← Ко всем статьям

Я собеседовал почти 100 ИБ-спецов и вот, как советую новичку в пентесте искать работу

Автор статьи: Егор Богомолов

← Ко всем статьям

Я собеседовал почти 100 ИБ-спецов и вот, как советую новичку в пентесте искать работу

Автор статьи: Егор Богомолов
ПРИВЕТ!
Меня зовут Егор Богомолов. Я основатель и управляющий директор CyberEd, основатель агентства белых хакеров Singleton Security. В ИБ больше 10 лет, специализируюсь на наступательной кибербезопасности и успел поработать в HackerU, Wallarm, BI.ZONE и Positive Technologies.

Я сам прошёл два-три десятка собеседований, в какой-то момент начал проводить интервью с пентестерами, а потом и с другими специалистами: нанимал инженеров, продажников, коммерческих директоров, CISO. Сейчас у меня в подчинении около 50 человек, 20 из них — пентестеры. Поэтому я успел ощутить проблемы найма и связанных процессов как в роли сотрудника, так и в роли руководителя.

В статье расскажу про свой подход — пригодится, если начинаете карьерный путь в пентесте.
КАК Я ОТБИРАЮ КАНДИДАТОВ

Меня всегда бесило, когда эйчары не вдупляют, что нужно искать по инженерии, и пытаются по чек-листу проверить технический опыт пентестера. На мой взгляд, это пустая трата времени, потому что для таких вещей нужен стейкхолдер. А задача HR — посмотреть, подходит ли человек по условиям работы: место, график, деньги и другие моменты.

Поэтому в идеале я стараюсь держаться такой схемы:

1.Открытые испытания, где можно провести базовый отсев через тестирование.
2.Собеседование с HR: они проверяют, насколько человек адекватный и подходит по условиям.
3.Если всё в порядке, и у кандидата в резюме есть подходящий опыт, его собеседуют инженеры.
4.Если инженеры подтверждают, что это незаурядный человек — ему не просто интересно, а есть предрасположенность, талант и трудолюбие — тогда встречаюсь сам.
В корпорациях часто не так

В крупных компаниях обычно другой подход: кроме Яндекса и Сбера редко кто ищет звёздочек. Остальным просто нужен человек, который будет закрывать базовые задачи, желательно дольше и качественнее, без всяких закидонов. Собирают нормисов — зато стабильно.
ЧТО ДОЛЖНО БЫТЬ В РЕЗЮМЕ

Отсутствие опыта работы у начинающего пентестера — не проблема. Очень много талантливых ребят ковыряются в задачах дома, а потом выходят настоящие самородки. Коммерческий опыт нужен для сеньорских позиций и управления. Для хорошего исследователя он вообще не важен.

Но резюме не должно быть пустым. Нужно показать какой-то незаурядный опыт, который вы получили. Если готовитесь к своей первой работе, опишите путь — что и когда делали, сколько времени тратили, — и зафиксируйте всё, что освоили: направления, технологии, техники и другие вещи.
Хороший кандидат: хотя бы год занимается безопасностью и может показать результаты

Какие турниры проходил, на каких платформах участвовал, что изучил. Это «мясо», по которому работодатель может пройтись и понять, что вы реально потратили месяцы, а лучше целый год.
Идеально, если результаты можно валидировать онлайн: по нику увидеть, что вы решили сотню или две машин. Зарешенная вдоль и поперёк платформа, написанные вами глубокие статьи — это сигналы, что стоит пообщаться. Особенно, если вы молоды: значит, есть большой потенциал, и на это вдвойне интересно посмотреть.
ЧТО ВАЖНЕЕ ДЛЯ НОВИЧКА: ЗНАНИЯ VS МЫШЛЕНИЕ

На старте для меня важнее мышление и потенциал. Человек вполне может чего-то не знать — вопрос в том, как он подходит к задаче и исследованию. Например, если он недостаточно погрузился в проблему и сказал: «тут ничего не работает», — он сразу не справился как исследователь, пентестер или инженер. Другое дело, если человек понимает: ответ есть, просто он его ещё не нашёл.

Для этого важно уметь закопаться и что-то спросить у команды. А у многих инженеров и других ИБ-спецов с этим проблема: боятся спросить, выглядеть слабыми, — и в итоге делают не то.
Важно не бояться просить откровенную обратную связь

В России нет проблем с откровенностью, так что это очень полезно начинающим. Но важно научиться не спрашивать всё подряд, а выбирать ключевые вопросы — такие, чтобы получать ответы, необходимые для результатов.
ПОМОГУТ ЛИ СЕРТИФИКАТЫ И КУРСЫ

Дрочилово в сертификаты ни к чему хорошему не приводит. Со временем смотрю на них всё меньше. Они могут помочь новичкам: покажут, что человек бойкий. Но для сеньоров вообще не важны. Если человек работает 8 лет и обмазан сертификатами, скорее всего, он не научился ценить свой реальный опыт.

Для меня гораздо важнее, когда люди что-то исследуют, собирают, делают, а не пытаются оправдать скиллы бумагами. Думаю, продвинутому спецу ценнее участвовать в турнирах, делать инструменты, быть известным в комьюнити, выступать на событиях или организовывать их.

Чтобы впечатлить работодателя, нужно приносить результат, который он может трактовать. Например, курсы в CyberED позволяют это сделать: программы известны, карты компетенций есть, поэтому можно понять, что человек освоил.

Но просто сказать «я прошёл CyberED» недостаточно — таких людей много. Важно не только закончить обучение, но и вынести оттуда навыки и подходы. Тут как с вузом: вас возьмут на работу не за то, что вы его закончили, а за то, что там делали и с какими результатами вышли.
КАКИЕ ЕСТЬ ЗЕЛЁНЫЕ И КРАСНЫЕ ФЛАГИ ПРИ ВЫБОРЕ КАНДИДАТОВ

Вот что могу выделить:

🟢 Технический вуз за плечами. Это показывает, что у человека, скорее всего, есть важный бэкграунд. Бывает, что людям и без него хватает общей эрудиции, но, как правило, у кандидатов без технического образования есть серьёзные пробелы в предметной области. Это большая проблема для инженера, хакера или исследователя.

🟢 Потраченное время и зафиксированные результаты. Об этом писал выше: ценно иметь описанный путь длиной хотя бы в год и состав ваших компетенций. Это уже можно обсуждать на собеседовании.

🟢 Проектный и исследовательский опыт. Например, участие в какой-то игре. Можно показать, что изучали на работе, помимо выполнения самих задач — это сигнал, что вы развиваетесь.

🔴 Пустые или совсем заурядные резюме. Когда человек просто делал на работе задачи, но не изучил ни одной технологии, не получил инсайтов и не показал свои интересы.

🔴 Несовпадение кандидата и позиции. Бывает, человек давно перерос позицию, но почему-то хочет пойти на три уровня ниже — это выглядит странно. Конечно, есть реальные дауншифтеты, которые потом снова взлетают — такого тоже надо не потерять, — но чаще стоит проверить, что у человека в голове.

🔴 Завышенные требования к работодателю. Странно, когда кандидату нужно какое-то супер-изобилие. Хочется, чтобы в договорённостях был баланс.
НА ЧТО СМОТРЮ ПОМИМО HARD SKILLS

Для меня важны такие вещи:

  • Понимаю ли, что хочет кандидат. Стараюсь узнать, что человеку нравится — чтобы правильно его применить.
  • Не придётся ли мотивировать кнутом. Стараюсь брать тех, кто уже сам себя замотивировал на это направление.
  • Есть ли у кандидата потенциал. Часто важнее не то, что вы знаете сейчас, а кем можете стать. Иногда в большом бизнесе нужны именно опытные игроки, но чаще всего потенциал играет ключевую роль.
  • Можно ли с человеком идти в долгий путь. Интересно ли мне будет поработать с ним десять лет. Конечно, это сложно увидеть на собеседовании, но можно как-то почувствовать.
Кибербез
Пойми, твоя это игра или нет
Приходи на честный разбор профессий в кибербезопасности, получи бесплатные материалы для старта и ценные подарки.
не для всех
18-19 февраля
ЧТО СПРАШИВАЮ НА СОБЕСЕДОВАНИЯХ

Помимо стандартных и необходимых вопросов, есть несколько вещей, которые я хочу проверить на собеседовании:

Стараюсь узнать, в каких темах человек лучше всего себя чувствует — и послушать его. Для этого специально задаю простые, иногда глупые вопросы и смотрю, как кандидат объясняет то, в чём разбирается.

Пытаюсь оценить эрудицию. Не обязательно в формате «зачелленджить»: скорее хочу понять, насколько глубоко он может пообщаться на тему, поддержать разговор.

Узнаю, тратит ли человек свободное время на развитие в рабочих задачах. Считаю это важным, потому что работа — это не размен времени на деньги, а часть нашей жизни. Если кандидат пытается улучшить качество этой составляющей — это долгосрочная инвестиция, с которой хочется быть рядом.
КАКИЕ ОШИБКИ ЧАСТО ВИЖУ В РЕЗЮМЕ И НА СОБЕСЕДОВАНИЯХ

❌ Завышать свои знания и опыт. Бывает, начинаю проходиться по опыту из резюме и понимаю, что там пустота. Значит, человек неадекватно себя оценивает: так будет и дальше.

❌ Рассказывать не про лучший опыт, а про недавний. Мне кажется, это недооценка себя.

❌ Придумывать опыт работы, если его нет. А мне важен не опыт работы, а просто опыт: исследования, практика с инструментом. Можно год коптить небо где-то в корпорации: главное, что вы за это время сделали и что можете рассказать.
КАК ВЫБРАТЬ РАБОТОДАТЕЛЯ

Мне кажется, сначала важно идти туда, где вы наберёте много опыта. Смотрите на потенциал работодателя: что вы сможете узнать и изучить в этой компании.

Можно начать с того, чтобы заниматься разными задачами. В этом плане консалтинг — хороший вариант, чтобы быстро развиваться вширь.

Если хочется копать вглубь, то иногда стоит идти в inhouse. Там можно взять одну тему и заниматься ей целый год. Но это по-своему скучно.

Ещё советую новичкам не идти сразу на собеседование в большие компании. Сначала сходите в маленькие: немного обкатайтесь, чтобы потом с первого раза произвести правильное впечатление.
ВАС ВЗЯЛИ НА ИСПЫТАТЕЛЬНЫЙ СРОК — ЧТО ДАЛЬШЕ

Покажите себя в разных стезях. Желательно не останавливаться на одной задаче, лучше взять десять и решить из них четыре или шесть. Так руководитель поймёт, что у вас есть таланты и возможности.

Не нужна исполнительность в формате «я сейчас расшибусь об стенку и сделаю задачу, которую не умею решать». Наоборот — лучше показать, что уже умеете и сделать несколько задач, которые вам по силам.

ИБ-комьюнити маленькое и комфортное: цените свою репутацию. Например, если кто-то из моей компании выйдет на рынок, я об этом узнаю, потому что коллеги спросят, можно ли собеседовать этого специалиста.

Много работайте и не сдавайтесь. У нас в Singleton Security погружение новичков в работу выглядит, как обучение плаванию в имперской России — бросаем в воду. Даже в десять вод сразу.

Ладно, шучу. Есть и бадди-наставничество, и education-портал, и разные записи, которые помогают освоиться, но много задач даём сразу. Не ждём супер-результатов: важнее показать, как вы подходите к работе и общаетесь.
и зарабатывай на знаниях прямо во время обучения
Получи востребованную профессию в ИБ
Оплачиваемые стажировки 
для лучших студентов
Поможем выбрать подходящую специальность
Поддержка наставников во время и после обучения
Теория и практика от топовых экспертов из Kaspersky Lab, Positive Technologies, Bi. Zone и других лидеров отрасли