Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Привет! Меня зовут Альбина Семушкина, я — лид рекрутинга в Бастионе. Именно я занимаюсь поиском и наймом хакеров, которые затем проводят оценку безопасности IT-инфраструктуры наших клиентов. Недавно я провела небольшой эксперимент и выложила на HeadHunter резюме пентестера, чтобы проанализировать предложения и требования работодателей. Сегодня расскажу о результатах и поделюсь профессиональными секретами.
Из этой статьи вы узнаете, что кандидату написать в резюме, чтобы его заметили серьезные компании, как рекрутеру заманить опытного хакера в штат, и какая ситуация сложилась в этом сегменте рынка труда на начало 2024 года.
В Бастионе работает более 120 сотрудников. Их можно поделить на шесть крупных бизнес-направлений:
Анализ защищенности (Pentest);
Консалтинг;
Security Operations Center (SOC) и реагирование на инциденты;
Проектирование комплексных систем защиты и защита АСУ ТП и КИИ;
DevSecOps;
Интеграция.
А еще есть бэк-офис и вспомогательные подразделения. Все они нуждаются в крутых мотивированных сотрудниках, но интереснее всего искать, собеседовать и нанимать ребят из первого направления — профессиональных хакеров, которые занимаются пентестами. Это та категория вакансий, с которой никогда не соскучишься.
Такие специалисты знают, что такое OSINT и как это работает, и очень трепетно относятся к личной информации, поэтому не торопятся выкладывать ее в общий доступ. Часто, изучая резюме, даже не за что зацепиться: вместо имени — ник, да и все остальное будто обезличенное. А разговоришься с человеком и быстро понимаешь, что он крутой. Потому жалко видеть такую безликую болванку, сразу хочется посоветовать, как лучше изменить резюме (об этом я расскажу чуть ниже).
Зато если в резюме пентестера написано что-то «личное», то оно каждый раз неповторимое. Даже портрет некоего среднего, типичного кандидата тут не составить — настолько все они разные. Вот, например:
Специализации тоже разные. Одни пентестеры занимаются поиском ошибок в Web-приложениях, другие в корпоративных сетях. Третьи сосредоточены на социальной инженерии, написании вредоносов, реверс-инжиниринге или форензике — здесь много узких направлений. И попадают в профессию своим, часто уникальным путем: кто-то постепенно перешел из смежных ИБ-профессий, кто-то был Java-разработчиком или QA-инженером, кто-то сисадмином, который стал интересоваться, где заработать больше денег, а потом взял и втянулся.
Бывает, пентестер говорит, что ему с детства было интересно «разбирать будильники», чтобы посмотреть как они работают, а потом он переключился на сайты. Такие люди часто находят единомышленников и начинают исследовать ИБ еще в ВУЗе, даже если учатся на направлении, не связанном с IT.
Есть кандидаты, которые приходят после стажировок в ИБ-компаниях (мы такие тоже организуем) — часто там переучиваются после малополезных онлайн-курсов. Дело в том, что большинство образовательных платформ, которые обучают пентестам, в лучшем случае дают план обучения, но не знания, которые можно применить на практике. Со временем мы даже собрали антирейтинг площадок, на упоминание которых можно не обращать внимания.
К сожалению, сегодня в России на пентестеров полноценно не учат ни в ВУЗах, ни на курсах. Сильные специалисты — это самоучки с разнообразным опытом и знаниями.
Что компании готовы предложить «идеальному» хакеру?
Мыслить, как хакер, кодить, как разраб и анализировать, как инженер — такого «идеального» пентестера рад видеть каждый рекрутер. Любой хочет привести в компанию специалиста с кучей международных сертификатов, который круглосуточно прокачивает хард-скиллы и общается на уровне спикеров с TED Talks, но это не просто.
Сейчас рекрутеры в ИБ — это в основном хантеры, использующие активный поиск (в противоположность пассивному, когда выкладывается вакансия — при поиске экспертов он неэффективен). Им надо составить карту поиска кандидата, написать стратегию найма, составить список компаний, из которых гарантированно будут кандидаты с классной экспертизой.
Чтобы схантить такого кандидата, нужно думать и действовать почти, как хакер: собирать информацию, практически выслеживать перспективных людей, а потом искать к каждому подход и разгадывать мотивы. Все, чтобы в итоге написать такое письмо, которое зацепит и покажет, что компании интересен его опыт. Да, у всех рекрутеров есть заготовки, но к опытным пентестерам всегда индивидуальный подход.
Не то чтобы на HeadHunter было мало резюме, но так как на российском рынке сейчас не голод кадров, а голод экспертизы, то описанного специалиста просто так не найти.
Кадровый голод легко продемонстрировать на простом эксперименте.
Фейковое резюме и анализ рынка
15 января я на две недели выложила фейковое резюме такого почти идеального пентестера на HeadHunter. Зачем?
Причин несколько:
чтобы показать картину рынка;
узнать, как часто пишут кандидатам работодатели и что предлагают;
понять сколько у нас, рекрутеров, есть времени на то, чтобы заинтересовать кандидата.
Возможно, это не совсем честно по отношению к коллегам, но так можно получить объективные данные.
Для этого эксперимента я старалась создать такой образ соискателя, который вызывал бы желание платить ему большую зарплату. По легенде ему 27 лет и у него «горящие глаза». В тексте этого толком не покажешь, поэтому я обильно сдобрила резюме ссылками на Bug Bounty-площадки, CTFtime, TryHackMe, Hack The Box и написала, что соискатель готов рассказать об интересных кейсах по запросу (забегая вперед, про них никто так и не спросил ☹). А еще у него есть 2 сертификата: OSCP и OSWE.
Чтобы подчеркнуть «боевой» опыт пентестера, я написала, что он работает в интеграторе почти 4 года. Кстати, он шарит за код и прошел путь от стажера до мидла, что создает образ не «бегунка», а лояльного компании молодого человека с серьезными намерениями. Вишенка на торте — осознанный выбор профессии, поэтому наш герой закончил Бауманку по «Компьютерной безопасности».
Зарплатные ожидания — 300 000 рублей на руки (было интересно, сколько предложат в реальности).
Отклики на резюме и результаты эксперимента
За 14 дней в резюме 123 раза заглянули представители 51 компании. В итоге с кандидатом связались представители 25 компаний. В их числе крупные банки, госорганы, пара больших корпораций и специализированные ИБ-интеграторы — можно сказать, срез рынка.
Теперь к самому интересному: что предлагают. Если вы ожидали невероятные бенефиты, то нет, все достаточно стандартно: ДМС, чаще всего удаленка (только три рекрутера настаивали на офисном формате работы), компенсация обучения и доплата за больничный с учетом стажа.
6 компаний из 25 сразу написали, что 300 000 руб. на руки не дадут точно. Средняя минимальная зарплата, от которой стартовали предложения, — 135 000 руб. на руки. Это не джуновая ставка, рекрутеры обозначали, что им интересен опыт от двух лет.
Средняя максимальная зарплата — 300 000 руб. на руки, но чтобы реально на нее претендовать, нужно сильно заинтересовать технического лида. Кстати, по нашей статистике 300 000 руб. хочет каждый третий пентестер.
Среди 25 предложений были 3 вакансии на роль лида, который должен руководить командой пентестеров и развивать ее экспертизу, но самыми привлекательными по деньгам оказались два предложения:
Кадровое агентство с приглашением работать на Philip Morris с вилкой до 400 000 руб. на руки.
Аутсорс-компания из букмекерской ниши, зазывавшая в релокацию на Кипр с компенсацией жилья в 750 $ и ЗП 4 500-8 000 $ (правда они не указали, Net или Gross, то есть до налогов или после).
За рубежом по прежнему готовы платить больше, чем на локальном рынке. При этом максимум, предложенный российскими компаниями, составил 305 000 руб. на руки (это был один известный вендор).
Что творится на российском рынке ИБ-специалистов
До технических собесов дело не дошло, поэтому наш «кандидат» не может сказать вам, сколько конкретно он стоит на рынке. Так нагло тратить чужое время я не стала, но все равно могу сделать некоторые выводы.
Ситуация в России создает все предпосылки для бурного развития рынка ИБ. Уже резко выросло количество стартапов в сфере кибербезопасности.
Пока вы это читаете, где-то открывается еще стартап, который хочет забрать кандидата, которого хотим мы. А еще гиганты-безопасники («Лаборатория Касперского», Positive Technologies и подобные) во всю пылесосят рынок. Вносят вклад в конкуренцию и релоцировавшиеся за границу бизнесы, и, отчасти, Bug Bounty-программы.
Наблюдается высокий спрос на квалифицированных пентестеров, но при этом у российских компаний плюс-минус одинаковые запросы и условия для кандидатов. Чтобы выбрать лучшее предложение и найти ту самую работу мечты, придется поговорить примерно с 25-ю компаниями за две недели. А это, мягко говоря, энергозатратно.
Советы пентестеру: как зацепить работодателя
Поэтому я советую кандидатам четко определиться с тем, какие компании интересны, а какие нет. Для этого можно задать себе вопросы:
Что мне нравится/не нравится на текущем месте работы?
Что я хочу изменить (от чего я ухожу)?
Какие задачи я хочу закрывать?
Важен ли для меня бренд работодателя (и что я вкладываю в понятие «бренд»)?
Что я могу дать команде?
От какой минимальной суммы мне интересно говорить с рекрутером?
Пятый пункт можно расписать в виде достижений уже в резюме. Хорошо, если получится показать, чего удалось достичь для себя и компании. Здесь можно и нужно «хвастаться»: вырос со стажера до уверенного мидла, во время отсутствия лида был его замом, получил новый сертификат или, например, создал и возглавил команду для СTF.
В общем, кандидату важно проанализировать, как он рос и описать это в своем резюме. Кстати, этот пункт будет самый просматриваемый, потому что рекрутеру важно зацепиться за что-то в вашем тексте.
И еще момент: готовьте вопросы рекрутеру. Ведь его работа и заключается в том, чтобы понять, насколько компания мэтчится с кандидатом и наоборот. В среднем первичное интервью длится около 30 минут (у нас так точно). За это время как раз можно сделать легкий вывод, близки вы по духу с этим работодателем или нет.
Конечно, образование имеет значение и его стоит указывать в резюме. Да, в России официально не учат на пентестеров, и даже в значимой для ИБ Бауманке есть только обобщенные направления. И все же важно иметь это «общее» ИБ- или IT-образование, чтобы быть «в теме», мыслить на одной волне с командой. Еще один плюс высших учебных заведений в том, что многие российские компании сотрудничают с ними, проводят стажировки, запускают партнерские программы, а у ВУЗов есть свои карьерные центры, так что оттуда через стажировку можно попасть на первую работу. Стажировки позволяют рекрутерам познакомиться с кандидатами, понять, кто именно и откуда приходит в эту профессию, какие у них мотивы, интересы и потребности.
Итак, классно, если есть высшее образование в области ИБ или IT. Однако для нас это скорее дополнительный плюс. В целом мы больше за знания, а не за бумажки. Поэтому больше смотрим на профессиональную активность.
Участие в профильных соревнованиях, например, по типу CTF (Capture the Flag, «Захват флага»), здорово усиливает резюме. Пентестеры пишут, как называлась их команда, какие места они занимали. Это правильно, потому что такие заслуги ценятся в профессиональном сообществе. Для многих лидов это одно из главных требований при отборе на вакансию пентестера. Участников CTF видно издалека: чаще всего это студент или свежий выпускник ВУЗа с исследовательским огнем в глазах — такие люди нужны.
Важно упомянуть участие в Bug Bounty-программах (в идеале со ссылкой на профиль на той или иной площадке) или примеры решенных лабораторных работ по типу Hack The Box.
Хороший способ доказать высокий профессионализм — сертификаты OSCP и OSWE, но эти экзамены платные и настолько сложные, что к ним готовятся годами. В то время, как на Bug Bounty-площадках встречаются баги самого разного уровня сложности и за них, наоборот, платят пентестеру.
BugBounty.ru, BI.ZONE Bug Bounty, Standoff 365 Bug Bounty, HackerOne, Vulnerability Lab, Synack, CTFtime, TryHackMe, Root Me и так далее — такие активности высоко ценятся в профсообществе и именно их названия используют рекрутеры в качестве ключевых слов при поиске резюме. Если ничего из этого соискатель не указал, возникает вопрос, почему.
Кроме того, для нашей команды важен опыт работы в компании-интеграторе, поскольку именно он дает навык динамичной работы на заказчика в разных проектах, именно там можно пощупать разные технологии — это особенно ценится в кандидате. В компаниях, где ИБ-шник работает только над внутренними продуктами, занимается исключительно защитой внутренних систем или работает в единственном лице, динамика и разнообразие задач существенно ниже.
Ее не выразишь в резюме, но репутация кандидата также имеет значение и оказывает существенное влияние на найм. Да-да, интернет — «большая деревня», здесь многие друг друга знают. А уж что касается сарафанного радио между ИБ-компаниями, которых в России не так уж много, так это давно налаженный информационный канал. Если кандидат выступал на конференциях, участвовал в обсуждениях на форумах, то это значительный плюс. Но если у него плохая репутация в профессиональных кругах, это в некотором смысле минус (хотя, все обсуждаемо).
Наши техлиды, посмотрев какое-то резюме, могут сказать: «Мы лично его знаем» или «Мы знаем, как работают в этой компании. Из нее кандидатов не смотрим». И это не просто слепой отказ: мы пробовали «давать второй шанс» таким кандидатам, но поняли, что каждый раз это пустая трата времени. Из некоторых компаний идет постоянный поток слабых кандидатов.
Отсюда же логично вытекает и то, что в найме пентестеров и в целом безопасников заметную роль играют рекомендации. Особенно внутренние, когда работающий в компании специалист советует кого-то нанять. В Бастионе по таким рекомендациям стопроцентный найм. Это объясняется тем, что люди, которые уже отработали в компании продолжительное время, хорошо понимают специфику задач и внутренний культурный код, знают команду и видят, кто может подойти на конкретную должность. Также у нас есть такая рекрутерская практика, когда мы выходим на интересующего нас пентестера через нашего коллегу. Потому что спец спеца быстрее приведет, поговорив с ним в формате: «Я тут работаю три года, мне все нравится, у нас классная команда, давай к нам».
Так что, если нацелены попасть в конкретную компанию, узнайте — может там работает кто-то из ваших знакомых? Только имейте в виду: такая цепочка рукопожатий — вещь эффективная, но может привести и в неловкую ситуацию. В таких случаях мы всегда действуем деликатно, так, чтобы не подставить кандидата, который, может и не спешит менять работу, или сотрудника, который его рекомендовал.
Ну и конечно для пентестера важно любить исследования и расследования, ведь это одни из основных рабочих задач. Поэтому на собеседованиях мы спрашиваем, пишет ли кандидат статьи, ведет ли пет-проекты или может быть взламывает что-то в свободное время?
Про службу безопасности, или Как не привести злого хакера в штат?
Многие люди, особенно далекие от IT, ассоциируют хакеров с преступниками, но наши кандидаты ни разу не рассказывали о том, как сливали базы данных, управляли ботнетами или распространяли шифровальщики. И не потому что боялись признаться. Дело в том, что мы ищем кандидатов на HeadHunter, LinkedIn и в серьезных профессиональных сообществах, а не в даркнете.
Преступники не выкладывают резюме и не общаются с рекрутерами. У них свое комьюнити и своя атмосфера. Они просто не заинтересованы в законной работе, и на респектабельных площадках их не найти. Это не значит, что нам совсем не встречались нарушители закона, но не такие, как можно подумать. На HeadHunter черных шляп нет, зато есть обычные люди, и они совершают ошибки. Например, получают административку по неосторожности.
Мы работаем в очень чувствительной сфере, так что изучаем биографию всех кандидатов. Безопасники также дают нам, рекрутерам, хороший фундамент в формате «сейчас мы его пробьем по базе» (Шутка. Никакой единой базы нет, они просто ищут везде). Мы же, в свою очередь выясняем подробности у человека, и здесь имеет значение открытость кандидата — чем он честнее, тем выше шанс, что правонарушения не повлияют на решение о найме. Другое дело — уголовные статьи. В последнее время мы стали встречать кандидатов с уголовкой, а конкретнее — с судимостью за наркотики. Это красный флаг. Мы за вторые шансы в жизни, но не на проектах, к сожалению.
В силу особенностей нашей работы существует и некоторый шанс, что в компанию захочет устроиться профессиональный инсайдер. Этакий шпион, стремящийся навредить нашим клиентам. Паранойя? А вот и нет. Во время Red team-проектов наши социальные инженеры часто ходят на собеседования на должность безопасников в другие компании, чтобы добыть информацию для будущих хакерских атак.
В таких ситуациях выручает некая «чуйка», интуиция рекрутера, которая распознает красные флажки. Например, человек хочет работать неофициально или только через определенные организационно-правовые формы — зачем ему это? Убедительно врать в глаза опытному рекрутеру не так просто, как можно подумать. В процессе интервью чувствуешь, что человек недоговаривает, несмотря на доброжелательную атмосферу.
Мы не отсеиваем таких соискателей сразу, но присматриваемся повнимательнее и просим специалистов проверить их биографию по открытым источникам.
В резюме могут быть фиктивные личные данные и информация о предыдущих местах работы. Так было у одного нашего соискателя с вымышленным именем, который якобы работал в компании, занимающейся криптой и обанкротившейся, но в интернете не было и следа о ней. На просьбы показать хотя бы какие-то скрины сайта или буклеты компании, он уводил разговор в другую сторону, задавал свои вопросы. Не мог даже сформулировать, что именно он делал в компании и какая там была команда. Вообще, забавно, когда люди врут представителю ИБ-компании. Мы же безопасники, искать информацию — в нашей экспертизе! Но обо всем, что говорил этот парень, не было найдено ничего, даже элементарного совпадения фамилии с датой рождения. Надо ли говорить о том, что наши пути разошлись?
Какой еще мотив может быть у такого соискателя, кроме вредоносного? Возможно, желание что-то скрыть, но не из-за коварных планов. Просто нам попался, так сказать, «сырой кандидат», который действительно мог работать в этой компании, но пытается утаить это, возможно, по причине неофициального трудоустройства, и у него не получается это сделать, не вызывая подозрений. А любая загадочность, отсутствие открытости, включая желание работать «в серую», их вызывают.
Такие требования к кандидату, как добросовестность и законопослушность в ИБ самые обычные, как и к сотрудникам любых других компаний. Однако работа рекрутера в том числе и заключается в том, чтобы доверять, но проверять. Поэтому, когда мы чувствуем риски, то уводим их от нашей компании.
Процесс найма этичных хакеров: на рынке и в Бастионе
В остальном алгоритм найма у нас достаточно простой. Первый этап — общение с рекрутером, где мы задаем вопросы про опыт и рассказываем кандидату о том, чем занимаемся, какая у нас команда пентестеров и что они умеют в части экспертизы.
С результатами этого этапа мы идем к лиду пентестеров, обсуждаем, ставим техническое собеседование. На техсобесе руководитель проектов рассказывает про проекты, техлид задает технические вопросы, а рекрутер становится неким фасилитатором встречи. Если после этого этапа у нас остались вопросы, высылаем тестовое задание.
Если вопросов нет, мы достаточно быстро делаем оффер. Бывало даже, в тот же день. В части принятия решения в Бастионе все происходит быстро, что достаточно редко для ИБ. Мы стараемся не удлинять процесс найма, чтобы не терять ценные кадры. Сейчас это почти так же важно, как проводить стажировки и шарить экспертизу во вне.
В результате такого сильного спроса на экспертов, кандидат в ИБ сейчас избалован предложениями о работе. У меня были кандидаты, которым я писала в начале месяца, а они мне говорили, мол, я могу прийти на техсобес только в 20-х числах, потому что до 20-го у меня все расписано. А к 20 числу он говорит: «Все, я устал и выдохся, у меня уже есть 5 офферов, я буду из них выбирать». В таких условиях надо буквально продавать вакансию. И тут мне хотелось бы порекомендовать кое-что не только кандидатам, но и коллегам, потому что этот танец танцуют двое.
Как нанимателям вести себя в условиях высокой конкуренции между ИБ-компаниями
Сразу отмечу, что сорсить пентестеров лучше с утра, потому что к обеду ты будешь уже пятым. На первом этапе лучше не звонить, а направить человеку письмо с сообщением, что вы нашли его резюме и заинтересованы в нем, как в специалисте. Первое касание — самое важное. Письма нужно составлять индивидуально, внимательно изучив резюме, которое позволяет хотя бы немного понять ценности и интересы соискателя.
Увлекательно, но емко расскажите о компании. Кандидаты хотят еще до звонка получить как можно больше конкретной, без воды, информации. Здесь хорошо подойдет инфографика, которая, к тому же, выделит вас из вереницы простых текстовых писем, которых пентестеру, выложившему резюме, приходит множество. Визуальная составляющая, как всегда, важна.
Четко обозначайте, что даст ваша компания кандидату, желательно уложиться в два-три абзаца. Круто, если к тексту вашего сообщения вы добавите презентацию с интересной информацией о компании или как минимум ссылку на сайт.
Кратко опишите задачу, которая должна закрыть эта вакансия. «Портянки» из обязанностей у всех одинаковые: попросите лида сформулировать в 1-2 предложениях, зачем именно ему нужен человек здесь и сейчас.
Не забывайте писать кандидатам follow up’ы. В потоке сообщений в личных мессенджерах кандидаты часто теряют переписки. Напомните о себе на следующий день.
Часто кандидаты не хотят даже разговаривать, пока не узнают зарплатную «вилку». Однако довольно сложно составить какую-то аналитику по зарплатам, поскольку их размер открыто не публикуют. Пока пытаетесь ее сформировать, предлагайте кандидату сказать сумму, ниже которой ему точно неинтересно будет работать. Далее после технического интервью можно будет снова поговорить про деньги.
Самый животрепещущий вопрос от кандидатов «Почему вы не говорите вилку?». Ребята, иногда ее непросто сформулировать, так как рынок штормит. С одними и теми же скиллами два разных кандидата будут просить 120 000 и 260 000 рублей на руки. К тому же, чтобы составить вилку, нужно проанализировать и зарплаты кандидатов, и вакансии от других компаний, в которых свои бюджеты. Находясь по другую сторону найма, соискатель спешит делать вывод, что все хотят его обмануть и дать «невкусный» оффер. Но это не так, просто рынок диктует свои правила.
Не мучайте кандидата, если проект точно не даст желаемой суммы. Не все лиды любят «торговаться» на этапе формирования оффера. Бывает, что лид уже принял решение о зарплате. Тогда, чаще всего, его уже не сдвинуть с места.
Старайтесь сокращать время реакции кандидата за счет автоматизации рекрутинга. Например, есть классная платформа Calendly, используя которую можно отправить кандидату сразу все свободные для собеседования слоты, а не обсуждать их в переписке.
И наконец, обязательно давайте кандидату обратную связь в письменной форме, и не важно, это отказ на позднем этапе или человек не дошел до технического интервью. Рынок узкий: сегодня наш кандидат джун, а через год — крепкий мидл. Не оставляйте переписку без финального сообщения: напишите, пожалуйста, кандидату, что вам было приятно с ним общаться, и честное «нет» с заделом на будущее.
Труд пентестеров малозаметен, хотя их вклад в IT-индустрию не менее важен, чем вклад разработчиков. Найти подходящего специалиста сейчас непросто, но и пентестеру нелегко выбрать постоянного работодателя. Но если мы будем стараться следовать нехитрым рекомендациям из этой статьи, то всем нам будет проще.