет, и уделять больше времени именно ему. Остальное наберётся по ходу работы.
С чего можно начать специалисту без опыта? Какие есть возможности?
Роман: В сфере анализа безопасности, как, собственно, и во всех IT-направлениях нужно постоянно заниматься саморазвитием. Независимо от того, новичок ты или уже умудрён опытом. При этом молодому специалисту легче развиваться в нужном направлении, если есть грамотный и опытный наставник. Круг возможностей всегда зависит прежде всего от желания самого человека развиваться и интереса к решаемым задачам.
Владислав: Сейчас проходит очень много стажировок, на которых талантливые ребята получают возможность найти первую работу. Да и необязательно идти именно на стажировку: с хорошими знаниями на junior-позиции могут взять и без опыта. Главное — не гнаться за выгодой в виде хорошей зарплаты и сначала набраться опыта.
Вы проходили какие-то курсы? Что лучше всего подойдёт для развития навыков?
Владислав: Есть много как платных, так и бесплатных курсов. Порекомендую самые проверенные: HackTheBox и PortSwigger. Они считаются обязательными к прохождению, в них собрано очень много «боевых» задач.
Какие книги, статьи, подкасты, курсы стоит почитать/посмотреть для развития в профессии?
Роман: Крис Касперски «Искусство дизассемблирования», «Образ мышления – дизассемблер IDA».
Э. Гамма, Р. Хелм, Р. Джонсон, Дж. Влиссидес «Паттерны объектно-ориентированного проектирования».
А.В. Черёмушкин «Криптографические протоколы. Основные свойства и уязвимости».
В.Г. Проскурин «Защита программ и данных».
Олифер В.Г., Олифер Н.А. «Компьютерные сети. Принципы, технологии, протоколы».
Дж. Эриксон «Hacking: The Art of Exploitation».
Владислав: Советую прочитать книгу Эндрю Таненбаума «Компьютерные сети». Она даёт хорошую базу в работе с сетевыми протоколами и инфраструктурой в целом.
Если у вас есть опыт в разработке на JavaScript, можно почитать «Безопасность веб-приложений» Хоффмана Эндрю, в которой даны начальные знания для веб-тестирования. Курсы на HackTheBox и PortSwigger замечательны, но готовьтесь, что они полностью на английском. Хотя в наше время это уже не считается проблемой :)
Кстати, сообщество постоянно создаёт статьи и роадмапы для начинающих специалистов на различных площадках. С ними тоже полезно было бы ознакомиться.
Карьерный трек
Мы часто слышим от специалистов на Хабр Карьере вопрос: как понять, что я уже сеньор? Или: что мне нужно сделать и освоить, чтобы вырасти до мидла?
В каждой статье рубрики мы разбираем новую специализацию и показываем карьерный трек. Это инфографика с навыками, задачами и условиями работы, разбитыми по квалификациям.
В теории к каждому грейду можно прибавлять года 1,5 для достижения следующей ступени. На практике же всё очень зависит от способностей и целеустремлённости специалиста, а также от компании и конкретного направления. Кто-то из стажёра за полгода становится джуном, а кто-то много лет достигает звания сеньора. Всё очень индивидуально.
Зарплаты специалистов также очень сильно зависят от их опыта и знаний, от конкретной компании. Но в среднем картина по рынку существует такая:
