Добро пожаловать в пентест - красивых взломов не будет, но будет много букв

Ты рассчитываешь взламывать серверы под техно, а вместо этого три дня объясняешь в Word, почему пароль «123456» плохо защищает систему. Именно так выглядит карьера начинающего пентестера для большинства, кто в неё приходит. Не скучно, нет. Но совсем не то, что продают курсы.

Проблема не в профессии. Проблема начинается раньше, когда человек выбирает не специальность, а образ. «Мистер Робот», YouTube-видео «взлом WiFi за пять минут», статьи про шестизначные зарплаты этичных хакеров. Всё это рекламирует пентест, никак не объясняя, чем пентестер занимается большую часть времени.

Здесь честный разговор: чем реально живёт профессия, почему новички быстро разочаровываются и куда идти, если хочется в кибербезопасность, но пентест окажется не твоим.

Что происходит в реальном рабочем дне

Заказчик хочет проверить безопасность своей инфраструктуры. Пентестер не садится и сразу не начинает ломать сети. Сначала несколько дней договариваются, что именно проверяют: что можно трогать, что нельзя, в какое время, какие системы закрыты. Потом разбираются, как устроена сеть, ищут слабые места, пробуют зайти, упираются в ограничения, возвращаются назад и только после этого садятся за отчёт.

Отчёт вообще отдельная история. Хороший технический документ по итогам пентеста занимает десятки страниц: описание каждой уязвимости, её критичность по шкале CVSS, шаги воспроизведения, рекомендации по устранению. Никаких автоматических выгрузок: готовый отчёт из инструмента не заменит ручной работы, потому что автоматика находит только известные паттерны. Думать и объяснять всё равно придётся руками.

Сколько от всего этого занимает «красивый взлом»? Процентов десять-пятнадцать. Остальное подготовка, рутина и текст.

Большинство проектов укладываются в одну-три недели. За это время нужно разведать инфраструктуру, найти уязвимости, попробовать их использовать и задокументировать результат. Клиент часто закрывает важные системы от тестов или блокирует инструменты в середине работы. Это обычное дело.

И юридическая сторона, куда без неё. Без договора и чётко прописанных рамок работы ты не белый хакер, а потенциальный обвиняемый по статье 272 УК РФ (неправомерный доступ к компьютерной информации). Компании, предоставляющие услуги пентеста, обязаны иметь лицензию ФСТЭК и держать в штате специалистов с профильным образованием и стажем от трёх лет. Граница между этичным хакингом и уголовным делом проходит по бумаге с подписью. Романтика работает только внутри этого контура.

Три причины, по которым новички разочаровываются

Первая и главная: порог входа оказывается выше, чем ожидалось. Человек, который не понимает, как живёт сеть, не атакует инфраструктуру. Он запускает чужой скрипт и надеется, что скрипт умнее него. В среднем комфортный вход в профессию занимает три-четыре года работы системным администратором или разработчиком, либо эквивалентную практику. Без понимания сетевых протоколов, архитектуры веб-приложений, принципов работы Active Directory атаки превращаются в нажимание кнопок без понимания результата.

Рынок курсов об этом не предупреждает. В итоге человек проходит обучение, решает несколько задач на HackTheBox, получает сертификат и обнаруживает, что вакансий для начинающих с зарплатой 200 тысяч для него нет. Потому что начинающий специалист в пентесте на российском рынке имеет реальный технический бэкграунд и как минимум год практики, а не свежепройденный курс. Но даже при наличии базы люди теряются - потому что выбирали направление вслепую, без понимания, чем одна роль отличается от другой и куда она ведёт через пару лет. Разобраться в этом до того, как вкладывать время и деньги, можно через программу Старт в ИБ от CyberEd — там детально разбирают профессии и помогают найти точку входа под конкретный бэкграунд. Программа бесплатная: внутри разбор направлений ИБ, карьерные консультации с практиками и персональный план входа в профессию.

Вторая причина: рваный ритм. Работа пентестера лишена стабильности. Проекты заканчиваются, заказчики приходят и уходят, задачи редко выстраиваются в ровную очередь. Тому, кто ищет предсказуемый график с девяти до шести, такая неопределённость быстро надоест.

Третья: технологии меняются быстрее, чем успеваешь учиться. Каждый год появляются новые классы уязвимостей, фреймворки, инструменты. Специалист, который перестал учиться полгода назад, уже отстаёт. В атакующей безопасности это ощущается острее, чем в большинстве других ИБ-ролей.

Как понять, что пентест не твоё

Тебе нечего делать в пентесте, если от одной мысли про Word тошнит, а согласование каждого шага с юристами заказчика кажется потерей времени. Здесь не только ломают: каждый взлом нужно доказать на бумаге, объяснить бизнесу на понятном языке и выдержать два раунда правок. Если нравится только момент эксплуатации уязвимости, а всё вокруг него раздражает: ни сети, ни Linux, ни бюрократия, разочарование придёт быстро.

Пентест подходит тому, кто получает удовольствие от копания в системах, а не только от финального «я внутри». Кто способен спокойно писать длинные технические отчёты и не считать такую работу наказанием. Кому интересны сети, веб, Active Directory сами по себе, а не как ступенька к «красивому взлому». Кого рутина не пугает, а сжатые сроки заряжают, а не давят.

Что реально ждёт в первый год

Примерно 70% времени уйдёт на то, чтобы разобраться в базе: как работают сети, операционные системы, протоколы, инструменты. Красивых взломов почти не будет. Будет чужая инфраструктура, где всё неудобно настроено, отчёты с правками и переправками, постоянное доучивание по вечерам. Первый год в атакующей безопасности проходит в лабораториях, на учебных платформах вроде HackTheBox, в администрировании или смежных ролях. Не потому что рынок жестокий, а потому что иначе любая атака превращается в стрельбу по темноте.

Кто принимает это заранее, тот проходит первый год как инвестицию. Кто не принимает, уходит разочарованным.

Где на рынке реально не хватает людей

Пентест занимает первое место по популярности среди новичков, но не самое дефицитное на рынке труда. По данным Positive Technologies, число занятых в российской ИБ-отрасли к 2023 году достигло 110 тысяч человек, а дефицит вырос до 45% от численности занятых. По совместному исследованию SuperJob и Positive Technologies, число открытых вакансий в ИБ стабильно растёт на фоне нехватки кандидатов. Голод есть, но распределён он неравномерно.

SOC-аналитики. Первые на линии огня: видят атаку в реальном времени, работают с SIEM-системами, реагируют на инциденты. Рынок сервисов SOC в России за 2024 год вырос на 60%, и нехватка специалистов только усилилась. Порог входа значительно ниже, чем в пентест: базовые знания сетей, Linux и понимание принципов атак дают старт. Из 4 миллионов незакрытых вакансий по кибербезопасности в мире 27% приходится именно на SOC-позиции.

DevSecOps. Архитектор-параноик, который вшивает замки в фундамент здания ещё до того, как его построят. Встраивает безопасность в процесс разработки на каждом этапе. По данным аналитиков Positive Technologies, DevSecOps остаётся самым быстрорастущим направлением в ИБ: спрос на специалистов опережает предложение в пять раз. Найти уязвимость на этапе кода в сто раз дешевле, чем разбираться с последствиями инцидента, и бизнес это понял.

AppSec-инженеры. Атаки через цепочки поставок ПО и компрометацию открытых репозиториев сделали безопасность приложений приоритетом. Компании проверяют код на уязвимости до релиза, и специалистов, умеющих делать это в темпе разработки, мало. AppSec ближе к разработчику с ИБ-уклоном, чем к классическому пентестеру: нужно понимать код изнутри и работать в команде разработки, а не приходить «снаружи» раз в год.

Аналитики угроз (Threat Intelligence). По оценкам Positive Technologies, дефицит TI-аналитиков составляет 32% от потребности рынка. Задача: собирать и интерпретировать данные об актуальных угрозах, понимать, кто атакует, какими инструментами и что искать. Профессия на пересечении разведки и ИТ, где аналитическое мышление ценится не меньше, чем технические навыки.

Облачная безопасность. Бизнес переходит в облака быстрее, чем появляются специалисты, понимающие специфику атак на облачные среды. Знание конкретной платформы добавляет к зарплате заметную прибавку даже на уровне специалиста среднего грейда.

Отдельный момент про госсектор. По данным SecurityLab, спрос на ИБ-специалистов в государственных структурах стабильно опережает предложение. После 2022 года ускорилось импортозамещение, и организациям срочно нужны специалисты, умеющие работать с отечественными решениями: MaxPatrol SIEM, KUMA, продуктами Kaspersky, Positive Technologies, BI.ZONE. Знание этого стека повышает рыночную стоимость заметнее, чем любой международный сертификат.

Если всё равно хочется в атакующую безопасность

Маршрут на шесть-двенадцать месяцев, без скидок на мотивацию.

1. Сети. TCP/IP, DNS, HTTP, маршрутизация. Без этого всё остальное висит в воздухе.
2. Linux. Не «умею открыть терминал», а уверенная работа с системой, правами, процессами, логами.
3. Windows и Active Directory. Большинство корпоративных инфраструктур живёт здесь. Понять архитектуру AD нужно до того, как атаковать её.
4. Веб. Как работают HTTP-запросы, куки, аутентификация. OWASP Top 10 наизусть.
5. Python. Хотя бы на уровне написания простых скриптов для автоматизации и разбора данных.
6. Лаборатории и платформы. HackTheBox, TryHackMe, VulnHub для практики на специально уязвимых машинах. Из российских платформ стоит обратить внимание на CyberEd: там есть курсы по пентесту и смежным направлениям с упором на практику в реальных условиях.
7. Реальный опыт в смежной роли. Администрирование, поддержка, SOC или AppSec дают то понимание среды, которое не купить ни на каком курсе.

Только после этого имеет смысл всерьёз смотреть на позиции начинающего специалиста в пентесте. Не потому что рынок жестокий, а потому что тогда взлом будет взломом, а не запуском скрипта наугад.

Как выбрать без самообмана

Проблема не в том, что новички идут в пентест. Миф о «крутом хакере» приводит в отрасль мотивированных людей, и это хорошо: кибербезопасность испытывает острый кадровый голод почти во всех направлениях.

Проблема начинается, когда человек выбирает не профессию, а образ из сериала. Тогда первые же месяцы оборачиваются разочарованием: реальность и ожидание расходятся по содержанию, по темпу, по результату.

Пентест не плохая профессия и не профессия мечты. Пентест просто требует длинного входа, крепкой базы и терпения к рутине. Если после честной проверки себя интерес к атакующей безопасности не пропал, значит, идти туда стоит. Если пропал, рынок ИБ ничего не теряет: в SOC, AppSec и DevSecOps нужны люди не меньше. Главное - не выбирать направление наугад. Стоит сначала разобраться, чем одна роль отличается от другой, где твоё мышление и темп работы совпадают с реальностью профессии — и только потом вкладывать время и деньги.

Источники:

• https://www.securitylab.ru/analytics/536552.php
• https://www.consultant.ru/document/cons_doc_LAW_10699/d9e4316cce7f4735c4c36e08e5d0ea94b01c3e37/
• https://xn--90ao1ar.xn--p1ai/pentest/
• https://www.securitylab.ru/analytics/537266.php
• https://habr.com/ru/articles/774514/
• https://ptsecurity.com/ru-ru/research/analytics/rynok-truda-v-informaczionnoj-bezopasnosti-v-rossii-v-2024-2027-gg-prognozy-problemy-i-perspektivy/
• https://tproger.ru/news/skolko-zarabatyvayut-specialisty-po-informacionnoj-bezopasnosti-v-2025-godu--issledovanie
• https://habr.com/ru/companies/pt/articles/943256/
• https://cyber-ed.ru/
• https://lab.cyber-ed.ru/kiberbez