Пентестер — одна из самых неоднозначных профессий в IT сфере. Вроде как специалист по кибербезопасности, который тестирует системы на уязвимости, но в то же время многие воспринимают его как хакера.
Многие люди ошибочно считают, что раз пентестер — это почти хакер, то и зарабатывать он должен 300к/наносек (минимум). Накануне старта нового потока нашего курса "Этичный хакер" разберёмся, действительно ли это так.
Чем занимается пентестер
Начнём с начала. Пентестера можно называть как угодно: «этичный хакер», «тестировщик безопасности систем», «специалист по проверке работоспособности», «специалист по информационной безопасности». От этого его функции не меняются.
Пентестер — это в первую очередь программист и инженер, который тестирует уязвимости информационной системы.
Хакер ищет уязвимости, чтобы их использовать: скачать личные данные, пароли и секретную информацию, доступы к финансовым счетам или внутренней документации. Пентестер ищет уязвимости, чтобы помочь компании от них избавиться. При этом инструменты и техники проникновения могут быть одинаковыми, но цели и принципы отличаются кардинально.
В пул задач пентестера входит:
Тест сети и приложений на уязвимости. Найти дырку в информационной системе крупной компании не так сложно. Куда сложнее понять:
Почему дырка именно здесь: банальная ошибка, лень, незнание технологии.
К чему может привести её использование хакером: потеря данных, проникновение в систему с рут-доступом, слив личной информации клиентов и сотрудников. Пентестер ведь не имеет права использовать уязвимость даже в тестовом формате. Поэтому просто проверить не получится.
Как исправить уязвимость, чтобы проблема не вылезла в другом месте и не стала еще более серьёзной.
Ведение отчётов по всем проведённым тестам и найденным уязвимостям с подробным их описанием.
Разработка общей политики информационной безопасности компании и отдельных сотрудников.
Пентестер ещё до начала работы связан договорами. Его работа и разрешённые тесты чётко регламентированы и отступать от них он не имеет права.
Если в соглашении прописан только тест веб-приложения, то даже попытка взлома базы данных — это уже преступление.
Как зарабатывает пентестер
Есть 3 основных пути, по которым может пойти тестировщик безопасности:
Присоединиться к команде пентестеров или войти в отдел пентеста крупной компании. Из плюсов здесь полная защищённость со стороны закона, но зарплата не будет особо отличаться от средней в IT-сфере.
Открыть ИП и работать по договору. По деньгам здесь можно заработать гораздо больше, но юридические вопросы полностью ложатся на плечи специалиста. Нередки случаи, что за уязвимости, найденные не там, где это было прописано в договоре, пентестеры получали не премию, а уголовное преследование.
Работать на Bug Bounty. Оферты для приглашения пентестеров на специальных ресурсах. Нашёл баг или уязвимость — получай заранее определённую оплату. Принять участие может любой специалист, главное - придерживаться условий пентеста, которые подробно прописаны в оферте.
Штатный пентестер: зарплата и возможности
Давайте рассмотрим каждую из возможностей поближе. Сначала зарубежный опыт. Начнём с штатного пентестера, который получает фиксированную зарплату.
По данным Indeed, специалист по пентесту в штате компаний США получает в среднем 118 316 долларов год. Это примерно столько же, сколько получает фуллстак разработчик или дата-сайентист.
Но вот Cyber Degrees не так оптимистичны в своих анализах. По данным их ежегодного отчёта, средняя зарплата пентестера в США составляет около 84 690 долларов в год. А это на 27 % меньше, чем даёт Indeed. Существенная разница.
При этом зарплата в профессии сильно зависит от опыта и компетенций специалиста. Новичок в сфере с опытом меньше полугода получает около 66 000 долларов в год, даже если у него обширный опыт в IT-специальностях вроде системного администрирования или разработки.
Middle-специалист, по мнению Cyber Degrees, зарабатывает примерно 106 000 долларов. В целом, даже если учесть разницу между отчетами, общая сумма не слишком отличается от других специальностей, связанных с разработкой и тестированием софта.
А вот портал Glassdoor более пессимистичен в оценках и среднюю зарплату штатного пентестера оценивает в 69 000 долларов. Но нужно учесть, что портал анализирует цифры, предложенные в вакансиях, а не зарплаты реальных специалистов, которые могут быть в разы больше.
Ищут обычно миддлов и новичков, которые хотят перейти в пентест из других специальностей. Спрос на сеньоров довольно небольшой. Они либо ведут свои проекты, либо за них крепко держатся крупные компании.
По состоянию на 14 марта 2021 года, на Indeed открыта 41 вакансия сеньор-пентестера. Для сравнения: там же открыто 6867 вакансий сеньор-разработчика на Python. Можно понять, насколько большой разрыв спроса.
А теперь о ситуации в России. С русскоязычным рынком пентестеров дела обстоят как-то странно. Отдельные крупные компании и филиалы международных концернов нанимают команды пентестеров или пользуются услугами Bug Bounty, но вакансии конкретно пентестера открываются значительно реже.
Дело в том, что функции пентестера часто выполняют другие специалисты. К примеру, тестировщик или системный администратор.
На Хабр Карьера мы не нашли ни одной открытой вакансии пентестера. На hh.ru, по состоянию на 16 марта 2021 года, есть 29 вакансий на позицию пентестера. Но на самом деле — только 15, потому что половина к пентесту не имеет никакого отношения.
В чём дело? Их часто ищут в других вакансиях, которые мы назвали выше. А сайты по поиску работы теряются и думают, что это разные вакансии и специальности, поэтому не подтягивают их вместе. Можете считать это первым тестом по специальности.
В сфере ИБ в целом вакансий достаточно, но именно пентестерских позиций немного. Специалист ИБ - это профессионал широкого профиля, с большим объёмом знаний. И понимание уязвимостей, атак и методологии пентеста помогает специалистам ИБ работать на стороне защиты. Мы рассказываем про опыт экспертов, которые работают в безопасной разработке, специалистами по безопасности. Есть ещё bug bounty, когда можно найти уязвимости, выложенные в открытый доступ крупными компаниями. Это уже международный уровень. Кроме того, сертификации в сфере кибербезопасности (CEH, OWASP) и практический боевой опыт повышает ценность специалиста.
Яна Суслова, методист курса «Этичный хакер»
Рынок только развивается, поэтому востребованность специалистов по безопасности стабильно растёт. Плюс, есть ещё несколько проверенных способов получить работу пентестера, не пользуясь такими сайтами. О них чуть ниже.
Чаще пентестеры работают как самозанятые или в составе отдельных команд. Что приводит нас к следующему разделу.
Пентестер как ИП, самозанятый или часть команды
Несмотря на то, что вакансий пентестеров сейчас не слишком много, рынок начинает понимать, для чего нужны их услуги.
Но для абсолютного большинства компаний малого и среднего бизнеса пентест — это разовая или очень редкая акция. Для неё нет смысла нанимать специалиста в штат. Только крупные игроки могут позволить себе нанять штатного инженера по информационной безопасности.
В России это буквально единичные компании. Малый и часть среднего бизнеса нанимают индивидуальных пентестеров, крупный предпочитает нанимать команды с именем и пулом выполненных проектов.
Цена на пентест по договору зависит от многих факторов. В США она стартует от 2500 долларов. В России — от 100 000 рублей. Имеет значение, какие именно системы тестируются, как глубоко, какие именно уязвимости на прицеле: только критические или все более-менее серьёзные.
Комплексный пентест зачастую берут команды, состоящие из 4-10 специалистов. Отдельные же задачи (к примеру, анализ уязвимостей баз данных) могут выполнять и индивидуальные специалисты.
В целом за пентест среднестатистический специалист получает 100-200 долларов в час. Но это - «грязными», из которых нужно ещё вычесть определенную сумму на налоги и работу юриста с договорами. Без грамотного IT-юриста в пентесте вообще делать нечего — даже небольшой косяк в договоре может обернуться большими проблемами для спеца.
Здесь также всплывает самая главная проблема современного рынка пентестов — нерегулярность. Пентестер в России не может рассчитывать на полную загрузку только по договорам с российскими компаниями. Ведь абсолютное большинство организаций заказывают пентест не чаще раза в год, а многие — значительно реже.
Несмотря на трудности и риски, работа пентестера на себя приносит доход в среднем в 1,5-2 раза выше, чем при оформлении в штат. Но для этого нужно обладать отличными навыками коммуникации и переговоров — заниматься ими нужно будет не меньше, чем самими пентестами.
Стабильная загрузка есть в крупных компаниях, которые предоставляют услуги пентеста. Но, по факту, это то же самое, что работа в отделе пентеста любой другой компании. Стабильная загрузка и средняя зарплата.
Чтобы не простаивать зря, многие этичные хакеры пользуются программами Bug Bounty. Переходим к ним.
Bug Bounty: альфа и омега для пентестера
Наконец, переходим к источнику заработка, который абсолютное большинство пентестеров считают своим основным. Программы Bug Bounty.
По информации из открытых источников и наших коллег-пентестеров, среднестатистический этичный хакер может зарабатывать на программах Bug Bounty 2000-3000 долларов в месяц.
Главный плюс программ — можно сосредоточиться на уязвимостях, в которых вы хорошо разбираетесь. К примеру, вы профи в разработке приложений для Android и можете искать уязвимости и ошибки в безопасности таких приложений.
Можно вполне успешно работать в одной узкой сфере и нормально зарабатывать.
Топовые багхантеры вполне могут зарабатывать вплоть до 50 000 долларов в месяц. Да, это вполне реально. Опыт Марка Литчфилда это доказывает. В декабре 2015 года он заработал 47 750 долларов, используя ресурсы Hackerone, BugCrowd и программу PayPal.
Иван Григоров, интервью которого лежит на Хабре, также утверждает, что 25 000 долларов в месяц для опытного пентестера — не проблема. Тоже рекомендуем почитать.
По более скромным оценкам, пентестеры действительно могут без особых проблем зарабатывать 2000-3000 долларов каждый месяц только на программах Bug Bounty. Но для этого нужно хорошо разбираться как минимум в одной отрасли программирования. Точнее определить сложно, ведь эффективность пентестера и количество обнаруженных уязвимостей прямо зависит от знаний, опыта и времени, которые багхантер уделяет пентесту.
Но можно сделать примерную оценку. На HackerOne за одну минорную уязвимость платят от 50 до 100 долларов.
При этом даже с минимальной оплатой базов в 50 долларов, средняя выплата пентестерам в некоторых компаниях составляет несколько тысяч. Очень многие пентестеры используют автоматический поиск простых багов и рапортуют о них пачками.
Другие же предпочитают искать более серьёзные уязвимости, за которые оплата побольше.
Вот, к примеру, какую оплату предлагает компания PayPal:
За одну критическую уязвимость компания платит от 2000 до 10000 долларов. Понятно, что найти такую уязвимость совсем непросто, но тем не менее.
Тут уже выбор специалиста: искать редкие, серьёзные и дорогие проблемы или же сосредоточиться и находить небольшие, но часто. Всё остальное зависит от скилла пентестера.
И ещё: мы в одном из предыдущих разделов упоминали, как найти работу пентестеру без сайтов по поиску работы. Bug Bounty — один из вариантов. Тут есть секрет, который опытные специалисты не раскрывают.
Помимо открытых программ существуют ещё и закрытые, куда специалистов приглашают лично. Это может быть альфа-версия продукта, сайта или системы безопасности, в которой совершенно точно есть баги и их нужно найти. Создавать открытую программу с сырым продуктом — слишком дорого. Поэтому приглашают проверенных пентестеров, которые найдут все или почти все серьёзные и критические уязвимости до старта открытого пентеста.
Стать таким приглашённым тестером довольно несложно. Нужно всего лишь качественно работать на открытых программах. Если вы нашли несколько серьёзных багов, разработчик это заметит. Если он будет нуждаться в закрытом пентесте, то пригласит нескольких специалистов, которые хорошо показали себя в программе. Это дешевле, чем нанимать полноценную команду пентеста. А дальше, если всё всех устраивает, это может превратиться либо в стабильный контракт на подряд, либо в полноценное оформление в штат.
Что нужно знать и уметь пентестеру
Про хард-скилы мы писали в первой статье про этичный хакинг: как взламывать системы и при этом зарабатывать легально. Хотелось бы добавить, что нужны не только знания, но и жизненный опыт. Системный администратор с опытом стрессового поднятия сервера или программист на C++, который ищет ошибку в 200 000 строчках кода, из-за которой всё пошло по наклонной — имеют большие шансы быть успешными в пентестинге. Не будем забывать про тестировщиков, у которых тоже есть необходимый бэкграунд. Пентестеру нужен практический опыт и предельно чистое понимание, как работает система или хотя бы её часть.
Попасть в пентест новичку сложно, но возможно. Если вы готовы, научиться всему можно на нашем комплексном курсе Этичный хакер, где студентам в освоении материала помогает опытный ментор, а карьерный специалист поможет с трудоустройством.
Узнайте, как прокачаться в других специальностях или освоить их с нуля:
Другие профессии и курсы
ПРОФЕССИИ
КУРСЫ