Привет.
Как прокачаться от эникея до пентестера?
Вариант #0: Открываешь ХХ / канал в ТГ с вакансиями в сфере ИБ, смотришь где нужен джун (сразу скажу, сейчас есть нехватка квалифицированных кадров, но это не означает, что новичку пробиться невозможно), изучаешь список требований/обязанностей. Вот тебе и ориентировочный путь из того, что учить.
Вариант #1: гуглить "дорожные карты" по старту карьеры в ИБ > пентесте. Тут этих карт великое множество, смотри преимущественно те, что крутятся в РУ-сегменте.
[я категорически против такого подхода, но многим, якобы, помогает определиться что делать]
Останется открытым вопрос практики, но к нему ты подойдёшь позже.
Поэтому с апреля занимаюсь на платформе TryHackMe.
Это лучше, чем ничего, но на собеседовании никто твой профиль ТХМ/ХТБ смотреть не будет, да и из реальных навыков там типовые задачи по профильным тулзам. Опять же, это лучше, чем ничего, но этого крайне мало даже для джуна.
Однако меня смущает тот факт, что многие организации, специализирующиеся в ИБ, хотят специалистов с высшим образованием, а не средним специальным, как у меня.
Вышка обязательна без вариантов для госов, банков и для управляющего звена, в остальных случаях возможны варианты как правило. Начать карьеру ты сможешь при желании и без диплома, но он нередко упрощает некоторые вопросы, скажем так.
Как я могу прокачаться до инфраструктурного пентестера?
Ставь себе реальные задачи. Грубо говоря, разбей этот мастер-план на части, начиная от "эникей" (точка А), заканчивая "пентестер" (точка Я). Переместиться из точки А в точку Я магическим способом, очевидно, не получится, так что продумывай этапы. Это тебя морально и психологически тоже разгрузит и позволит более осмысленно подходить к реализации задачи.
Стоит ли в будущем искать стажировки или же сразу подаваться на позицию джуна?
Стажировки по большей части ориентированы на студентов и совсем-совсем молодых специалистов, так что более выигрышная тактика - наниматься джуном по схеме, описанной выше.
Где помимо TryHackMe и HaсkTheBox я могу прокачаться <...>?
Багбаунти. Да, это не пентест, но я поясню мысль: работа по реальным целям, возможность заработка, постепенная известность в сообществе (отдельное внимание удели этому пункту, потому что известность и активность в сообществе также открывают некоторые двери), возможность совмещать с основной работой, и по итогу будет что показать потенциальным работодателям (к вопросу о профилях ТХМ/ХТБ). Скажем так, если ты вообще закрепишься в этом поле, будут варианты дальнейшего развития событий. Плюс, тут как раз есть нехватка новой крови, что тебе на руку.
Бонус #0: попробуй присоединиться к какой-нибудь молодой/начинающей CTF-команде, чтобы работать вместе. Тут тебе как раз может пригодиться профиль ТХМ/ХТБ.
Бонус #1: читай профильные каналы в ТГ и крутись в таких же чатах. Там много информации, которая может тебе пригодиться, и там много таких же как ты, новичков, которые задают вопросы и получают на них ответы.
Бонус #2: пробивайся на ИБ-мероприятия, платные и бесплатные. Задача простая: вливаться в сообщество; заводить знакомства с новичками и профессионалами; слышать темы и обсуждения, которые через Х месяцев станут твоим хлебом. Помни, что ты там будешь не единственным новичком, так что бояться нечего и некого.
Бонус #3: обрати внимание на свои навыки общения. В ряде случаев адекватная коммуникация оценивается в первую очередь при трудоустройстве, исходя из понимания, что легче кандидата обучить работе с какой-то условной тулзой, чем привить ему навык адекватного общения с потенциальными коллегами.
Бонус #4: учи какой-то полезный ЯП. На собеседовании даст конкурентное преимущество.
Удачи.
