Если вы читаете этот материал, скорее всего вы уже поняли главное: информационная безопасность — это не «набор сертификатов», а непрерывная практика. Рынок в 2026 году ждёт людей, которые умеют думать как атакующий, документировать как аудитор и автоматизировать рутину как инженер. Защита данных, расследования, поиск уязвимостей и работа с открытыми источниками (OSINT) сливаются в одну цепочку навыков: без понимания сетей и API вы будете постоянно упираться в потолок.

Этот текст — не очередной список «топ‑10 курсов», а дорожная карта кибербезопасности, которую можно адаптировать под ваш стартовый уровень. Я — Vitali Brunovski, автор BRUNOVSKI.COM: сам прошёл путь от инженерной рутины к преподаванию security и QA Automation SDET, и сегодня обучаю через практику — лаборатории, разбор реальных сценариев и менторский формат, где важнее не «просмотр лекций», а умение руками воспроизвести цепочку атаки, защиты и расследования.

Ниже — уровни, стек, инструменты и типичные ошибки. Если вам ближе ускоренный путь с обратной связью, в середине и в конце статьи я коротко объясню, зачем в таком треке полезен ментор по кибербезопасности и как это стыкуется с тем, что мы делаем на странице Security Testing.

Зачем в 2026 году нужен именно roadmap, а не хаотичное «кибербезопасность обучение»

Рынок перенасыщен контентом: бесплатные видео, CTF, случайные чек‑листы. Проблема в том, что без карты вы тратите месяцы на вещи, которые не складываются в компетенцию. Например, вы учите Kali Linux, но не понимаете, как пакет доходит от браузера до сервера — и тогда каждый отчёт по поиску уязвимостей превращается в угадайку.

Хороший roadmap отвечает на три вопроса:

  1. Какой базовый стек обязателен (операционная система, сети, скрипты, документация).
  2. Какой след вы оставляете в портфолио — воспроизводимые лаборатории, write‑up, скрипты на GitHub.
  3. Как вы соблюдаете закон и этику — без этого вас не возьмут ни в red team, ни в SOC, ни в консалтинг.

Дорожная карта кибербезопасность 2025 и переход к 2026 не меняет фундамент: Linux, TCP/IP, Python, веб‑ и API‑слой по‑прежнему «скелет». Меняются акценты: больше облачных идентичностей, больше цепочек supply chain, больше автоматизации расследований. Поэтому в roadmap ниже я явно добавляю работу с API и скриптами — это мостик между классическим пентестом, DevSecOps и OSINT‑автоматизацией.

Для освоения базовых навыков и теории отлично подойдут дешёвые курсы в моей Академии, а этот roadmap покажет, как применить эти знания на практике и не расползтись по бесконечным плейлистам без портфолио.

Уровень нуля: этика, право и гигиена работы

Прежде чем гуглить «как стать этичным хакером»

Фраза как стать этичным хакером звучит романтично, но профессиональный смысл простой: вы получаете явное разрешение на тестирование, фиксируете scope, ведёте журнал действий и не трогаете чужие данные. Любая практика на чужих системах без договора — это не «учёба», а риск уголовной ответственности. Все лаборатории в обучении должны жить на своих VPS, локальных VM или легальных платформах (Hack The Box, TryHackMe, собственные стенды).

Минимальный набор правил

  • Письменный scope: IP, домены, окна времени, запреты (например, социнженерия или DoS).
  • Разделение личных и рабочих аккаунтов; 2FA везде, где есть доступ к инфраструктуре.
  • Документирование: что сканировали, какие версии софта, какие cve проверяли — это основа отчёта аудитора.

Фундамент: Linux и сетевые протоколы без «магии»

Почему без Linux в ИБ тяжело

Большинство инструментов безопасности изначально заточены под Unix‑подобные системы: от парсинга логов до работы с контейнерами. Ваша цель — не «зазубрить 300 команд», а уверенно:

  • ориентироваться в файловой системе, правах chmod/chown, процессах и сервисах (systemd);
  • настраивать сеть на уровне интерфейсов, маршрутов, DNS и файрвола;
  • читать логи и собирать артефакты расследования (journalctl, /var/log, auditd).

Сети: что реально спрашивают на собеседованиях

Поймите модель на уровне, достаточном для поиска уязвимостей и OSINT:

  1. TCP vs UDP: установление соединения, повторные передачи, типичные сценарии (HTTP/HTTPS, DNS, VPN).
  2. Маршрутизация и NAT: где «ломается» видимость, как появляются асимметричные пути.
  3. TLS: сертификаты, цепочка доверия, типовые ошибки конфигурации, downgrade.
  4. HTTP: методы, заголовки, куки, кеш, типовые векторы (инъекции, SSRF на уровне понимания запроса).

Без этого вы не понимаете, почему одна и та же уязвимость «видна» из браузера, но «не видна» сканеру, и наоборот. Для QA‑специалистов, которые приходят в security, это особенно важно: те же принципы лежат в основе тестирования API и контрактов.

OSINT: методология важнее списка утилит

OSINT (Open Source Intelligence) — это сбор и верификация данных из открытых источников. Типичные классы источников:

  • домены, DNS, история инфраструктуры;
  • метаданные документов и публичные репозитории кода;
  • соцсети, карты, маркетплейсы, архивы сайтов;
  • данные в легальных базах и с явным правовым основанием (без «серых» дампов).

Здесь критичны гигиена (не нарушать ToS и закон) и проверка фактов: OSINT без верификации превращается в сплетни.

OSINT‑инструменты, с которых начинают в 2026

Под OSINT инструменты обычно подразумевают связку категорий, а не одну программу:

  • Пассивные DNS и история доменов — картирование инфраструктуры без активного сканирования.
  • Поиск по утечкам и публичным дампам — только в правовых рамках и с согласием заказчика; для обучения используйте синтетические датасеты.
  • Метаданные документов — PDF/Office, иногда раскрывают пользователей и версии ПО.
  • Код и секреты в Git — паттерны по API‑ключам, .env, приватным токенам (в учебных репозиториях — осознанные флаги).
  • Геопривязка и медиа — EXIF, перекрёстная проверка снимков (осторожно с приватностью).

На практике полезно вести «карту сущностей»: субъект → активы (домены, IP, люди, ники) → источники → уровень доверия. Такой подход совместим и с расследованием инцидентов, и с конкурентной разведкой в легальных B2B‑проектах.

Облако, идентичности и «беспериметровость»: слой roadmap 2026

В корпоративной среде периметр всё реже совпадает с «офисной сеткой». Сотрудники, подрядчики, SaaS и API‑шлюзы создают распределённую поверхность атаки. Поэтому современная информационная безопасность требует хотя бы прикладного понимания:

  • IAM в облаке — роли, политики, принцип наименьших привилегий, типовые ошибки в конфигурации бакетов и ключей.
  • Федерация и SSO — как устроены потоки OAuth/OIDC/SAML на уровне, достаточном для review и тестирования (без этого сложно ловить логические баги в цепочках входа).
  • CI/CD и артефакты — где в pipeline появляются секреты, как бороться с утечками в логах билдов, зачем проверять supply chain (подписи, хеши, lock‑файлы).

Этот блок не отменяет классические сети и Linux — он их дополняет. На собеседованиях middle‑уровня часто спрашивают не «назовите 20 CVE», а «как вы объясните риск компрометации service account в Kubernetes или неправильной trust‑политики между аккаунтами AWS». Если вы идёте из QA, это хорошая новость: вы уже привыкли к регрессии и контрактам — перенесите этот навык на проверку конфигураций и API‑политик.

Как учить облако без бесконечных счетов

Не обязательно сразу жечь бюджет в продакшен‑аккаунтах. Достаточно:

  1. бесплатных tier’ов и учебных сценариев с явным scope;
  2. локальных эмуляторов и mini‑кластеров (kind/minikube) для понимания сетевых политик;
  3. разбора чужих публичных postmortem’ов — там видно реальные цепочки, а не абстрактные схемы из учебников.

Так вы связываете OSINT (что видно снаружи), поиск уязвимостей (как это эксплуатируется) и эксплуатационную гигиену (как это детектится и чинится) — именно так выглядит цельная дорожная карта, а не набор разрозненных видео.

Python, скрипты и работа с API: мост между security и автоматизацией

Если вы хотите расти быстрее среднего студента «видеокурса», Python для вас — не опция. В связке security + QA automation (группы по API) он нужен, чтобы:

  • писать proof‑of‑concept и проверять гипотезы об уязвимости без ручного кликанья в UI;
  • повторяемо гонять запросы к REST/GraphQL и сравнивать ответы;
  • парсить и нормализовать данные OSINT (JSON/CSV, очереди задач), собирать таймлайны для отчёта;
  • интегрировать сканеры и тикетинг через работу с API (REST, иногда GraphQL);
  • на следующем витке — автоматизировать развёртывание лабораторий (Terraform/Ansible), а пока держать всё на Python/bash и встраивать проверки в CI.

Минимальный практический трек

Что закрыть по шагам (каждый шаг — с мини‑задачей в репозитории):

  • База языка — синтаксис, типы, файлы, venv.
  • HTTP‑клиентrequests/httpx: куки, заголовки, редиректы, типовые ошибки TLS.
  • Асинхронностьasyncio на уровне «много запросов без лишних потоков».
  • Парсинг — HTML/JSON без DDoS‑характера: задержки, robots.txt, уважение к чужим сервисам.

Именно здесь пересекаются треки security и QA automation API, которые я веду на BRUNOVSKI.COM: умение читать OpenAPI‑спеку, строить негативные сценарии и автоматизировать проверки — это те же навыки, что помогают в API‑пентесте и в DevSecOps.

Нужен разбор вашего текущего уровня?

Самостоятельный roadmap работает, если вы умеете держать дисциплину и верифицировать себя по лабораториям. Если же вы хотите сократить время на типовых ошибках и сразу учиться на задачах, близких к индустрии, напишите — обсудим формат менторства и практики под ваш фон (в т.ч. переход из QA в security).

Написать в Telegram

Базу закрыли — что учить дальше: атака, защита или приложения

Дальше roadmap обычно расходится на три логики работы. Red (в т.ч. пентест) — вы имитируете злоумышленника по договору: ищете слабые места и показываете, как до них добрались. Blue (в т.ч. SOC) — вы со стороны организации видите атаку: логи, алерты, расследование, блокировки. AppSec / API — вы копаете не «сеть целиком», а приложения и интерфейсы: баги, токены, OAuth, контракты API. Ниже — что вкладывать в план под каждый тип роли.

Путь «атакующего»: пентест и red team

Фокус на моделировании атаки: разведка, эксплуатация, пост‑эксплуатация, отчёт. Нужны навыки веб‑ и инфраструктурного тестирования, понимание Active Directory в корпоративном контексте, умение объяснить бизнес‑риск, а не только «я получил шелл».

Путь «защитника»: blue team и SOC

Фокус на детектировании: логи, корреляция, правила, threat hunting, понимание типовых TTP. Здесь OSINT часто используется для атрибуции индикаторов и enrichment данных об угрозах.

Путь «приложений»: AppSec и безопасность API

Узкий, но очень востребованный трек: статический и динамический анализ, ревью кода на типовые баги, тестирование OAuth/OIDC потоков, abuse‑сценарии для публичных API.

Сравнение ролей: куда вы «приземляетесь» после roadmap

Ниже — компактная матрица: чем отличаются направления, что учить в первую очередь и откуда чаще приходят в профессию.

Упрощённое сравнение ролей в ИБ для планирования карьеры (2025–2026).
Роль / специализация Основной фокус работы Ключевые навыки (приоритет) Типичный вход в профессию
Pentester / Red Team (junior+) Моделирование атаки в рамках согласованного scope Linux; TCP/IP и веб; отчётность; основы AD и облака Лаборатории, CTF, менторство, аутсорс / продуктовые команды
SOC Analyst Мониторинг, триаж и расследование инцидентов Логи; SIEM; сетевые артефакты; база по малвари Курсы, симуляции, сертификаты уровня CompTIA Security+ и аналоги
OSINT‑специалист Сбор, верификация и оформление данных из открытых источников Методология; право и этика; инструменты; отчёты для заказчика Частные заказы, расследования, легальная B2B‑разведка
AppSec / API Security Безопасность приложений, API и контрактов данных HTTP/TLS; OAuth/OIDC; скрипты; проверки в CI/CD Бэкграунд QA или разработки + углубление в security
GRC / аудит Политики, комплаенс, оценка и коммуникация рисков Фреймворки (ISO 27001, NIST и др.); письменная дисциплина Аналитика, менеджмент, юридический контекст + базовая техника

Сертификации: полезны, но не вместо рук

Сертификаты помогают пройти HR‑фильтр, особенно в крупных вендорах. Но работодатель всё равно смотрит на то, можете ли вы показать воспроизводимый PoC и объяснить риск бизнесу. Рациональная стратегия:

  • База: широкий обзор (Security+, аналоги) — если вам нужен язык для собеседований.
  • Пентест: практические экзамены с лабораториями (форматы вроде OSCP‑подобных испытаний) — после того, как вы уже прошли 50–100 коробок на легальных платформах.
  • Облако: отдельный модуль под AWS/Azure/GCP IAM — в 2026 это почти обязательный слой.

Типичные ошибки в самообучении (и как их обходят на менторстве)

  1. Только видео, без лабораторий — знание не конвертируется в навык; нужен ежедневный hands‑on.
  2. Случайный CTF без теории — весело, но не даёт системы; чередуйте фундамент и соревнования.
  3. Игнор API и автоматизации — упираетесь в потолок на реальных проектах, где всё в оркестраторах и CI.
  4. Нет write‑up — через месяц вы не вспомните, как решали задачу; документация — часть профессии.

Здесь и помогает формат, где ментор по кибербезопасности не «рассказывает слайды», а проверяет ваши решения, бьёт по ложным выводам в OSINT и подсказывает, какой следующий шаг даст максимум пользы для вашего CV. Я сознательно совмещаю security‑практику с линией QA automation на сайте: многие студенты приходят из тестирования, и им критично не начинать с нуля, а перенести навык работы с API и логами в сторону безопасности.

Пошаговый план на 12 месяцев (скелет)

  1. Месяцы 1–2: Linux ежедневно, сети (TCP/IP, DNS, HTTP), две простые лаборатории в неделю.
  2. Месяцы 3–4: Python для запросов и парсинга; первые OSINT‑кейсы с картой сущностей и верификацией.
  3. Месяцы 5–6: Веб‑уязвимости на уровне OWASP Top 10 (понимание, PoC, отчёт).
  4. Месяцы 7–8: API‑сценарии (OAuth, токены, rate limit, SSRF‑логика на уровне приложений).
  5. Месяцы 9–10: Специализация — либо red, либо blue, либо OSINT‑углубление; один крупный проект в портфолио.
  6. Месяцы 11–12: Участие в CTF/bug bounty в рамках правил + подготовка к сертификации или собеседованиям.

Заключение: roadmap — это продукт, а не постер на стену

В 2026 году в кибербезопасности обычно выигрывает тот, кто совмещает фундамент (Linux, сети, Python), прикладной OSINT и умение работать с API: без этого трудно и системно искать уязвимости в современных цепочках, и автоматизировать рутину расследований. Сильное обучение кибербезопасности — не про «набрал курсов», а про календарь: спринты, лаборатории, отчёты, код в репозитории. Хорошая дорожная карта кибербезопасности на 2025–2026 как раз об этом.

Отдельно подчеркну: рынку не нужны «знатоки терминов». Нужны люди, которые могут воспроизвести цепочку, оформить риск для бизнеса и предложить меру смягчения. Поэтому каждый этап roadmap должен заканчиваться артефактом — заметкой, скриптом, мини‑отчётом, схемой данных. Так вы и для себя видите прогресс, и рекрутеру проще поверить в вашу готовность.

Я прошёл этот путь не как теоретик, а как практик и преподаватель: на BRUNOVSKI.COM делаю упор на задачи, которые можно показать работодателю. Если вы хотите пройти тот же маршрут быстрее и с жёсткой обратной связью — напишите в Telegram: разберём входную точку и соберём персональный план (включая связку security + automation, если вы из QA).

Записаться на консультацию

Написать в Telegram