Недавно вышел пост от Алексея Лукацкого, где он затронул тему того, как можно в нынешних условиях развиваться в сфере информационной безопасности. Во многом я с ним согласен, однако есть некоторые моменты, которые хотелось бы подправить или раскрыть чуть глубже. Важно понимать, что разница между нами заключается в том, что Алексей, как он сам сказал, окончил вуз 30 лет назад, долгое время работает в отрасли и, несмотря на то, что продолжает находиться на острие профессии, всё же может быть несколько далёк от пути, который сегодня должен пройти студент по направлению ИБ, чтобы стать практикующим специалистом.
Это всё, конечно, лирика, но без неё сложно объяснить контекст.
Часто спрашивают: с чего начать в информационной безопасности? Отвечу сразу — пройдя путь от студента до практикующего специалиста, я не могу дать однозначного ответа. И, как ни странно, это хорошая новость! Если раньше, в 2015–2018 годах, CTF и платформы вроде HTB были практически единственным качественным способом учиться в команде, то сейчас ситуация изменилась кардинально. Информации стало значительно больше: она лучше структурирована, доступнее и разнообразнее. Появились отечественные аналоги вроде киберполигона BI.ZONE и STANDOFF 365, а также множество зарубежных платформ.
Главная суть в том, что сегодня материалов действительно очень много. Не существует единственно правильного пути в топовую компанию — каждый может выбрать то направление, которое ближе и интереснее именно ему. И в этом, пожалуй, главное преимущество современного времени.
Прежде чем переходить к, казалось бы, простому вопросу «с чего начать», давайте разберёмся с классификацией сфер информационной безопасности.
Хочу ввести собственную классификацию — не встречал её в литературе, поэтому не кидайтесь камнями :) Это сделано исключительно для упрощения понимания студентами, которые только поступили и пока не представляют, в какую под-сферу им двигаться.
1️⃣ Военная / Силовая ИБ — Контрразведка, радиоэлектронная борьба, защита государственной тайны и шифрование. (Об этом, если вы поступили на курс ИБ, вам хорошо расскажут в вузе.)
2️⃣ Государственная / Национальная ИБ — направление по линии Минцифры, Банка России, ФСТЭК, МВД и других госструктур. (Сюда относятся институты, где целью деятельности не является получение прибыли.)
3️⃣ Частная / Бизнес-ИБ — частная деятельность, направленная на защиту от кибератак, соответствие требованиям регуляторов, расследование инцидентов внутри компании. (Здесь всё строится вокруг интересов бизнеса, поэтому подход отличается.)
Очень важно с самого начала понять, какая сфера вам ближе. Я для себя выбрал последнюю — коммерческую ИБ, потому что именно здесь чаще всего сталкиваешься с передовыми атаками, инновационными подходами и высокой скоростью внедрения решений. К тому же бизнес готов это финансировать. Именно в этом направлении я и буду дальше раскрывать тему развития.
И вот теперь наконец-то — с чего начать?
Ответ на самом деле прост: начать что-то делать. Специалист по ИБ — это человек, который умеет отвечать на вопросы, а их в работе всегда больше, чем ответов. Поэтому нужно научиться постоянно учиться и получать удовольствие от процесса, ощущая прогресс с каждым днём.
Есть несколько ключевых качеств, которые стоит развивать:
1️⃣ Умение искать и фильтровать информацию. Это базовый навык, без которого невозможно расти. Нужно не просто находить данные, но и критически оценивать их, отделяя достоверное от ложного, а полезное — от информационного шума.
2️⃣ Усидчивость и концентрация на результате. В ИБ часто приходится погружаться в сложные задачи, требующие терпения и внимательности. Важно доводить начатое до конца, сохраняя фокус.
3️⃣ Готовность жить профессией. Информационная безопасность — это не просто работа, а образ мышления. Интерес к технологиям, угрозам и новым векторам атак не должен угасать даже после окончания рабочего дня.
А есть ли жизнь кроме CTF?
Коротко говоря — да! И, что приятно, зачастую с шашлыками и джакузи :)
? Стажировки
Это отличный старт для практического опыта. Обычно формат такой: вы подаёте заявку, проходите тест, попадаете в общую группу и начинаете обучение. Всё проходит удалённо. На первом этапе изучается база: Linux, Windows Active Directory, сети, веб и иногда DevOps. По результатам отбирают лучших, которые переходят на второй этап — интенсивы по выбранному направлению. Там уже идёт работа в прямом эфире с командой, разбор реальных кейсов и защита собственных решений.
Важно понимать: даже если вас не возьмут в штат, вы уже выиграли — опыт, знания и связи бесценны. Я сам проходил стажировку у Positive Technologies. Да, тогда у компании был непростой период, и часть ребят не взяли, но почти все из нашей группы впоследствии нашли отличную работу, а многие даже на более высокие позиции. Так что стажировки — это мощный инструмент роста.
? Форумы
Отдельная важная часть развития. В России проводится множество форумов: PHDays, OffZone, SOC Forum, Кибербезопасность в финансах, Цифротех и другие. Есть и международные — kazHACKstan, Black Hat.
Преимущество форумов в том, что там выступают топовые специалисты, а записи докладов обычно доступны онлайн — рекомендую каналы конференций PHDays и OFFZONE. Также стоит обратить внимание на CyberCamp, полностью онлайн-форум.
Если у вас есть возможность посещать форумы лично — это ещё лучше. Можно познакомиться с коллегами, задать вопросы спикерам, пообщаться с HR на стендах (а иногда и получить мерч). Форумы — это не просто события, а важный источник знаний, вдохновения и возможностей.
⚔️ Кибербитвы
Ещё одна захватывающая активность — кибербитвы. Это формат соревнований, где моделируется цифровое государство с реальными СЗИ и системами управления. Есть команды Синих (защитников) и Красных (атакующих). Побеждают те, кто эффективнее выполняет свою роль. Среди красных - команды реализовавшие большее количество недопустимых событий и рисков для бизнеса, среди синих - команды которые предотвратили или заметили большее количество атак. Потренироваться на СЗИ можно на полигоне от STANDOFF - cyberbones. Он бесплатен.
Порог входа выше, чем в CTF, но и отдача колоссальная — вы получаете опыт, максимально приближенный к реальным атакам. Чтобы подготовиться, можно пройти тренировочный эмулятор Standoff Cyberbones, а затем поучаствовать в реальных мероприятиях: Студенческая кибербитва Innostage, Международная кибербитва Positive x Jetx, Standoff 16 и другие.
? Ресерчи, статьи, GitHub
Сейчас это мой основной источник знаний. Каждый день появляется что-то новое, и я часто читаю статьи по дороге в вуз. В России много частных издательств, публикующих исследования, например Positive Research или журнал Хакер.
Также компании вроде BI.ZONE, F6, Positive Technologies, RedSecurity, Angara, Cicada8, Bastion и другие регулярно публикуют свои отчёты и аналитические материалы.
Отдельно стоит следить за Telegram-каналами — если интересно, напишите мне, поделюсь подборкой (@thankspluxury).
GitHub — вообще отдельная вселенная. Количество полезных инструментов и репозиториев там безгранично. Обязательно пользуйтесь!
И, конечно, Habr — отличный источник как технических статей, так и забавных мемов.
? Bug Bounty
Ещё одно интересное направление — Bug Bounty. Это программы, в которых компании приглашают независимых исследователей безопасности искать уязвимости в их продуктах.
В России уже сформировалась целая экосистема таких платформ:
1️⃣ Standoff 365 Bug Bounty (от Positive Technologies)
2️⃣ BI.ZONE Bug Bounty (от BI.ZONE)
3️⃣ Bug Bounty Ru (от Киберполигона и Синклита)
Кроме того, есть частные программы, например, у Яндекса и Контура.
Почему это интересно? Потому что это реальная практика: вы работаете с настоящими системами и за найденные уязвимости получаете вознаграждение. Даже если знаний пока немного — не беда. Мы с одногруппником начали, имея минимальные знания о XSS, и через пару месяцев уже смогли набить неплохой рейтинг на платформе:
Так что главное — начать. Не ждите идеального момента: если кажется, что «ещё не время», значит, уже опоздали. Прогресс — это всегда прыжок выше головы.
Как я и обещал, материала действительно много, и выбор пути зависит только от вас. Мой собственный путь занял 8 месяцев — от первых CTF до устройства в компанию на позицию специалиста по расследованию инцидентов. Не бойтесь проходить собеседования — даже если не возьмут, это всё равно опыт. Главное — двигаться в том направлении, к которому лежит душа.
И помните: играем в долгую.
Если у вас остались вопросы — смело пишите их в комменты, на все отвечу
Комментарии (4)
thxStuck Автор
26.10.2025 07:56Стажировки как путь нынче способ довольно сложный, Angara Sec, Касперы, Солар и т.п. только офис. Какой-нибудь Т-Банк только по хакатонам. У позитивов лавочка закрылась. В том числе и потому это происходит, что удаленно стажёры порою элементарные вещи выполнить не могут и бегут к нейронке.
- Есть проблема что действительно не любят стажеров без опыта коммерческого - потому что некоторые индивиды действительно такие, как описал. Про стажи - есть онлайн и оффлайн этапы, на онлайн чаще с минимумом попадешь и там можно завести не плохие знакомства - как было у меня. Про оффлайн - далеко не всегда это мск и питер, но город не много основных, штук 7-8. Про ТБанк - они хантят на стажу с ctf-ок, участвуйте в том, где партнер ТБанк + Чемпионаты и первенства РФ и к вам придут.
Багбаунти актуален в основном для красных, если багажа знаний в этой области нет, то надо трижды подумать, ибо как в статье отмечено нынче источников знаний и площадок для обучения много, но большинство из них либо время отбирают в пустую, либо являются информационным шумом с компиляцией несколько раз пережеванной информации, а студенту сейчас важнее всего правильно распределять свое время, иб требует огромного багажа хардов, а не как кадровики говорят "хардам научим, главное софты".- Ну я заходил на бб решив пару тасок, открывав пару раз бурпсьют. - Просто сидел глядел доклады, читал статьи и отчеты и через месяц-полтора начал получать деньги за баги. Так что считаю вполне реальным. Важно - у все как я сказал свой путь и в этом красота этой сферы:)
Никто вас ничему учить не будет, что в сфере, что за ней уже давно закреплён принцип "не умеешь сам, иди учи других". В большинстве своем дилетант, вас "менторящий", дальше вас в теме на один пункт. Конечно, можно выдавать себя за спеца как нынче многие и делают, успешно продавая поверхностные навыки, но рано или поздно рынок выплюнет и таких, ибо много безопасников нужно только госухе.
- Если бы говорим про коммерческие курсы - я согласен. Часто именно так. Более того курсы почти все это про базу, а не про какие-то углубленные знания. Ну вот сделай ты курс углубленным - его никто не купит потому что : сложно и не нужно. Курсы это вот если ты только пошел в ИБ и тебе хочется базу. Рекомендую тут - https://stepik.org/course/169003/syllabus и https://stepik.org/course/203660/syllabus, ну и куда без - https://stepik.org/course/208904/promo . А так еще почитать - https://cybersecurity-roadmap.ru/ .
Про большой бизнес и сферу вообще отдельная дискуссия, у РФ рынка есть еще оч большая глубина, но она не прогрета и идти туда компаниям сложно - они растут быстрей чем бизнес осознает нужность иб и его надо греть на это, причем греть здесь - это вообще не про обман, просто видно же что когда случаются какие-то взломы - у нас сразу появляются много компаний заказчиков. Позитивы разрослись потому что быстро росли и по выручке и даже продуктами перестали закрывать свои минусы, но ИБ компаний на 3к сотрудов не так много и остальные вполне таки развиваются.
Из всего выше выведу опять мысль — автор комментария на самом деле во многом прав, но это все не противоречит тому что говорил я — просто я во многом делился тем, какой путь был у меня — а у вас будет свой.
Hdggsf
Стажировки как путь нынче способ довольно сложный, Angara Sec, Касперы, Солар и т.п. только офис. Какой-нибудь Т-Банк только по хакатонам. У позитивов лавочка закрылась. В том числе и потому это происходит, что удаленно стажёры порою элементарные вещи выполнить не могут и бегут к нейронке. В мою пору "некоторые" с сетями справиться не могли но успешно проходили жалуясь кому надо, что тоже должно заставить людей 300 раз подумать, прежде чем в это лезть ибо затраченное время на все это довольно часто не окупается и учиться вы будете прежде всего срезать углы. Сейчас, как и раньше, нормальное обучение студентам может предоставить только HTB, THM и LetsDefend + теория из учебников, потому что CTF это круто, набиваешь руку, но обычно больше, чем стандартный инструментарий калюхи человек не осваивает, а некоторые из таких спецов боятся потом RFC открыть и прочесть, я не говорю даже о базе операционок. Багбаунти актуален в основном для красных, если багажа знаний в этой области нет, то надо трижды подумать, ибо как в статье отмечено нынче источников знаний и площадок для обучения много, но большинство из них либо время отбирают в пустую, либо являются информационным шумом с компиляцией несколько раз пережеванной информации, а студенту сейчас важнее всего правильно распределять свое время, иб требует огромного багажа хардов, а не как кадровики говорят "хардам научим, главное софты".
Поэтому я студентам дал бы иной совет: пока они в вузе, лучше заниматься самообучением на озвученных ранее платформах, прошедших проверку временем и не зацикленых на продукте одного вендора, действительно нарабатывать базу, поднимать собственные лабы иначе на рынке удаленки или в центре страны они будут не конкурентоспособны. Никто вас ничему учить не будет, что в сфере, что за ней уже давно закреплён принцип "не умеешь сам, иди учи других". В большинстве своем дилетант, вас "менторящий", дальше вас в теме на один пункт. Конечно, можно выдавать себя за спеца как нынче многие и делают, успешно продавая поверхностные навыки, но рано или поздно рынок выплюнет и таких, ибо много безопасников нужно только госухе. А что происходит с большинством в бизнесе мы на примере позиков уже увидели.