Кусочек из книги: "Заработок для хакера.
Полностью переработанное издание 2025 - 2026".
Напоминаю, что вы можете оформить предзаказ на данную книгу, по цене 1100 рублей, вместо 1700 рублей после релиза.
Часть III: Работа по найму - стабильный кэш
Глава 6. Пентест как профессия
- Внутренний vs внешний пентестер: зарплаты и условия
Давай сразу определимся с терминологией.
Внешний пентестер работает в компании-интеграторе (например, BI.ZONE , Positive Technologies, SolidLab, Jet). Эта компания продаёт твои услуги другим бизнесам. Сегодня ты ломаешь банк, завтра - завод по производству колбасы, послезавтра - криптобиржу. Ты - наёмник, которого вызывают, когда нужно проверить периметр и выдать красивый сертификат безопасности.
Внутренний пентестер (In-house / Red Team) сидит в штате конкретной корпорации (например, Яндекс, VK, Сбер, Тинькофф) и ломает только её. Изо дня в день, из года в год. Ты знаешь инфраструктуру наизусть и ищешь дыры до того, как продукт выйдет в продакшен.
Где лучше? Зависит от того, чего ты хочешь от жизни: драйва или спокойствия, широкого кругозора или глубокой экспертизы.
🔍 Внешний пентестер (Консалтинг / Интеграторы)
Это кузница кадров. Если ты хочешь за год прокачаться так, как инхаус-специалист прокачивается за пять лет, тебе сюда.
Условия работы и специфика:
• Конвейер проектов: Проекты длятся от 2 недель до 2 месяцев. Скучать не придётся. У тебя будет максимальная насмотренность. Ты увидишь сотни разных архитектур, кривых Active Directory, дырявых Cisco и самописных админок.
• Стресс и дедлайны: Это обратная сторона медали. Когда у тебя на проект выделено 10 дней, ты не можешь сказать: «Я тут хочу неделю посидеть, пореверсить этот бинарник». У тебя нет времени. Ты бьёшь по верхам, собираешь "низковисящие фрукты", эксплуатируешь известные CVE и пишешь отчёт.
• Бюрократия: Отчёты. Много отчётов. 30-40% твоего рабочего времени будет занимать написание документов в строгом корпоративном формате по ГОСТу. Если ты не умеешь (или ненавидишь) писать тексты - эта работа превратится в ад.
• Командировки: Раньше внешние пентестеры летали по всей стране, чтобы воткнуть Raspberry Pi в сеть заказчика. Сейчас 90% работы удалённо (через VPN), но физический Red Teaming (когда нужно перелезть через забор и клонировать пропуск охранника) всё ещё существует.
Зарплаты (рынок РФ 2026 года):
• Junior: 100 000 - 150 000 руб. Берут способных ребят с горящими глазами, базовыми знаниями сетей и пониманием OWASP Top 10.
• Middle: 180 000 - 280 000 руб. Ты можешь самостоятельно закрыть проект «под ключ», обходишь базовые антивирусы, уверенно чувствуешь себя в сетях Windows/Linux.
• Senior: 300 000 - 450 000+ руб. Умеешь писать свои эксплойты, руководишь командой из 2-3 человек на сложных проектах, общаешься с CISO заказчика.
Бонусы: Часто есть система премий (% от стоимости закрытого проекта), оплата сертификаций (OSCP, PNPT) за счёт компании.
👁 Внутренний пентестер (In-house / Red Team / AppSec)
Это гавань для тех, кто устал от конвейера и хочет глубоко копать. Внутренние команды (особенно в бигтехе) - это элита.
Условия работы и специфика:
• Глубокое погружение: У тебя нет дедлайна «сломать за 2 недели». Ты можешь месяц изучать исходный код одного микросервиса на Go, чтобы найти сложный Race Condition. Ты не просто ломаешь, ты помогаешь строить (Shift-Left Security).
• Работа с разработчиками: Если внешний пентестер сломал, отдал отчёт и ушёл, то ты остаёшься. Тебе придётся идти к разработчикам, объяснять им, почему их код дырявый, и вместе придумывать, как это закрыть так, чтобы костыль не отвалился при следующем релизе. Софт-скиллы здесь решают всё.
• White-box тестирование: У тебя есть доступ ко всему: исходникам, документации, архитектурным схемам. Тебе не нужно гадать, какая версия библиотеки стоит на бэкенде - ты можешь просто посмотреть в pom.xml.
• Рутина: Обратная сторона инхауса - скука. Когда ты сломал всё, что мог, и настроил процессы, твоя работа может превратиться в чтение однообразных отчётов от сканеров и согласование релизов. Чтобы не закиснуть, внутренние безопасники часто организуют киберучения (Purple Teaming) или играют на Bug Bounty в свободное время.
Зарплаты (рынок РФ 2026 года):
• Junior (AppSec / SecOps): 130 000 - 180 000 руб. Часто берут бывших разработчиков, которые перешли в ИБ, или толковых выпускников профильных вузов.
• Middle: 250 000 - 350 000 руб. Ты полноценно аудируешь продукты, встраиваешь проверки в CI/CD пайплайны.
• Senior / Red Team Operator: 400 000 - 600 000+ руб. Сюда зашиты опционы, RSU (акции компании) и годовые бонусы. Топовые Red Teamer'ы в банках или бигтехе зарабатывают на уровне Senior разработчиков.
Бонусы: ДМС со стоматологией, фитнес, льготная IT-ипотека, акции компании, спокойный график с 10 до 19 без ночных дедлайнов (если только не случился инцидент).
⚔ Векторы атак на карьеру: Что выбрать тебе?
Давай честно: если ты новичок, сразу попасть во внутреннюю команду Яндекса или Тинькофф на хорошую позицию очень сложно. Там нужны люди, которые уже умеют всё.
Идеальный карьерный трек в 2026 году выглядит так:
1. Старт (1-2 года): Интегратор (Внешний пентест). Иди в консалтинг. Да, будешь пахать как проклятый. Да, будешь писать тонны отчётов. Но за два года ты взломаешь 50 разных компаний, научишься общаться с клиентами, поймёшь, как устроена защита в реальном мире, и обрастёшь связями. Это твоя армия, твой Boot Camp.
2. Масштабирование (2-4 года): Переход в In-house. Набравшись опыта, ты переходишь во внутреннюю безопасность крупной продуктовой компании на позицию Middle+/Senior. Зарплата вырастает в 1.5-2 раза. Уходит стресс от дедлайнов. Ты начинаешь прокачивать AppSec (безопасность приложений) и автоматизацию.
3. Высшая лига (5+ лет): Bug Bounty / Свой бизнес / CISO. Сидя на тёплом месте в инхаусе и получая свои 400к, ты в свободное время лутаешь баунти на платформах (потому что у тебя есть время и глубокая экспертиза). Или становишься руководителем направления (CISO), или открываешь свой бутиковый консалтинг, потому что клиенты, которых ты ломал в интеграторе, теперь хотят работать лично с тобой.
Лайфхак: Как пройти собеседование? Если идёшь в интегратор - покажи свои сертификаты (PNPT, OSCP) и профили на HackTheBox. Им нужны "боевики". Если идёшь в инхаус (особенно AppSec) - покажи, что ты умеешь читать код (Python, Go, JS) и знаешь, как работают Docker и Kubernetes. Им нужны "инженеры".
🛠 Практическое задание
Разведка по рынку (HR-Recon).
1. Открой файл «Мой хакерский трек». Создай раздел «Мой карьерный вектор».
2. Зайди на HeadHunter ( hh.ru ) или Хабр Карьеру.
3. Цель 1 (Внешний пентест): Вбей в поиск Пентестер или Специалист по тестированию на проникновение. Найди 3 вакансии от компаний-интеграторов ( BI.ZONE , Jet, Security Vision и т.д.). Выпиши 5 самых частых требований к хард-скиллам (например, Active Directory, Burp Suite, Nmap).
4. Цель 2 (Внутренний пентест): Вбей в поиск AppSec или Application Security Engineer. Найди 3 вакансии от продуктовых компаний (VK, Яндекс, Банки). Выпиши 5 их главных требований (там точно будут SAST/DAST, чтение кода, CI/CD).
5. Сравни эти списки. Посмотри, какие навыки у тебя проседают больше всего, и напиши себе план обучения на ближайший месяц. «Эй, ты забыл про обфускацию!» - вспомнишь ты, когда на собеседовании спросят про обход WAF.
Нет комментариев