Начать в кибербезопасности — значит начать не со взлома, а с сетей и операционных систем. Первые три-четыре месяца руками: разобраться, как ходит трафик по TCP/IP, поселиться в консоли Linux, поднять на своём ноутбуке домашнюю лабораторию из виртуальных машин и потренироваться на учебных CTF-задачах. Эксплойты, пентест, «этичный хакинг» — всё потом. Сначала надо понять, как устроено то, что вы собираетесь защищать. Защищать систему, не понимая, как она работает, невозможно — это не безопасность, а её имитация.
Дальше — конкретный план первых месяцев, а не общий список тем. Что учить в сетях и зачем именно это. Как осваивать Linux так, чтобы консоль стала рефлексом. Что такое домашняя лаборатория, из чего её собрать бесплатно и какие сценарии в ней отрабатывать. Что такое CTF и почему это лучший бесплатный тренажёр на старте. И главное — в каком порядке, чтобы не выучить набор команд, под которыми пустота.
Одна мысль, на которой стоит весь текст: кибербезопасность — это не отдельный навык, который учат изолированно. Это надстройка над пониманием инфраструктуры. Сеть, операционная система, сервер, скрипт — вот четыре опоры, и ни одна из них сама по себе не про безопасность. Сначала вы учитесь видеть, как пакет идёт от вашего браузера до сервера и обратно. Потом — как операционная система раздаёт права и пишет журналы. Потом собираете маленькую копию настоящей сети у себя на столе и ломаете её сами, легально. И только когда нормальная работа системы перестаёт быть для вас чёрным ящиком, появляется смысл учить, как её атакуют и защищают. Порядок здесь не рекомендация. Порядок — это и есть метод.
Безопасность во многом про сети. Атаки идут по сети. Защита строится на сетевых границах. Расследование инцидента почти всегда начинается с трафика. Поэтому первое, что учат, — не команды хакера, а то, как один компьютер разговаривает с другим.
Начните с модели сетевого взаимодействия — той самой, где данные проходят через уровни от провода до приложения. Не зубрить семь уровней наизусть, а понять логику: что добавляется к пакету на каждом шаге и зачем. Дальше — TCP/IP, основа всего интернета. Что такое IP-адрес и как устроена адресация. Что такое порт и почему веб живёт на одних номерах, а почта на других. Чем TCP отличается от UDP — надёжная доставка против быстрой. Как работает установка соединения, тот самый трёхэтапный обмен приветствиями, который вы потом тысячу раз увидите в перехваченном трафике.
Затем — служебные протоколы, на которых держится сеть. Как доменное имя превращается в адрес. Как устройство получает настройки сети автоматически. Как браузер запрашивает страницу и что сервер отвечает. Эти протоколы — каркас. Большинство атак — это злоупотребление каркасом, а не магия.
И сразу руками. Теория без практики в сетях не держится в голове ни недели. Поставьте на компьютер инструмент анализа трафика — бесплатный, открытый, стандарт индустрии — и посмотрите на собственный трафик. Откройте сайт и проследите весь путь: запрос имени, установка соединения, обмен данными. Один раз увидев живой трёхэтапный обмен приветствиями своими глазами, вы перестанете воспринимать сеть как абстракцию. Перехваченный трафик из каши символов превратится в читаемую историю — кто, кому, что и зачем.
На сети уходит месяц-полтора при честных двух-трёх часах в день. Без них дальше идти нельзя: сетевой экран останется кнопкой с непонятным назначением, а первая же лабораторная задача про сканирование сети поставит в тупик.
Большинство серверов в мире работают на Linux. Почти все инструменты безопасности написаны под него. Логи, которые вы будете читать, и системы, которые будете защищать, — в подавляющем большинстве это он. Поэтому вторая опора — операционная система, и осваивать её надо не на уровне «я знаю, что такой есть», а на уровне рефлекса.
Цель простая и жёсткая: научиться делать в консоли всё, что обычный пользователь делает мышкой, — и больше. Перемещаться по файловой системе вслепую. Создавать, копировать, искать файлы и текст внутри них. Понимать структуру каталогов — где живут настройки, где журналы, где исполняемые программы. Это фундамент, на котором стоит каждый следующий навык.
Дальше — то, что делает Linux основой безопасности. Права доступа: кто владелец файла, кто может читать, писать, запускать, и почему неправильно выставленные права — это половина всех уязвимостей в реальных системах. Процессы: что сейчас выполняется, кто это запустил, как это остановить. Пользователи и группы: как система решает, кому что можно. Журналы событий: где система записывает, что с ней происходило, — потому что бо́льшая часть работы безопасника и есть чтение логов.
Не «изучайте Linux по видео». Поставьте его — на виртуальную машину, об этом следующий раздел, — и живите в нём. Запретите себе графический интерфейс на простых задачах. Сломайте что-нибудь и почините. Каждый раз, когда рука тянется к мышке, останавливайтесь и ищите команду. Через месяц такой практики консоль из пыточной превращается в продолжение рук. Это и есть момент, когда вы перестали «знать про Linux» и начали в нём работать.
Параллельно — немного скриптинга. Не «стать программистом», а уметь автоматизировать рутину. Сначала простые сценарии командной оболочки: собрать команды в один файл, чтобы не набирать их по сто раз. Потом — базовый скрипт на распространённом языке автоматизации: прочитать файл, отфильтровать строки, посчитать совпадения. Когда вам прилетит журнал на сто тысяч строк, тот, кто умеет написать пять строк скрипта, разберётся за минуту. Тот, кто кликает мышкой, — за день. Эта разница и отделяет специалиста от пользователя.
Теория уложилась — пора собирать полигон. Домашняя лаборатория — это несколько виртуальных машин на вашем собственном компьютере, изолированная сеть, где можно ломать, чинить и экспериментировать, ничего не нарушая и никого не задевая. Это главный тренажёр безопасника, и он бесплатный.
Идея простая. Ставите программу виртуализации — бесплатные есть и для слабых машин. Внутри неё создаёте несколько отдельных компьютеров: один с Linux-сервером, один с настольной системой, при желании ещё один — как условный «атакующий». Соединяете их в виртуальную сеть, отрезанную от вашего домашнего интернета, чтобы эксперименты остались внутри. Получается маленькая копия офисной инфраструктуры, которая целиком помещается в одном ноутбуке и ничего не стоит, кроме оперативной памяти.
Что в ней делать — по нарастающей. Сначала просто поднять сервер и научиться к нему подключаться, настроить, сломать доступ, восстановить. Потом запустить на нём сетевую службу — например, веб-сервер — и посмотреть тем самым анализатором трафика, как к нему идут запросы из соседней виртуальной машины. Потом — просканировать свою же сеть стандартным инструментом разведки: какие машины живы, какие порты открыты, какие службы за ними. Вы увидите свою лабораторию глазами того, кто к ней подбирается, — и это первый честный момент, когда теория про порты и протоколы становится наглядной.
Дальше можно ставить специально уязвимые учебные системы — их свободно раздают для тренировки — и искать в них дыры. Не на чужих серверах, что незаконно, а на своих, собранных ровно для этого. Нашли уязвимость в своей же машине — поняли механизм — закрыли её — проверили, что закрыта. Вот этот цикл «понял, как ломается, понял, как чинится» и есть кибербезопасность в миниатюре.
Домашняя лаборатория решает и ещё одну проблему — ту, из-за которой обрывается большинство попыток войти в ИБ. На собеседовании нечего показать. Сертификат о прослушанном курсе есть у всех. А настроенный стенд, разобранный сценарий атаки на своей сети, скриншоты перехваченного трафика с пояснением, что там происходит, — это доказательство, что вы понимаете, а не пересказываете. На старте без коммерческого опыта это ваше единственное портфолио.
Лаборатория собрана. Теперь нужен поток задач, на которых тренироваться, — и тут вступает CTF.
CTF, Capture the Flag, — это соревнования и тренажёры по информационной безопасности. Суть: вам дают уязвимую систему или задачу, надо найти спрятанный «флаг» — строку, которую можно добыть, только разобравшись в уязвимости. Нашёл флаг — решил задачу. Это превращает обучение в игру с понятной целью и мгновенной обратной связью: либо ты понял механизм и достал флаг, либо нет, и придётся разбираться глубже.
Чем CTF хорош именно на старте. Он бесплатный — большинство тренировочных площадок свободны для входа. Он легальный — вы ломаете специально подготовленные мишени, а не чужую инфраструктуру. Он разбит по уровням — есть задачи для тех, кто впервые открыл консоль, и есть для тех, кто годами в профессии. И он бьёт по рукам ровно там, где у вас пробел: не разобрались в том, как работает веб-запрос, — задача про веб не решится, и придётся вернуться к основам. CTF не даёт обмануть себя ощущением, что вы всё поняли.
Начинать стоит с обучающих задач, где к каждой приложен разбор. Не геройствовать в одиночку над сложным, а пройти базовые сценарии с подсказками: вот уязвимость, вот почему она возникает, вот как её используют, вот как закрывают. Цель первых месяцев в CTF — не набрать очков, а пройти руками десятки маленьких механизмов, понять их изнутри. Очки придут потом.
Есть здесь и честная оговорка. CTF — отличный тренажёр механизмов, но это не вся работа безопасника. Реальная защита — это во многом методичная рутина: настройка средств защиты, чтение журналов, выстраивание процессов, скучноватые проверки на соответствие требованиям. CTF учит находить и понимать уязвимости — драйв атаки. Повседневная оборона выглядит спокойнее. Если вас зажигает только азарт взлома, а методичная инженерная работа кажется тоской, — это сигнал присмотреться к профессии заранее, а не после оплаты долгого обучения. CTF удобно использовать и как профориентацию: затягивает — хороший знак, тяготит — лучше знать об этом сейчас.
Соблазн начать с конца велик. Ролики про хакеров показывают эффектный взлом, а не три месяца в консоли до него. Поэтому самая частая ошибка новичка — купить курс «этичный хакинг с нуля», выучить десяток готовых сценариев атак и решить, что началась карьера. А на первом же техническом вопросе — «опишите, что происходит, когда вы открываете сайт» — ответить нечем. Человек умел запускать чужие инструменты, но не понимал, по чему они бьют.
Поэтому порядок жёсткий, и в нём весь смысл. Сначала сети — месяц-полтора, чтобы видеть, как ходит трафик. Параллельно и следом Linux с базовым скриптингом — месяц-два, чтобы консоль стала рефлексом. На этой базе домашняя лаборатория — собрать полигон и оживить теорию руками. И поверх всего CTF — поток задач, на которых оттачиваешь понимание механизмов. Три-четыре месяца плотной практики, и только тогда есть смысл открывать собственно курсы по защите и нападению: теперь под командами будет понимание, а не пустота.
Каждый шаг бесполезен без предыдущего. CTF про веб не решить без понимания сетевых протоколов. В лаборатории нечего делать без Linux. Анализатор трафика бессмыслен без знания, как выглядит нормальное соединение. Переставить этапы — то же самое, что навешивать замки на стену, которой ещё нет. Кто перепрыгивает фундамент, получает набор команд и иллюзию знания. Кто идёт по порядку — реальное понимание, которое на собеседовании отличают с первых минут.
И эта база — не временная подготовка, которую потом забывают. Сети, системы, консоль, скрипт остаются ежедневными инструментами на всю карьеру. Вы их не «проходите» — вы на них живёте.
Расчистите ближайшие три-четыре месяца под фундамент и забудьте слово «эксплойт» до конца этого срока. Сначала сети: модель взаимодействия, TCP/IP, порты, базовые протоколы — и сразу анализатор трафика на собственном соединении, чтобы теория ожила. Затем Linux: поселитесь в консоли, освойте права, процессы, журналы, добавьте простой скриптинг. Дальше — программа виртуализации и первая домашняя лаборатория из пары виртуальных машин: поднимайте, ломайте, чините, сканируйте свою же сеть. И параллельно CTF с обучающими задачами и разборами — поток механизмов, на которых растёт понимание.
Не учите в пустоту — собирайте то, что можно показать. Скриншоты перехваченного трафика с разбором. Настроенный и сломанный-починенный стенд. Разобранный CTF-сценарий с объяснением механизма. На старте без опыта это весит больше любого сертификата, потому что доказывает понимание.
И трезво про цифры. Этот фундамент — вход не в саму ИБ, а в ИТ, на котором она стоит: дальше будут основы защиты, выбор направления, первая работа — чаще через смежную роль вроде системного администрирования. Дорога до позиции в безопасности с полного нуля — это годы, а не месяцы, и junior в ИБ в 2026 году стартует с 60 000–90 000 ₽ при медиане предлагаемых зарплат hh.ru около 156 666 ₽. Но первые честные шаги — те самые сети, консоль и лаборатория на вашем столе — стоят ноль рублей и делаются уже сегодня вечером.
Чтобы не гадать, та ли это дорога именно для вас и с какой профессии короче войти под ваш склад и бэкграунд, пройдите Профтест: пара минут вопросов про опыт и цели — и на выходе реальный стартовый маршрут, а не общий совет из интернета.
Тот новичок, что хотел учить хакинг по видео, в итоге начал иначе. Поднял на ноутбуке три виртуалки, неделю гонял по ним трафик и читал логи, прошёл первые CTF с разборами. Через три месяца на вопрос «что происходит, когда открываешь сайт» ему было что ответить — не заученной фразой, а потому что он сам сто раз видел это в своей лаборатории.
