Как стать специалистом по кибербезопасности с нуля без опыта — мой самостоятельный путь в инфобезопасность в 2026 бесплатно

Я вошёл в кибербез без профильного образования: за восемь месяцев прошёл путь от «что такое TCP/IP» до первого оффера на позицию junior-аналитика SOC. Если хотите повторить — алгоритм такой: разобраться с сетями и Linux, выбрать одно направление внутри профессии, прокачать его на практических платформах вроде TryHackMe, собрать портфолио из трёх реальных кейсов и начать откликаться.

Главная ошибка, которую я видел у других — пытаться «выучить кибербезопасность» целиком. Поэтому первое, что вам нужно сделать — выбрать направление. Сделать это можно уже на втором месяце обучения, попробовав базовые задачи в каждом из них.

Три стратегии бесплатного старта

Стратегия 1. Собрать базу через бесплатные модули топ-школ

Крупные школы дают бесплатный доступ к вводным курсам — и это не маркетинговые демо, а полноценные часы практики.

• Skillbox. «Кибербезопасность с нуля: взламываем и защищаем серверы за 5 дней». Пять бесплатных занятий: перехватываете пароль, подделываете письмо, настраиваете сервер и защищаете его от перебора. Ничего предварительно устанавливать не нужно. Это лучший первый шаг, чтобы проверить — интересно ли вам вообще копаться в этом. 
• Яндекс Практикум. «Специалист по информационной безопасности: веб-пентест». Первые 20 часов программы открыты без оплаты. Интерактивный тренажёр, симуляция реальных атак на веб-приложения — формат очень близкий к боевым условиям.
• Cisco NetAcad — Introduction to Cybersecurity. Официальный бесплатный курс Cisco с сертификатом по итогу, самостоятельный темп, разбирает сети, основные угрозы и базовую защиту инфраструктуры — хорошая теоретическая база перед практикой.

Стратегия 2. TryHackMe как основной тренажёр

TryHackMe — это браузерная платформа с готовыми виртуальными машинами. Ничего не нужно устанавливать: кликаете «Запустить», и перед вами живая уязвимая система, которую надо взломать по заданию. Бесплатный тариф даёт доступ к сотням комнат и одному часу AttackBox в день — этого достаточно для ежедневных занятий.

Конкретные пути, полностью бесплатные:

• Pre-Security — сети, Linux, веб: 40 часов структурированного контента с нуля;
• Complete Beginner — первый взлом, работа с Metasploit, базовый веб;
• SOC Level 1 — мониторинг угроз, работа с SIEM, разбор инцидентов — прямой путь к первой работе.

Оптимальный режим: 3-4 месяца на TryHackMe для фундамента, потом переход на HackTheBox для более сложных задач без подсказок.

Стратегия 3. CTF-соревнования с первой недели

Многие ждут, пока «достаточно выучат». Я начал участвовать в CTF на второй неделе и решил три задачи из двадцати — это нормально. Каждая решённая задача = конкретная техника атаки, которая запоминается намертво.

Площадки для старта:

• picoCTF — создан Carnegie Mellon University специально для новичков, уже почти 1 миллион участников по всему миру, полностью бесплатно;
• CTFtime.org — календарь всех соревнований, фильтр по сложности;
• OverTheWire — бесплатные wargames для прокачки Linux и сетей в игровом формате.

После каждой решённой задачи пишите write-up: что нашли, какую технику применили, что узнали. Это одновременно закрепление знаний и первые публикации в портфолио. Публикуйте на Habr или в личном Telegram-канале — работодатели смотрят на это внимательнее, чем на резюме.

Три пути в профессию специалиста по кибербезопасности: выбирайте свой

Путь 1. Полностью бесплатный — реально, но требует дисциплины

Этот путь я частично прошёл на себе, поэтому говорю честно: он работает, но без структуры легко потратить три месяца на хаотичное переключение между темами.

Шаг 1. Бесплатный буткемп от Skillbox «Кибербезопасность с нуля: взламываем и защищаем серверы за 5 дней» — пять занятий с реальными задачами в браузере, ничего устанавливать не нужно. Лучший первый шаг, чтобы понять, интересно ли это вам вообще. 

Шаг 2. Cisco NetAcad «Introduction to Cybersecurity» — бесплатно, с сертификатом, разбирает сети, типы угроз и базовую защиту.

Шаг 3. TryHackMe — путь Pre-Security: 40 часов контента с нуля, всё бесплатно, браузерная практика без установки ПО.

Шаг 4. picoCTF от Carnegie Mellon University — первые CTF-соревнования специально для новичков, полностью бесплатно.

Шаг 5. Три учебных кейса: write-up решённой CTF-задачи, аудит домашней сети через Nmap, разбор публичного инцидента с Habr. Публикуете на GitHub — это и есть портфолио.

Минус пути: без куратора легко застрять на неделю там, где опытный специалист объяснил бы за десять минут. 

Путь 2. Бюджетный курс — оптимально для большинства

Если есть 100-180 тысяч рублей или возможность взять рассрочку — это самый разумный вариант. Получаете структуру, дедлайны и живую обратную связь по работам.

• Skillbox. «Профессия Специалист по кибербезопасности + ИИ». 12 месяцев, 12 виртуальных машин для тренировки, CTF-формат обучения, 2 проекта в портфолио, помощь в трудоустройстве, рассрочка от 5 751 ₽/мес. Ведут практикующие специалисты из Alibaba Cloud. 
• GeekBrains. «Профессия Специалист по кибербезопасности 2.0». Программа регулярно обновляется под актуальные угрозы, включает Python, Linux, Burp Suite, ELK Stack, Wireshark, анализ трафика и пентест. Формат для juniorов с нуля. 
• Skillfactory. Курс по информационной безопасности. Прикладной уклон с акцентом на практических лабах. Именно то, на что смотрит работодатель на собеседовании. 

Мой совет по этому пути: смотрите не на цену, а на наличие виртуальных стендов и живой обратной связи по проектам.

Путь 3. Полноценная программа с наставником и трудоустройством

Если хотите войти в профессию системно — с сильным портфолио, поддержкой при поиске работы и углублённой специализацией.

• Яндекс Практикум. «Специалист по информационной безопасности: веб-пентест». Интерактивные тренажёры, симуляция реальных атак на веб-приложения. 
• Нетология. «Специалист по информационной безопасности + нейросети». 22 месяца, до 6 проектов в портфолио, 70+ заданий, уникальная интеграция ИИ для threat detection — использование машинного обучения для обнаружения угроз и анализа логов.
• OTUS. «Информационная безопасность с нуля». Программа охватывает DevSecOps, безопасность облачных систем, reverse-engineering и защиту веб-приложений. Ориентирован на тех, кто хочет выйти на уровень middle-специалиста. 

Что нужно знать о профессии до старта

Кибербезопасность — одна из немногих IT-профессий, где дефицит специалистов измеряется десятками тысяч позиций: за 5 лет спрос вырос на 35%, в энергетике — на 64%, в промышленности — на 85%. Вот что важно понять до того, как начнёте.

Это не одна профессия — их пять

Главная ошибка новичков — учить «кибербезопасность вообще». Направления принципиально разные по навыкам, зарплате и порогу входа:

Для первой работы проще всего идти через SOC — вакансий больше всего, и требования к juniorу реалистичные.

Реальные зарплаты в 2026 году

Цифры ниже — медианы по рынку, данные hh.ru и anti-malware.ru:

• Junior / SOC L1 — 80 000-120 000 ₽ (Москва), 65 000-100 000 ₽ (регионы);
• Middle — 170 000-230 000 ₽, пентестер middle — около 220 000 ₽;
• AppSec middle — медиана 226 000 ₽, максимум до 400 000 ₽;
• Senior / Lead — от 300 000 до 600 000 ₽ в нишевых специализациях;
• CISO (директор по ИБ) — до 1 000 000 ₽.

Рынок переполнен низкоквалифицированными кандидатами — работодателям буквально некого нанимать. Это значит, что специалист с реальной практикой и портфолио находит работу быстро, а человек с теоретическим сертификатом без лабов — годами.

Базовый стек, который нужен всем

Вне зависимости от направления — это минимум, без которого на собеседование лучше не идти:

• Сети: TCP/IP, DNS, HTTP/S, как работает файрвол и NAT;
• Linux: командная строка, права доступа, работа с логами и процессами;
• Python: написать скрипт для автоматизации, парсинга, работы с сетью;
• OWASP Top 10: десять самых распространённых уязвимостей — это стандартный вопрос на любом интервью;

Если после изучения базы захочется идти по структурированной программе с наставником — сильные варианты с практическими лабами: Яндекс Практикум, Нетология и Skillfactory.

Теоретическая база специалиста по кибербезопасности

Я пытался игнорировать теорию и сразу лез в CTF-задачи. Через месяц упёрся: не мог объяснить, почему атака работает — просто копировал команды из туториалов. Два дня на проработку базы это исправили полностью.

Блок 1. Сети — фундамент всего

Любой инцидент начинается с того, что кто-то взаимодействует с сетевой инфраструктурой. Без понимания этого невозможно анализировать атаки и настраивать защиту.

Что именно нужно знать:

• Модель OSI — семь уровней, что происходит на каждом: именно там формируются дыры;
• TCP/IP, UDP, DNS, HTTP/HTTPS, ARP, DHCP — не наизусть, а понимать, что происходит при каждом запросе;
• Маршрутизация и подсети — как пакет попадает из точки А в точку Б и где его можно перехватить;
• Файрволы, VPN, NAT — как они работают и как их обходят.

Инструменты для первой практики: Wireshark (смотрите живой трафик) и Nmap (сканируете свою домашнюю сеть, находите открытые порты).

Блок 2. Linux и Windows — среда, где живут атаки

80% боевых серверов работают на Linux — без уверенной работы в терминале на собеседование идти рано.

Что нужно уметь в Linux:

• Командная строка: ls, grep, netstat, ps, chmod, find;
• Права доступа и файловая система;
• Работа с логами: где они лежат, как читать, что искать при анализе инцидента.

Что нужно знать про Windows:

• Active Directory — как устроена доменная инфраструктура компании;
• Журналы событий — откуда берётся информация об инцидентах;
• PowerShell на базовом уровне — многие атаки идут именно через него.

Блок 3. Криптография — без неё не понять половину атак

Не нужно реализовывать алгоритмы — нужно понимать, как они работают и где ломаются:

• Симметричное шифрование: AES и его режимы — где применяется и почему старый DES сломан;
• Асимметричное шифрование: RSA, ECC — как работает пара ключей, как строится доверие;
• Хэш-функции: SHA-2, MD5 — что такое коллизия и почему MD5 нельзя использовать для паролей;
• TLS/SSL — что происходит при каждом HTTPS-соединении: хэндшейк, сертификаты, PKI;
• Атаки на криптографию: man-in-the-middle, атаки на слабые режимы — понять механизм, не реализовывать.

Блок 4. OWASP Top 10 — обязательная программа

Это список десяти самых распространённых уязвимостей веб-приложений. Любой работодатель ожидает, что вы это знаете.

Топ-5 из них, которые встречаются чаще всего:

• SQL-инъекция (A03) — как злоумышленник читает базу данных через поле ввода;
• Broken Access Control (A01) — обход авторизации, получение чужих данных;
• Cryptographic Failures (A02) — слабое шифрование, хранение паролей в открытом виде;
• XSS (Cross-Site Scripting) — внедрение кода в страницу через пользовательский ввод;
• Insecure Design — архитектурные ошибки, которые нельзя исправить патчем.

Практикуйте каждую уязвимость на TryHackMe или в лаборатории DVWA — это бесплатно и занимает по 30-40 минут на тему.

Блок 5. Python — минимальный порог

Уровень разработчика не нужен. Нужно уметь писать скрипты под конкретные задачи:

• Парсинг логов: читаем файл, ищем паттерн, выводим аномалии;
• Работа с сетью: простой порт-сканер, запросы через requests;
• SQL-инъекция: написать проверочный скрипт руками — это лучшее объяснение того, как она работает;
• Автоматизация рутины: переименование файлов, анализ дампов, работа с API.

Что читать параллельно

• «Компьютерные сети» Таненбаума — лучший учебник по сетям, читается тяжело, зато после него всё встаёт на место;
• «Hacking: The Art of Exploitation» Эрикссона — после неё перестаёте воспринимать атаки как магию;
• Habr, anti-malware.ru, securelist.ru — читайте разборы реальных инцидентов ежедневно по 15 минут.

Как собрать портфолио специалиста по кибербезопасности без реальных заказов

Главный страх новичка — «у меня нет реальных заказов, кто меня возьмёт?». По опросу практикующих специалистов, 84% работодателей говорят, что длинный список курсов без практики вообще не производит впечатления, а 78% — что write-up'ы на GitHub или Habr впечатляют сильнее любого диплома. Портфолио в кибербезе строится иначе, чем в других профессиях.

Способ 1. Write-up'ы CTF-задач

Решили задачу на TryHackMe или picoCTF — сразу пишите разбор по структуре: что за задача, что нашли, какой инструмент применили, что узнали. Публикуете на Habr или GitHub.

Минимальная цель — 10 write-up'ов: именно после этого GitHub начинает выглядеть как осознанное портфолио, а не случайный набор файлов. При темпе 2 задачи в неделю это три месяца.

Формат каждого write-up'а:

• Описание задачи и начальные данные;
• Инструменты и команды с объяснением, почему именно они;
• Скриншоты ключевых шагов;
• Вывод: что за уязвимость, как защититься.

Способ 2. Домашняя лаборатория

Поднимаете VirtualBox или VMware, ставите Kali Linux и уязвимую машину — Metasploitable или DVWA. Документируете всё: схему сети, список виртуальных машин, что проверяли и что нашли.

Это работает потому, что работодатель видит не просто «знаю Kali Linux», а конкретные артефакты: скриншоты, команды, отчёты. 61% специалистов по найму говорят, что задокументированная домашняя лаборатория производит сильное впечатление.

Что показать в портфолио из лабораторной работы:

• Схема сети с описанием виртуальных машин;
• Отчёт по сканированию Nmap с интерпретацией результатов;
• Разбор одной проэксплуатированной уязвимости: нашёл — воспроизвёл — описал — объяснил защиту.

Способ 3. Python-скрипты с практическим смыслом

Два-три скрипта с README и примерами запуска — это уже полноценный раздел портфолио. Конкретные идеи, которые одновременно прокачивают навык и показывают мышление:

• Сканер портов — пишете аналог Nmap на Python, объясняете в README, как он работает;
• Парсер логов — скрипт, который читает лог-файл Apache и выводит подозрительные запросы;
• Чекер IoC — скрипт, проверяющий список IP-адресов через VirusTotal API;
• Детектор слабых паролей — проверяет список хэшей MD5 по словарю.

Способ 4. Разбор публичного инцидента

Берёте любой громкий инцидент — их десятки на Habr, Threatpost и anti-malware.ru — и пишете структурированный разбор:

• Что произошло и какая инфраструктура была атакована;
• Какой вектор атаки использовали (фишинг, уязвимость, инсайдер);
• Как обнаружили;
• Что можно было сделать для предотвращения.

Это показывает аналитическое мышление — именно то, что нужно SOC-аналитику.

Как оформить GitHub правильно

По данным опроса практиков, работодатели смотрят на GitHub до резюме — и сразу видят несколько вещей:

• Заполненный профиль: аватар, bio, ссылка на Habr или Telegram-канал;
• Закреплённые (pinned) репозитории — не более 6, самые сильные работы;
• README в каждом репозитории: что это, как запустить, что показывает;
• Регулярная активность — коммиты не раз в месяц, а стабильно несколько раз в неделю.

Чего делать не нужно

Работодатели прямо говорят, что не впечатляет:

• Длинный список пройденных курсов без единого практического артефакта;
• CEH-сертификат без write-up'ов и проектов;
• Фраза «знаю кибербезопасность» без конкретики — это топ-1 антипаттерн по мнению нанимающих специалистов.

Когда и где искать первую работу

Большинство людей ждут, пока будут «достаточно готовы». Это ловушка — готовы не будете никогда, это нормально. Реальный момент для старта поиска — когда есть 2-3 кейса в портфолио и вы можете объяснить каждое своё решение.

Когда конкретно начинать

По реалистичному сценарию с занятиями 20-30 часов в неделю:

• Месяцы 1-3. Фундамент: сети, Linux, Python, базовая теория ИБ;
• Месяцы 4-6. Специализация: TryHackMe SOC Level 1 или пентест-направление, первые CTF;
• Месяцы 7-8. Первые write-up'ы, домашняя лаборатория, GitHub;
• Месяцы 9-10. Портфолио из 3–5 проектов, активность в сообществе;
• Месяц 10-11. Начинаете откликаться, параллельно продолжая учиться;

При более медленном темпе 5-10 часов в неделю — сдвигайте всё на 2-3 месяца вперёд. 

Стажировки: входная точка лучше холодных откликов

Стажировка — самый надёжный путь для первой работы без опыта. Вас берут под наставника, обучают внутри, лучших оставляют.

• Positive Technologies. PT Start. Набор дважды в год, 160 часов практики, три направления: кибербезопасность, разработка, QA. Онлайн-обучение + оплачиваемая стажировка. Лучший вариант для тех, кто хочет сразу попасть в топовый российский ИБ-вендор.
• Яндекс. Школа информационной безопасности. Набор весной и осенью, после отбора лучших зовут на собеседование внутри Яндекса.
• VK Education. Теория и практика на реальной инфраструктуре, после стажировки — возможность оффера.

Где искать вакансии

• hh.ru — фильтры «информационная безопасность» + «без опыта» + «junior»; вакансии стажёра SOC L1 выходят регулярно без требования опыта;
• Habr Career — более релевантные IT-вакансии, меньше шума;
• Telegram-каналы: @infosec_work, @hackdevjob (InfoSec Jobs) — там вакансии появляются раньше, чем на hh;
• Bug Bounty — программы Яндекса, VK, Сбера платят за найденные уязвимости: это и доход, и строчка в резюме одновременно.

Что проверяют на собеседовании

На техническом интервью не спрашивают определения. Дают конкретные задачи:

• Разберите этот лог — что здесь происходит?
• Как бы вы расследовали этот инцидент?
• Объясните атаку SQL-инъекция своими словами.
• Каким инструментом сканируете сеть и почему именно им.

Готовьте ответы по структуре: ситуация → действия → результат. Без этого даже сильное портфолио не поможет пройти интервью.

Реальный кейс для ориентира

Александр, 28 лет, менеджер по продажам. 10 месяцев самостоятельного обучения по 3 часа в будни и 5-6 часов в выходные. Решил 40 машин на HackTheBox, получил CompTIA Security+, вышел на рынок — оффер junior SOC Analyst в Kaspersky на 95 000 рублей.

Мои главные ошибки на старте

Ошибка 1. Гоняться за инструментами вместо фундамента

Первое, что делает 9 из 10 новичков — устанавливают Kali Linux, открывают Metasploit и пытаются что-то «взломать». Через неделю бросают: мануалы непонятны, ничего не работает, профессия кажется недостижимой.

Metasploit, Nmap, Burp Suite работают только если понимаешь протоколы. Без понимания того, как работает TCP-соединение и почему возникает SQL-инъекция, они бесполезны. Работодателю нужен не «оператор кнопок», а человек, который понимает атаку на уровне протоколов.

Как правильно: Первые два месяца — только фундамент: сети, Linux, Python, OWASP Top 10. Инструменты подключаете потом, когда понимаете, что именно они делают.

Ошибка 2. Пытаться учить «кибербезопасность вообще»

ИБ слишком широка, чтобы охватить её без специализации. Новички читают всё подряд — сегодня про реверс-инжиниринг, завтра про DevSecOps, послезавтра про OSINT — и через три месяца не знают ничего конкретного.

Как правильно: На третьем месяце выбираете одно направление — SOC, пентест или AppSec — и идёте в него вглубь. До первой работы не переключаетесь.

Ошибка 3. Учиться только теорией

В кибербезе это работает жёстче: HR-фильтр на hh.ru не пропускает резюме без строчки «практический опыт» даже у джуниоров. Работодатели нанимают по портфолио, а не по количеству пройденных видеокурсов.

Как правильно: TryHackMe с первой недели, CTF-задачи со второй, домашняя лаборатория на третьем месяце. Параллельно с теорией — всегда.

Ошибка 4. Копить сертификаты вместо реальных кейсов

CEH-сертификат без write-up'ов и проектов — это просто бумага. 91% нанимающих специалистов прямо говорят, что длинный список сертификатов без практических артефактов не производит впечатления. Часть новичков тратит полгода и 50-100 тысяч рублей на сертификацию, не сделав ни одного реального кейса.

Как правильно: Один сильный write-up на Habr с разбором CTF-задачи весит больше двух сертификатов. Сначала портфолио — потом сертификат как подтверждение уже имеющихся навыков.

Ошибка 5. Учиться в изоляции без обратной связи

Я несколько недель двигался в неправильном направлении, потому что некому было сказать, что я делаю неверно. Один комментарий практикующего специалиста сэкономил бы мне три недели.

Как правильно: Telegram-чаты по ИБ, форумы Codeby, Discord-сообщества TryHackMe — заходите с первой недели и показывайте сырые работы. Многие игнорируют, но один из десяти даёт жёсткую и полезную обратную связь.

FAQ

Нужен ли технический диплом?

Нет — он не обязателен для коммерческих компаний. Только 60% вакансий формально требуют диплом, и это требование часто игнорируется при наличии реальных навыков и портфолио. Диплом ускоряет путь в госструктуры с лицензией ФСТЭК — для банков, IT-продуктов и промышленности работодатели смотрят на GitHub и write-up'ы.

Нужно ли знать программирование?

Базовый Python — да, обязательно. Не на уровне разработчика, а на уровне скриптов: автоматизация, парсинг логов, простые сетевые задачи. Для SOC-аналитика этого достаточно. Для AppSec и реверс-инжиниринга понадобится больше, но это уже следующий уровень — не стартовый.

Нужен ли английский язык?

На старте — минимальный технический: читать интерфейсы инструментов, CVE-описания и базовую документацию. После первого года английский становится критичным: большинство актуальных исследований, гайдлайнов Apple и Google, обновлений профессиональных программ выходит только на нём. Уровень B1–B2 добавляет 15–20% к зарплате, C1–C2 открывает удалёнку в зарубежных компаниях.

Сколько времени нужно до первой работы?

По словам Сергея Зеленина, ведущего эксперта рынка ИБ, год — минимум для новичка с нуля. При занятиях 20-30 часов в неделю реально выйти за 8-10 месяцев. ИТ-специалист из смежной области (сисадмин, разработчик) двигается быстрее всех — ему хватает 3-4 месяцев на добор ИБ-навыков.

Нужны ли сертификаты и какие?

Сертификаты не обязательны, но добавляют к зарплате и помогают пройти HR-фильтр. Конкретные цифры:

• CompTIA Security+ — +10-15% к зарплате, золотой стандарт для джуниора;
• CEH — +15-20%, хорошо воспринимается HR крупных компаний;
• OSCP — +25-35%, тяжёлый практический экзамен, открывает пентест на уровне мидла.

Cначала портфолио, потом сертификат как подтверждение уже имеющихся навыков. В обратном порядке не работает.

Можно ли работать удалённо?

Да — это одно из главных преимуществ профессии. Диапазон зарплат на удалёнке: от 30 000 до 480 000 рублей в зависимости от задач и специализации. SOC-аналитики и пентестеры часто работают дистанционно, AppSec-инженеры — почти всегда.