У пентестеров есть не так уж много вариантов трудоустройства: либо фриланс, либо штат в качестве специалиста по тестированию на проникновение. Однако компании почти не берут кандидатов сразу после собеседования, поэтому наиболее оптимальный вариант — попытать счастья на стажировке.
Где взять первый опыт
Не будет большим открытием, если мы скажем, что кандидаты без практического опыта работодателям не интересны от слова «совсем». Даже в качестве стажеров. Поэтому первым делом нужно обзавестись каким-никаким портфолио — это будет лучшим демонстратором ваших навыков и умений. Какие варианты можно выбрать:
1. Проекты в вузах
Способ, оптимальный для студентов-бакалавров направления «Информационная безопасность». Вузы регулярно проводят олимпиады, конкурсы и хакатоны по различным аспектам кибербезопасности, включая тесты на проникновение. Победители и призеры нередко становятся кандидатами в штатные сотрудники крупных IT-компаний, либо получают возможность стажироваться на производственной практике.
Также студенты могут выполнять и защищать собственные проекты по тематике пентеста, которые впоследствии помогут с поиском первого места работы.
2. Самостоятельное изучение пособий, книг и видеоуроков по пентесту
Самый трудный и замороченный путь к первой стажировке, который тем не менее принесет пользу, если подойти к процессу ответственно. Поскольку большинство пентестеров сейчас — энтузиасты-самоучки, такой подход сработает, если попутно с изучением теории:
- Регулярно практиковаться на тренажерах, таких как hackthebox;
- Брать заказы на фрилансе и набивать руку;
- Рассылать свое резюме в крупные структуры, прикладывая выполненные проекты;
- Разместить объявления о себе в чат-ботах Telegram по поиску работы или фриланса.
Минус такого варианта — самоучек без опыта при трудоустройстве рассматривают в последнюю очередь. Плюс — экономия денег и больше простора для практики
3. Участие в соревнованиях по хакингу и защите информации (CTF)
Отличный способ набраться той самой практики — это участвовать в различных состязаниях и конкурсах. Кандидатов с таким бэкграундом отлично берут не только на стажировку, но и сразу в штат. Кроме того, опыт в CTF дает больше возможностей для заработка на фрилансе.
4. Онлайн-курсы, интенсивы, воркшопы и вебинары
IT-школы предлагают просто гигантский выбор всевозможных мероприятий по пентесту и информационной безопасности. Кандидату в белые хакеры можно с бесплатных курсов, а затем переключиться на платные.
Такой вариант будет оптимальным для специалистов с опытом в системном администрировании или разработке. Для вчерашних выпускников есть онлайн-магистратуры по кибербезопасности, где в числе прочего учат и тестам на проникновение.
Онлайн-курсы по пентесту хороши тем, что:
- Информация систематизирована и разложена по полочкам;
- Много практики на реальных задачах и специальные тренажеры;
- Есть живое сообщество сокурсников и обратная связь от преподавателя;
- Наиболее успешные выпускники становятся кандидатами на трудоустройство в крупные компании;
- Учебный центр помогает с трудоустройством, составлением резюме, либо ищет варианты стажировки;
- После выпуска у кандидата будет готовое портфолио с практикой и решенными задачами.
5. Поиск наставника и участие в деятельности коммьюнити
Регистрируйтесь на всех возможных тематических площадках, где можно обмениваться опытом и спрашивать совета. Таковыми могут быть GitHub, Хабр, группы в соцсетях, профильные форумы, тематические каналы в Slack и Telegram.
Сайты со стажировками и удаленной работой для белых хакеров
Отметим, что лучше искать стажировки на международных площадках — здесь больше выбора и возможностей. Однако нужно хорошо владеть английским языком (не ниже C1).
-
Indeed ( https://indeed.com) — один из крупнейших мировых ресурсов для поиска работы, где можно найти как стажировки, так и полноценное трудоустройство в области информационной безопасности;
-
LinkedIn (https://linkedin.com) — социальная сеть для профессионалов, в которой есть разделы «Вакансии» и «Стажировки». Здесь также можно найти объявления для кандидатов;
-
Glassdoor (https://glassdoor.com) — ресурс, на котором работники делятся отзывами о компаниях и данными по зарплатам. Он также предлагает список актуальных вакансий и возможность поиска стажировок;
-
Cybersecurity Job Boards (например, https://cybersecurityjobs.net/ или https://cyberinternacademy.org) - специализированные ресурсы для поиска работы и стажировок в сфере кибербезопасности;
-
Хабр.Карьера (https://career.habr.com/) — крупнейший отечественный ресурс по поиску работы и стажировок для IT-специалистов. Здесь можно найти всевозможные варианты трудоустройства и получить дельные советы от участников сообщества.
Кстати, не забывайте проверять сайты компаний напрямую: многие из них имеют раздел «Карьера» или «Вакансии», где есть возможности для выпускников вузов и других кандидатов
Польза CTF для поиска стажировки пентестеру
Соревнования по хакингу, также известные как CTF (Capture The Flag), очень хорошая опция для всех кандидатов в белые хакеры. Если хорошо себя проявить во время учебных взломов, можно попасть на стажировку даже в международную компанию.
CTF-соревнования проводятся как локально, так и на международном уровне. Популярные площадки, где можно:
- CTFtime (ctftime.org) — крупнейшая международная платформа для поиска информации о предстоящих и прошедших соревнованиях по хакингу. Здесь есть календарь событий, результаты прошлых соревнований, актуальные события. Также есть возможность вписаться в команду пентестеров для обмена опытом;
- Hack The Box (hackthebox.eu) — онлайн-платформа для проведения виртуальных CTF-соревнований, где участники могут испытать свои навыки на реалистичных задачах;
- Хакатоны.рф — единая общероссийская площадка с различными состязаниями для IT-специалистов. Есть календарь событий, где регулярно появляются новые мероприятия;
- Pentest Awards — первая в России ежегодная премия для пентестеров. Проводится, как правило, летом в нескольких номинациях. Организатором выступает одна из крупнейших пентестерских компаний в РФ Awillix, а партнерами — известные игроки IT-рынка, такие как VK. К слову, стать кандидатом на стажировку даже после участия в премии будет значительно легче.
Участие в подобных событиях поможет не только прокачать навыки, но также расширить знания о методологиях тестирования на проникновение и получить ценный опыт работы в команде при решении сложных задач связанными с кибербезопасностью.
Ведущие российские IT-компании для белых хакеров
В России есть немало компаний, которые специализируются на защите данных, а также занимаются консалтингом в сфере кибербезопасности. Они постоянно находятся в поиске новых кандидатов на должность штатных специалистов ИБ, или пентестеров — участников Red Team.
- Центр киберзащиты Национальной ассоциации международной информационной безопасности (НАМИБ) — одна из крупнейших организаций в России, предоставляющая услуги по кибербезопасности и проведению тестирования на проникновение;
- Positive Technologies — один из ведущих разработчиков продуктов, решений и сервисов, связанных с киберзащитой. Специализируется также на услугах по тестированию на проникновение, аудиту безопасности и другим видам защиты от кибератак;
- Kaspersky Lab — международная компания с головным офисом в Москве, которая предлагает широкий спектр продуктов и услуг по кибербезопасности, включая известный антивирус. Они также могут нанимать белых хакеров для проведения пентестинга или участия в программе Bug Bounty;
- Infosecurity — компания-разработчик различных решений для защиты от цифровых угроз, специализируется в основном на b2b-решениях. Также предоставляет консалтинговые услуги (аудит ИБ, проверки на соответствие требованиям законодательства) и различные виды тестов на проникновение.
Важно помнить, что перед походом на собеседование или подачей заявки следует тщательно проанализировать, какие компетенции и навыки они ждут от соискателя — иначе мероприятие окажется пустой тратой времени.
