中国内地版本
2025年5月26日
根据招聘平台hh.ru的信息,今年年初以来,俄罗斯共出现约200个招聘白帽黑客(或渗透测试工程师,Pentester)岗位,较2024年同期增长20%。但专家指出,过去一年此类人才需求实际更高,只是通常不公开招聘,而是定向招聘。渗透测试工程师的任务是通过模拟黑客攻击,发现企业信息系统漏洞。对其特殊要求包括:熟悉攻击方法、绕过安全系统的方法、测试方法,具备寻找漏洞的经验和使用相关扫描工具的能力。渗透测试员主要雇主是IT公司和金融科技机构。
Hh.ru代表说:“2025年该岗位招聘工资中位数为22.5万卢布,去年为22万卢布。但招聘启事中,雇主通常不标注具体薪资水平,而是倾向于与候选人面议。”招聘平台SuperJob的数据显示,99%的渗透测试员求职者为男性,平均年龄31岁,一半以上(57%)有高等学历。这类人才招聘需求主要集中在莫斯科和圣彼得堡。“阿维托工作”平台“办公室职业”类别总监普舍尼奇内赫(Kirill Pshenichnykh)说,白帽黑客需有极高的技术能力、对软硬件的深刻理解及持续的职业成长。他说:“雇主通常寻找具备特定技能组合的候选人,多通过推荐、专业社区和行业活动招聘。”
普舍尼奇内赫说,此类专家收入差异显著,具体取决于专业、技能水平、职责范围及公司规模和所在地区。他说:“正因如此,这个职业薪资差异非常大,既有较低的起步薪资,又有资深专家的高薪职位。”SuperJob的数据显示,渗透测试员起薪圣彼得堡为8万卢布,莫斯科为10万卢布。相比一年前,此类专家平均薪资增长8%。
普舍尼奇内赫说:“尽管主要招聘平台上渗透测试员岗位没有大量出现,但它仍是数字经济中极其重要且具有前景的职业。”信息安全平台iTPROTECT发展部负责人基谢廖夫(Anton Keselev)认为,对制定了成熟的安全保护方法的公司来说,渗透测试员始终不可或缺。他说:“从渗透测试到关联领域,其经验在构建防护体系时不可替代。这可能包括代码漏洞分析、应用程序测试、Web服务保护、数据分析等。
Positive Technologies公司咨询总监沃罗诺娃(Yuliya Voronova)说,近年俄罗斯市场不仅渗透测试需求持续增长,对“漏洞赏金”计划(Bug Bounty)等合法黑客形式的兴趣也在上升,此类计划通过吸引专家测试IT基础设施发现漏洞。她说:“这与不断变化的网络威胁格局、现代化和数字化有关,这些趋势加剧了基础设施和业务流程面对网络攻击的脆弱性。评估安全状况的有效方法之一,就是开展此类研究。”沃罗诺娃说,过去半年通过漏洞赏金平台进行网络安全测试的需求激增。她说:“这类平台吸引了大量研究者,并成为传统渗透测试的替代方案。不仅大机构客户,而且中型企业需求不断增长。市场已意识到此类研究的必要性,漏洞赏金平台则有效缓解了专业人才短缺问题。”
汽车交易平台FRESH数字转型总监利夫申(Dmitry Livshin)说,其所在公司决定向独立白帽黑客发出挑战:公司参加了俄罗斯“Standoff漏洞赏金”平台的网络安全测试,在该平台注册的有来自60个国家的近2.5万名漏洞猎人。他说:“许多人认为,对企业的典型网络攻击场景是攻击官网,但实际威胁远不止于此。若黑客渗透我们的基础设施,窃取客户数据或植入勒索病毒,干扰参与每笔汽车交易的内部系统,则情况要糟糕很多。”利夫申说:“这种情况下,攻击者可能部分或完全瘫痪公司运营长达两周,损失将达到数千万卢布。因此,我们决定让白帽黑客测试公司的防御能力。”他说:“测试允许用各种攻击方式。从远程攻击(网络入侵,甚至可以从国外发起)到接触式攻击,如黑客可到FRESH汽车中心,打开笔记本电脑,尝试通过本地Wi-Fi网络入侵系统。社会工程学攻击也不被禁止。”
仅Standoff漏洞赏金平台,三年来就发布100多个漏洞寻找计划。该平台在国际网络节Positive Hack Days上宣布,2022年5月至2025年5月,其总赏金额达2.42亿卢布,单个漏洞最高赏金接近400万卢布,平均赏金为5.8万卢布。过去一年半,该平台上的白帽黑客增加两倍多。沃罗诺娃说:“漏洞赏金增长势头迅猛,但能高质量完成此类任务的专家增长缓慢。研究者聚合平台有助于高效实施赏金计划。它们提供质量评估并保证结果,因为只有达成目标才会收费,这对客户特别有吸引力。”
需浏览俄文原文稿件,请登陆《消息报》网站
| www.tsrus.cn/683065|