You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Пазар на труда в киберсигурността в България 2024–2026
Докладът използва изключително евро (€) за всички заплати и финансови данни.Фиксиран курс: 1 EUR = 1.956 BGN
Обзор на пазара
Българският пазар на киберсигурност преживява устойчив растеж, воден от регулаторния натиск на NIS2 и DORA, увеличаващата се дигитализация и хронична липса на квалифицирани кадри. Към март 2026 г. на основните платформи (DEV.BG, Jobs.bg, LinkedIn, H512.com) са публикувани между 60 и 92 активни обяви за работа в областта на информационната сигурност, като около 85% от позициите са в София.
Пазарът на киберсигурност в България е оценен на $74 милиона през 2024 г. с прогнозиран растеж от ~9% CAGR до $115 милиона през 2029 г. С приемането на NIS2 в България през февруари 2026 г. над 10 000–12 000 организации попадат в обхвата на регулацията, което означава рязко нарастване на търсенето на специалисти в следващите 2–3 години.
Кариерна рамка на CSF.bg — 6 професионални пътя
CSF.bg дефинира 6 основни кариерни пътя в киберсигурността, адаптирани към българския пазар:
Най-високо търсене имат позициите за имплементиране (Security Engineer, Architect) с рейтинг 7/10, следвани от оперирането (SOC, Incident Response) с 6/10.
Всички стойности са нето евро на месец. Конвертирани от пазарни данни (DEV.BG, Zaplatomer.bg, реални обяви) с фиксиран курс 1 EUR = 1.956 BGN.
Заплати по позиции и ниво на опит
Позиция
Junior (0–2 г.)
Mid (2–5 г.)
Senior (5+ г.)
Lead / Mgmt
SOC Analyst (Tier 1–3)
€1 000–1 800
€1 800–3 100
€2 600–5 100
—
Penetration Tester
€1 300–2 000
€2 000–3 600
€3 100–6 200+
—
Security Engineer
€1 500–2 300
€2 300–4 100
€3 600–5 600+
—
DevSecOps Engineer
€2 000–2 800
€2 800–4 600
€4 100–7 200+
—
Application Security Engineer
€1 500–2 300
€2 300–3 800
€3 600–5 100+
—
Cloud Security Engineer / Architect
€2 600–3 600
€3 600–5 100
€4 600–7 700+
—
GRC / Compliance Specialist
€1 300–2 000
€2 000–3 600
€3 100–5 100+
—
Incident Response / DFIR
€1 800–2 600
€2 600–4 100
€3 600–6 200+
—
Threat Intelligence Analyst
—
€2 600–4 100
€3 600–5 100+
—
Security Architect
—
—
€4 100–7 700+
—
CISO / Security Director
—
—
—
€5 100–11 200+
Malware Analyst / Reverse Engineer
€1 500–2 300
€2 300–3 800
€3 600–5 100+
—
Динамика на заплатите по опит (брутно, годишно)
Опит
Годишна брутна
Месечна брутна
Ръст
0–2 години (Junior)
~€13 400
~€1 120
—
2–5 години (Mid)
~€19 100
~€1 590
+43%
5–10 години (Senior)
~€24 900
~€2 070
+30%
10–15 години (Lead)
~€29 600
~€2 470
+19%
15–20 години (Director)
~€32 800
~€2 730
+11%
20+ години (Executive)
~€35 400
~€2 950
+8%
Заплатни данни от реални обяви
Позиция
Заплата
Тип
Работодател
Junior Cybersecurity
€1 250–1 500/мес.
Брутно
Nordic Recruitment
Senior Cybersecurity
€3 600–5 500/мес.
Нето
Nordic Recruitment
Senior/Management Cybersecurity
€3 600–5 700/мес.
Нето
Nordic Recruitment
IT Security Specialist (медиана)
~€1 500–4 000/мес.
Нето
Zaplatomer.bg (112 респондента)
SOC Analyst L1/L2
€800–3 000/мес.
Нето
Crypto.com, Tietoevry
Пазарен контекст
Средната брутна заплата в България е ~€1 310/мес. (март 2025). Средната в ИКТ сектора е ~€3 070/мес. брутно — най-висока сред всички сектори. Около 23% от ИТ специалистите получават над ~€4 100 нето месечно. Sofia носи 20–30% премия спрямо Пловдив и Варна. Remote работа за западни компании може да удвои тези стойности — средното за remote cybersecurity роли в ЕС/UK е ~€57 000/год.
Изисквания по тип позиция
SOC Analyst (Tier 1, 2, 3)
Брой позиции: Най-масово търсени — 44+ в LinkedIn, 20+ в Jobs.bg.
Работодатели: Integrity360, Tietoevry, Crypto.com, A1 Bulgaria, DXC Technology, Amatas.
Изискване
Задължително
Предпочитано
ИТ/ИТ сигурност образование или 1+ г. опит
✓
SIEM (Microsoft Sentinel, QRadar, ELK)
✓
EDR/XDR (CrowdStrike, SentinelOne, Defender)
✓
Разбиране на атаки (XSS, SQLi, CSRF, DDoS)
✓
Английски (средно ниво)
✓
Microsoft SC-200
✓ значително предимство
CompTIA Security+
✓
Python/Bash за автоматизация
✓ (Tier 2+)
Tier 1 работи на 24/7 ротационни смени. Tier 2 включва по-дълбоко разследване, автоматизация и тюнинг. Tier 3 изисква reverse engineering и threat hunting.
Penetration Tester / Ethical Hacker
Брой позиции: 52–65 в LinkedIn; активни в A-LIGN, Nordic Recruitment, Amatas, 7Sec.
Изискване
Задължително
Предпочитано
Бакалавър по технически науки
✓
1–5 г. опит в пентестинг
✓
Burp Suite, Nmap, Metasploit
✓
Python/Bash scripting
✓
OSCP или eCPPT
✓ (A-LIGN)
✓ (повечето)
Active Directory атаки (BloodHound)
✓
Web application testing (OWASP Top 10)
✓
Писане на технически репорти
✓
CEH
✓ (HR filter)
Security Engineer / Information Security Engineer
Брой позиции: 11+ в CyberSecurityJobsite, множество в DEV.BG.
Работодатели: DXC, Payhawk, Commerzbank, CGI, Integrity360.
Изискване
Задължително
Предпочитано
Мрежова сигурност (firewalls, VPN, IDS/IPS)
✓
SIEM/SOAR
✓
Vulnerability management
✓
Cloud security (AWS/Azure/GCP)
✓
3+ години опит
✓
CISSP
✓
CompTIA Security+
✓
DevSecOps Engineer
Брой позиции: Умерено — Perkbox, HRS Recruitment, Schwarz IT.
Изискване
Задължително
Предпочитано
CI/CD pipeline security
✓
Docker/Kubernetes security
✓
IaC (Terraform, Ansible)
✓
SAST/DAST инструменти
✓
Python/Go
✓
5–10+ години опит
✓
CISSP, CISM или CEH
✓
Application Security Engineer
Брой позиции: 11 в CyberSecurityJobsite — PwC, Playtech, Deloitte.
Изискване
Задължително
Предпочитано
OWASP Top 10
✓
SAST, DAST, Threat Modeling
✓
SDLC security практики
✓
2–5+ години опит
✓
ISO 27001 Annex A.14
✓
CEH или ISO 27001 сертификат
✓ (PwC)
Cloud Security Engineer / Architect
Брой позиции: Ниско — 4+ специализирани. Commerzbank, Akkodis.
Изискване
Задължително
Предпочитано
AWS/Azure/GCP security controls
✓
Zero trust архитектура
✓
Identity management
✓
8–10+ години за architect
✓
CISSP
✓
AWS Security Specialty / AZ-500
✓
GRC / Compliance Specialist
Брой позиции: 25+ (Compliance + Risk). PwC, SAP, EnduroSat, Fibank.
NIS2 и DORA: регулаторна вълна трансформира пазара
NIS2 влезе в сила в България на 17 февруари 2026 г. Обхваща 10 000–12 000 организации. България избра по-строг национален режим — разширен обхват, задължително обучение на ръководството на двугодишни интервали. Изследване на ISC2 показва, че 89% от ЕС организациите ще трябва да наемат допълнителен кибер персонал.
DORA влезе в сила на 17 януари 2025 г. и засяга банки, застрахователи, fintech, консултанти и IT доставчици на финансовия сектор. Генерира целенасочено търсене на ICT risk specialists, incident reporting experts и compliance officers.
Ключови пазарни данни: Българският ИКТ пазар е ~$8.55 млрд. (2025); ИКТ секторът формира 9.6% от БДС — сред най-високите в ЕС; Sofia е вторият най-бързо растящ технологичен център в Европа.
За пентестери:
THM Complete Beginner → eJPT (~€100) → HTB CPTS (~€200)
→ OSCP (~€770) → CRTO / OSEP (напреднало)
За blue team / SOC:
CompTIA Security+ (~€350) → CompTIA CySA+ (~€370)
→ Microsoft SC-200 (~€165) → CISSP (~€700, 5+ г. опит)
За cloud security:
AZ-900 (~€85) → AZ-500 (~€165)
→ AWS Security Specialty (~€300)
За GRC / Compliance:
ISO 27001 Foundation → ISO 27001 Lead Auditor (~€1 500–3 000)
→ CISM (~€600) или CISA (~€600)
За security management / CISO:
CISSP (~€700) — изисква 5 г. опит в 2 домейна
Университетски програми по киберсигурност
Университет
Програма
Ниво
Град
Нов български университет
Киберсигурност
Магистър
София
Пловдивски университет
Киберсигурност
Магистър
Пловдив
Варненски свободен университет
Киберсигурност
Магистър
Варна
Тракийски университет
Киберсигурност и електронно управление
Бакалавър
Стара Загора
УТС
Киберсигурност на комуникационните технологии
Бак. и ПБ
София
Докладът е базиран на активни обяви за работа от DEV.BG, Jobs.bg, LinkedIn, H512.com, Zaplatomer.bg и CyberSecurityJobsite; данни от CSF.bg, BASSCOM и Digital National Alliance. Всички заплати са в нето евро с фиксиран курс 1 EUR = 1.956 BGN. Дата: март 2026.
Наръчник за начинаещи — практически съветите на Bulgarian Cybersecurity Community
Първо: Честен разговор преди да започнеш
Преди да стъпиш на каквато и да е пътека, има няколко неща, които хората в сферата повтарят постоянно и е добре да ги чуеш от самото начало.
Киберсигурността изисква непрекъснато учене — завинаги. Не е специалност, която свършваш и след това работиш. Хората, работещи в сферата от години, казват еднозначно: тук се препъват повечето — решават, че като са на 30–40 вече не трябва да учат нови неща. Ако не ти допада идеята за постоянна актуализация на знанията, другите ИТ сфери ще ти дадат по-спокоен живот.
Основите имат значение повече от инструментите. Разбирането как мрежите работят на ниско ниво е фундамент, без който всичко друго е нестабилно. Можеш да знаеш как да ползваш инструментите, но ако не разбираш какво се случва под тях, ще запънеш на всяка нестандартна ситуация.
Няма магически курс. Никой курс, никой сертификат, никаква платформа сама по себе си не те прави специалист. Комбинацията от теория, практика, общуване с по-напреднали и изграждане на реално портфолио — това те прави специалист.
Сертификатите са за HR, знанията са за работата. Ще ти трябват и двете, но в различни моменти и за различни цели. Сертификатът те прекарва покрай HR скрийнинга; уменията те задържат на работата и те карат напред.
Фаза 0 — Ориентация (1–2 месеца)
Преди да плащаш за каквото и да е, трябва да разбереш накъде искаш да отидеш. Киберсигурността е огромна сфера и различните направления изискват коренно различни умения и темперамент.
Разбери направленията
Red Team / Pentesting е офанзивната страна — намираш уязвимости в системи с разрешение на собственика. Изисква технически задълбочено мислене, търпение и творчество при решаване на проблеми. Работата е по-нишова и търсенето в България е ограничено — основни клиенти са банки, финтех компании и критична инфраструктура — но е добре платена и интелектуално наситена. Хората от сферата са единодушни: не очаквай да влезеш директно като пентестър без предишен технически опит.
Blue Team / SOC Analyst е дефанзивната страна — следиш за атаки, реагираш при инциденти, анализираш логове. Значително повече отворени позиции в пазара, по-достъпна като вход в индустрията. Опитните специалисти редовно съветват начинаещите да тръгнат именно оттук и да се преориентират след като натрупат опит.
GRC / Compliance е административно-правната страна — стандарти (ISO 27001, NIS2, GDPR), одити, политики за сигурност. Изисква различен тип мислене — процесно, по-малко технически задълбочено. Позициите са стабилни и добре платени в корпоративния свят. Курсовете за lead auditor са скъпи (5–6 хиляди лева), но инвестицията се връща.
Cloud Security / DevSecOps е интеграцията на сигурността в разработката и облачната инфраструктура. Изисква смесица от разработчически и security умения. Все по-търсено с нарастването на облачните системи и хибридните среди.
Направи следното преди да тръгнеш
Регистрирай се в TryHackMe и изкарай безплатния Pre-Security или Introduction to Cybersecurity path. Ще отнеме 5–10 часа. Ако ти е интересно и не те уморява — продължи. Ако те уморява — по-добре да знаеш сега, отколкото след платен курс.
Инсталирай Kali Linux или Parrot OS в VirtualBox или VMware. Само фактът, че го правиш самостоятелно, ще ти научи повече за виртуализация, дискови образи и базова Linux конфигурация, отколкото всеки въвеждащ курс.
Фаза 1 — Основи (3–6 месеца)
Това е фазата, в която повечето хора прескачат и после страдат. Не я прескачай.
Linux
Всичко в сигурността минава през Linux. Не трябва да ставаш Linux системен администратор, но трябва да се чувстваш у дома в терминала.
Навигация в файловата система, разрешения, процеси, пакетен мениджмънт
Bash scripting на базово ниво — цикли, условия, pipes, пренасочване
Networking команди — netstat, ss, ip, curl, wget, nc
Text processing — grep, awk, sed, cut, sort, uniq
Процеси и управление на услуги — ps, top, systemctl, cron
Препоръчан ресурс: The Linux Command Line от William Shotts — безплатна онлайн, изчерпателна и практически ориентирана. TryHackMe има цял Linux Fundamentals модул от три части, добра алтернатива за интерактивен формат.
Мрежи
Второто голямо фундаментално знание. Без него всичко останало е нестабилно.
OSI модел — не само наизуст, а разбиране какво се случва на всяко ниво
TCP/IP стек — как работи handshake-ът, какво е SYN, ACK, FIN, RST
DNS — как работи резолюцията, типове записи (A, MX, CNAME, TXT, NS)
HTTP/HTTPS — request/response цикъл, headers, методи, status codes
Subnetting и CIDR нотация
Основни мрежови протоколи — DHCP, ARP, ICMP, SMB, FTP, SSH
Препоръчан ресурс: Jeremy's IT Lab CCNA плейлист — безплатен, систематичен и изключително качествен. За по-кратко въведение — Professor Messer's CompTIA Network+ материали са безплатни онлайн.
Програмиране — Python на базово ниво
Не трябва да ставаш разработчик. Трябва да можеш да четеш код, да пишеш прости скриптове и да автоматизираш повтарящи се задачи. Работодателите в сферата все по-често изискват поне базови scripting умения.
Фокусирай се върху:
Основни структури от данни — списъци, речници, множества, наредени двойки
Работа с файлове и низове
HTTP requests с библиотека requests
Регулярни изрази с модул re
Прости скриптове за автоматизация и парсиране на данни
Навикът да документираш всичко, което правиш — командите, резултатите, хипотезите, грешките — ще ти спести стотици часове по-нататък и е критично при писане на пентест репорти. Инсталирай Obsidian и го ползвай от ден едно. Структурирай бележките си по теми и проекти. Когато запъваш на нещо и след час го решиш — запиши как. Това ще ти трябва отново.
Фаза 2 — Практически основи на сигурността (4–8 месеца)
С основите покрити, влизаш в платформите, където сигурността се учи чрез правене.
TryHackMe — Началната точка
Консенсусът в практикуващата общност е единен: TryHackMe е правилното начало за хора без опит. Интерактивен, с обяснения, с готова среда, без нужда да конфигурираш нищо сам.
Минавай по ред:
Pre-Security — фундаменти за хора с нула база
Complete Beginner — първи стъпки в практическата сигурност
Jr. Penetration Tester — базов пентест path
Планирай 3–4 месеца тук, преди да преминеш към HackTheBox. Не прескачай — разликата в трудност е значителна.
HackTheBox Academy — Структурираното задълбочаване
HackTheBox Academy е следващото ниво. За разлика от основния HTB (където хакваш машини самостоятелно), Academy предлага структурирани модули с обяснения и ръководени labs.
Задължителни модули преди да мислиш за сертификат:
Penetration Testing Process — как изглежда реален пентест ангажимент
Network Enumeration with Nmap — основният инструмент за разузнаване
Footprinting — пасивно и активно събиране на информация
Information Gathering - Web Edition — специфика при уеб таргети
Vulnerability Assessment — как да оцениш и приоритизираш намерените уязвимости
File Transfers — как да местиш файлове в компрометирана среда
Shells & Payloads — разбиране на reverse shells и bind shells
Using the Metasploit Framework — индустриален стандарт за exploitation
Password Attacks — credential attacks, hashcat, john the ripper
Linux Privilege Escalation — от user до root
Windows Privilege Escalation — от user до SYSTEM
Active Directory Enumeration & Attacks — критично за корпоративни среди
Пълният Penetration Tester Job Role Path в HTB Academy е около 1000 учебни часа теория и практика, зависи от началното ниво. Не е нещо за уикенд.
Паралелно: OverTheWire Wargames
OverTheWire е безплатна платформа с wargames. Bandit wargame-ът е перфектен за затвърждаване на Linux командния ред. Natas е за уеб сигурност. Protostar е за по-напреднали (exploitation).
Portswigger Web Security Academy
За всеки, насочен към уеб сигурност, Portswigger Web Security Academy е задължителен ресурс — безплатен и изграден от хората зад Burp Suite. Покрива всички OWASP уязвимости с интерактивни labs. Дълбочината на обяснение надминава повечето платени курсове.
Фаза 3 — Специализация и първи сертификат (6–12 месеца)
До тук си изградил реална база. Сега е моментът да поемеш в конкретна посока и да получиш първото признание на пазара на труда.
eJPT (eLearnSecurity Junior Penetration Tester) е правилният първи сертификат за пентест. Около $200, 48-часов практически изпит, признат при entry-level позиции. Хора от сферата потвърждават, че са получили стаж или първа работа с eJPT като единствен сертификат — при условие, че са показали реална практическа подготовка. eJPT v2 (пуснат края на 2022) е значително по-добър от оригиналната версия.
Паралелно с eJPT подготовката — гледай ippsec в YouTube. Това е каналът, в който retired HackTheBox машини се решават стъпка по стъпка с обяснения. Обемът и качеството на знанието, което можеш да извлечеш оттам, надминава повечето платени курсове.
OSCP е признатият индустриален стандарт за пентестъри. Offensive Security PWK курс + 24-часов практически изпит + писмен репорт. Труден е умишлено — fail-ват много хора на първи опит. Хора без предишен опит, взели OSCP, са наети за пентестъри директно. Подготовката изисква сериозна инвестиция на време и пари (~$1,500), но е инвестицията, която отваря вратите.
Препоръчана подготовка за OSCP: HTB машини (поне 30–40 retired) + ippsec за всяка от тях + водене на детайлни записки в Obsidian + VHL (Virtual Hacking Labs) или PG Practice (Offensive Security Proving Grounds).
HTB CPTS е алтернатива с нарастващо признание. По-евтин (~$400 срещу ~$1,500), материалът е по-актуален, изпитът е 10-дневен. HR признаването расте, но OSCP все още води при повечето обяви. Практическата препоръка: ако бюджетът позволява — CPTS → OSCP. Ако трябва да избираш едно — OSCP за HR видимост, CPTS ако приоритетът е знание срещу цена.
Важен нюанс: eJPT и CPTS/OSCP не са взаимозаменяеми — те са стъпала. Не прескачай eJPT с аргумента, че OSCP е "по-истинският". Правилната последователност: eJPT → CPTS или директно OSCP (ако имаш достатъчна HTB практика).
Ако целиш SOC Analyst / Blue Team
Препоръчана пътека: THM Blue Team path → CompTIA Security+ → CySA+ → практически опит
CompTIA Security+ е признатият entry-level сертификат за blue team позиции. Около $350–400 за изпит, широко покритие на концепции. За хора влизащи от нулата — Google Cybersecurity Certificate (Coursera, по-евтин) е добра подготовка преди Security+.
CompTIA CySA+ е следващата стъпка — фокусира се върху анализ на заплахи, hunting и incident response. Добра двойка с Security+ за SOC роли.
Паралелно: TryHackMe SOC Level 1 и SOC Level 2 paths. За хора с мрежарски или сисадмин background — CCNA CyberOps е ценна добавка, насочена специално към SOC операции.
Практически съвет: SOC ролята в началото може да изглежда скучна — мониториране на alerts, много false positives. Гледай на нея като на разузнаване: учиш как изглежда "нормалното" в реална среда, което е задължително знание за всичко по-напредналото.
Ако целиш Cloud Security / DevSecOps
Препоръчана пътека: AWS Cloud Practitioner или AZ-900 → специализиран cloud security path → AZ-500 или AWS Security Specialty
Започни с базовия cloud сертификат на платформата, с която работи целевият ти работодател (AWS, Azure или GCP). Не прескачай практическата страна — cloud security е дисциплина, в която теорията без labs е безполезна. acloud.guru + практически тестове са препоръчваната комбинация за подготовка.
Инструменти, които трябва да знаеш
Тези инструменти са най-честото споменавани в практическите дискусии на хората, работещи в сферата. Не трябва да знаеш всичките от старта, но трябва да ги познаваш.
Разузнаване и Enumeration
Nmap — стандартният инструмент за сканиране на портове и идентификация на услуги. Без Nmap не се започва никакъв пентест.
Gobuster / Dirsearch / Feroxbuster — brute force на директории и файлове в уеб приложения
Shodan — търсачка за интернет-свързани устройства. OSINT основа.
theHarvester — събиране на имейли, поддомейни и хостове от публични източници
Subfinder / Amass — пасивно и активно subdomain enumeration
Уеб Сигурност
Burp Suite — стандартният инструмент за уеб пентест. Proxy, interceptor, scanner, repeater, intruder. Безплатната версия е достатъчна за учене.
OWASP ZAP — безплатна алтернатива на Burp, добра за автоматизиран скан
SQLmap — автоматизирано намиране и exploiting на SQL injection
Exploitation
Metasploit Framework — индустриален стандарт за exploitation. Знай как да го ползваш, но знай и кога не трябва (OSCP изпитът го ограничава умишлено).
msfvenom — генериране на payloads и shellcode
Netcat — основен инструмент за reverse shells, port forwarding и debugging
Password Attacks
Hashcat — GPU-базиран crackling на хашове. Най-бързият инструмент за офлайн атаки.
John the Ripper — алтернатива, по-гъвкав при различни формати и режими
CrackMapExec / NetExec — за credential testing в Active Directory среди
Active Directory
BloodHound — визуализира AD пермисии и атакуеми пътеки. Задължителен за корпоративен пентест.
Impacket — Python библиотека с инструменти за AD протоколи (GetTGT, secretsdump, psexec)
Wireshark — анализ на мрежов трафик. Задължителен за всеки.
Volatility — memory forensics
Autopsy / FTK Imager — дигитална форензика на дискове
ELK Stack / Splunk — SIEM платформи за log анализ и threat hunting
Как да изграждаш портфолио
Сертификатите без доказателства за реална работа не са достатъчни. Хората от индустрията виждат разликата между някой, който е изкарал курс, и някой, който е работил.
CTF участие
Capture The Flag състезанията са основният начин за демонстриране на умения. CTFtime.org е централният календар за предстоящи eventi. Участвай редовно — дори ако не решаваш много задачи в началото, процесът на опит е ценен сам по себе си.
Пиши writeups. Дори когато не си решил задачата, или си я решил с помощ — документирай процеса, мисленето и подхода. Публикувай в Medium, GitHub или лично blog. Writeup-ите показват как мислиш, не само дали можеш.
LinkedIn присъствие
Добавяй последователно:
Завършени THM пътеки и конкретни стаи
HTB машини (retired), с линк към writeup
Сертификати с дата на придобиване
CTF участия и резултати
Всеки проект, свързан с сигурност — дори ако е малък
Хора от индустрията следят LinkedIn профили на потенциални кандидати и редовно споделят, че са предложили работа на хора, чийто прогрес са проследявали с месеци.
GitHub профил
Скриптовете, инструментите и writeup-ите, които правиш в процеса на учене, слагай в GitHub. Дори да са несъвършени. Активен GitHub профил с история на реална работа е видима демонстрация на ангажираност.
Mid-level Security Engineer / Pentester с 2–3 години опит: 3,500–5,000 BGN нето
Senior / Lead позиции: 5,000–8,000+ BGN нето
Директорски / CISO нива: 7,000–15,000+ BGN нето
Важен нюанс: разликата от работодател до работодател е голяма. Банки, финтех и международни компании плащат значително повече от локалния пазар. За senior позиции опитът тежи повече от сертификатите.
Входни позиции
Системна администрация е валидиран вход в индустрията — хора, влезли като sysadmin или network admin, редовно се преориентират към сигурността след 1–2 години и носят ценно практическо разбиране за инфраструктурата. Този преход е може би най-препоръчваният от хора с опит.
Директен вход като SOC Analyst е реалистичен с: CompTIA Security+ + 6+ месеца активна практика в THM/HTB + разбиране на основни инциденти и анализ на логове.
Директен вход като Junior Pentester изисква значително повече — минимум eJPT + солидна HTB практика + демонстрирани умения (writeups, CTF). OSCP премахва много от бариерите.
Стаж е подценяван вариант. Много компании приемат стажанти без опит, ако кандидатът показва реален интерес и подготовка. По-добре да работиш за по-малко пари в реална среда, отколкото да учиш още 6 месеца сам.
Сертификационна пътека — Обобщение
За пентестери:
THM Complete Beginner / Jr. Pentester
→ eJPT (~$200)
→ HTB CPTS (~$400)
→ OSCP (~$1,500)
→ CRTO / OSEP / OSED / OSWE (advanced red team)
За blue team / SOC:
TryHackMe SOC paths
→ CompTIA Security+ (~$350)
→ CompTIA CySA+
→ SANS GCIH (ако работодателят плаща)
→ CISSP (5+ г. опит, management track)
За cloud security:
AWS Cloud Practitioner / AZ-900
→ AZ-500 / AWS Security Specialty
→ Cloud-specific specialty certs
За GRC / Compliance:
ISO 27001 Foundation
→ ISO 27001 Lead Implementer / Lead Auditor
→ CISM или CISA (management/audit track)
За networking вход:
CCNA
→ CCNA CyberOps (за SOC)
→ CompTIA Security+
Ученето в изолация е по-бавно и по-трудно. Включи се в общности — задавай въпроси, споделяй напредък, наблюдавай как по-напредналите мислят за проблемите.
За Bulgaria-specific общности: търси в Discord за активните cybersecurity сървъри. Има установена общност от практикуващи специалисти, която редовно споделя ресурси, дискутира career paths и организира локални events.
Хората, прекарали години в сферата, казват едно и също нещо по различни начини: непрекъснатото учене не е опция — то е самата работа. Ако спреш да учиш, оставаш статичен в динамична среда.
Ключовото, което разделя хората, стигащи напред, от тези, застояващи на едно място: когато запъват на нещо непознато, те го приемат като сигнал да го разберат — не като сигнал да се откажат. Часовете, прекарани в debugging на нещо нефункциониращо, в четене на документация, в разбиране защо exploit-ът не работи — тези часове са самото обучение.
Започни малко. Бъди последователен. Документирай всичко. Учи публично. Общувай с по-напреднали.
Всичко останало идва от там.
Документът е базиран на практическия опит и препоръките на Bulgarian Cybersecurity Community — специалисти и практикуващи в различни направления на сферата.
