חוקרי חולשות, רוצים לדעת מה השכר שמגיע לכם?
אחד התחומים בהם הביקוש בהייטק נמצא במגמת עלייה הוא חקר חולשות, ובהתאם מקבל חוקר חולשות שכר מתגמל ותחרותי במיוחד.
בשנת 2024 השכר הממוצע של חוקר חולשות עמד על כ- 60,000 ₪
לפי הנתונים שאספנו בגוטפרנדס בהתבסס על אלפי השמות שאנחנו עושים בכל שנה בתור חברת השמה טכנולוגית, השכר הממוצע של חוקר חולשות מתחיל (עד 2 שנות ניסיון) עומד בין 35,000 ל–45,000 ₪. אחרי שמרוויחים ניסיון משמעותי בתחום, השכר עולה כמובן, כאשר דרג ניהולי יכול להגיע גם לשכר של 60,000 ₪, ובמקרים מסוימים אפילו עד 100,000 ₪.
| תחום | 0-2 שנים | 3-5 שנים | 6-10 שנים | דרג ניהולי | לצפייה במשרות |
| שכר חוקר חולשות | 35-45 | 45-100 | 45-100 | 60-100 | למשרות בתחום |
שכר חוקר חולשות לא מסתכם רק במשכורת החודשית שהוא מקבל, בנוסף אליה יש גם תנאים מתגמלים מאוד, למשל- בחברות סייבר מסוימות החברות מתגמלות בבונוסים את העובדים שאיתרו חולשה משמעותית.
דרך נוספת בה חוקרי חולשות מתוגמלים היא שיתוף הידע ותוצאות המחקרים שלהם בכנסים או במאמרים אקדמאיים.
את הפירוט המלא של השכר בתחום תוכלו למצוא בעמוד טבלאות שכר הייטק באתר שלנו.
מה עושה חוקר חולשות
תחומי האחריות כמובן משתנים בהתאם לוורטיקל ולצרכי החברה, אבל ככלל תחומי האחריות של חוקר חולשות יכללו סריקה של מערכות קיימות על מנת לאתר נקודות תורפה שהאקרים או גורמים עוינים יכולים לגרום לארגון, כאשר המטרה היא לזהות סיכונים חדשים ולטפל בהם (בניגוד ל- Penetration Tester שאמור לדמות תקיפות על חולשות מוכרות). לשם כך, חוקר חולשות מבצע Reverse Engineering ומפתח Exploits שמראה איך גורמים עוינים יכולים לנצל את החולשות שאותרו, במקרים מסוימים התפקיד יכלול גם ניתוח Malware. את הממצאים החוקר מנתח ומסכם באופן מסודר בדוחות בהם הוא מתאר את הבעיה ואת דרך התיקון שהוא מציע.
הביקוש לחוקרי חולשות בשוק ההייטק
הביקוש לחוקרי חולשות מנוסים גבוה כל כך מכמה סיבות. תחילה, היקף התקיפות הולך וגדל כל הזמן ודוחף חברות להשקיע יותר באבטחת מידע. חוקר חולשות ממלא תפקיד חשוב במערך הזה שכן חברות תמיד צריכות מומחה שיחשוב צעד אחד לפני ההאקרים והגורמים הזדוניים שמסכנים את המערכות שלהן. שכר חוקר חולשות נמצא במגמת עלייה משום ההשפעה שלו על החברה ועל המוצר היא ישירה וקריטית, והתפקיד שהוא ממלא חיוני.
בנוסף, לצד הביקוש הרב, אנחנו עדים למחסור באנשי מקצוע מומחים בתחום, שכן אין הרבה מסגרות אקדמיות ומקצועיות שמכשירות היום אנשי מקצוע חדשים. מרבית העובדים בתחום התחילו את דרכם ביחידה צבאית טכנולוגית, ומקצתם למדו באופן עצמאי את התחום. גם ההתמקצעות בתפקיד הזה היא מורכבת וקשה, שכן מדובר בתחום מאתגר במיוחד שמתעדכן באופן תדיר – כל הזמן יש משהו חדש ללמוד כדי להיות מעודכנים באופן מלא.
מסלול הקריירה של חוקר חולשות
את המסע בתפקיד מתחילים בדרך כלל בישראל בקורסים בצבא שמכשירים אנשי מקצוע מעולים בתחום. לחילופין, ניתן ללמוד במסלולים עצמאיים באקדמיה – בחוגים כמו מדעי המחשב, בעיקר כאלה בהם יש התמקדות באבטחת מידע. לאחר השחרור חוקרי חולשות יכולים לנסות להשתלב בקרב חברות ביטחוניות טכנולוגיות עבורן הידע והניסיון שצברו הוא משמעותי במיוחד.
כל הייטקיסט יודע שלמצוא את התפקיד הראשון בתחום זה אתגר אמיתי, אבל עבור חוקרי חולשות האתגר הזה אף גדול יותר. לכן לרוב התפקיד הראשון בהייטק של מי שרוצה להתמקצע בתחום לא יהיה חוקר חולשות, מה זה אומר? על מנת להרוויח ניסיון אמיתי בתחום וללמוד את המערכות מבפנים מהצד התוקף ומהצד המתגונן, אנחנו ממליצים לעקוב אחרי לוחות דרושים סייבר ולחפש משרות כמו אנליסט סייבר, מפתח אבטחת מידע, Reverse Engineer, Penetration Tester, וכן SOC. הניסיון שתקבלו במסגרת התפקידים הללו יסייע לכם להשתלב בתפקיד חוקר חולשות ולמצוא את ההזדמנות הראשונה האמיתית בתחום במסגרתה תתמקדו בכתיבת Exploits פשוטים, תבצעו Reverse Engineering לקודים קיימים, ותבצעו ניתוח של Malware.
אחרי 3-4 שנות ניסיון בתפקיד, לרוב תתקדמו לשלב מתמקצע יותר ובו תתבקשו להבין לעומק סוגים שונים של חולשות, להתמקצע במערכות מורכבות, ולעיתים אף לכתוב מאמרים בתחום.
אחרי 5–10 שנות ניסיון, כתלות בחברה, תוכלו להגיע לתפקידים ניהוליים ובכירים בתחום – במסגרת התפקיד הזה גם תנהלו צוותים של חוקרי חולשות ותגדירו ברמת המאקרו כיווני מחקר אסטרטגיים. כאמור, בשלב הזה יכול לקבל חוקר חולשות שכר עד 100,000 ₪.
10 משרות הכי מבוקשות עבור חוקר חולשות
- ראש/ת תחום PT לחברת סייבר יציבה - גם ללא נסיון ניהולי!
- לסטארטאפ מתחת לראדר דרוש/ה חוקר/ת אבטחת PC
- Vulnerability Research Team Lead בחברת מודיעין דיגיטלי בתעשיית הפורנזיקה
- Penetration Tester / Security Researcher
- Threat Researcher לחברת תוכנה ישראלית המתמחה בפיתוח ושיווק פתרונות אבטחת רשת
- משרת אבטחת מידע בחברת סטארטאפ סייבר בתחום ה Threat Hunting
- דרוש/ה Cyber Researcher
- Network Researcher לחברת סייבר דיסקרטית בתל אביב (קו רכבת)
- סטארטאפ בעולם ה- Security מגייס Vulnerability Security Research
- Offensive Security Engineer בחברת הייטק בתחום ה-DevOps
למשרות עבור חוקר חולשות לחצו כאן
לסיכום, הקריירה בתחום של חוקר חולשות מציעה אתגר משמעותי, אך לצידו גם יציבות תעסוקתית – בשל הצורך ההולך וגובר של מומחים בתחום. חברות סייבר מוכנות להשקיע משאבים רבים כדי למצא את המועמד המדויק שיביא ערך אמיתי לחברה.
סוג השאלות משתנה כמובן לפי החברה בהתאם לסוגי החולשות שאתם צפויים לחקור, אבל בדרך כלל אלו הנושאים שיעלו בריאיון: תחילה יבקשו לבדוק את הידע המקצועי שלכם – יבחנו למשל איך תיגשו לניתוחים בינאריים שאינם מוכרים ומה הכלים בהם את משתמשים בעבודתכם ומתי תשתמשו בכל אחד מהם.
בהמשך תתבקשו לספר על הניסיון המקצועי שלכם – אילו חולשות חקרתם וגיליתם בעבר ומה הייתה דרך העבודה שלכם, חשוב להכין מראש דוגמאות קונקרטיות על מקרים בהם נתקלתם. לבסוף, בשלב ראיונות ה-HR סביר להניח שתישאלו את אותן השאלות ששואלים בכל ריאיון שכזה בהייטק, ניתן ללמוד לגבי שלושת השאלות הנפוצות בכתבה שכתבנו.
קיימים מספר פרמטרים שמבדילים בין סוגי המשרות השונות וכדאי לבדוק אותם מראש כדי לבחור במשרה המדויקת ביותר. תחילה חשוב לבדוק כמה אחוז מהמשרה כולל עבודת hands on וכמה עוסק בניתוח תיאורטי. שנית, חשוב לבדוק מה סוג החולשות שתחקרו. בנוסף, בדקו באילו מודלים מדובר, האם העבודה תתמקד בטכנולוגיה אחת אותה תחקרו לעומק או שמדובר בעבודה דינאמית בין טכנולוגיות שונות? בדקו גם האם במסגרת התפקיד יינתן לכם חופש מחקרי בו אתם תבחרו את נושא המחקר (בהקשר זה חשוב לבדוק גם עד כמה מעודדת החברה מחקר עצמאי).
את התשובות לשאלות האלה תוכלו לקבל במסגרת ריאיון ה-HR שלכם ומעובדים לשעבר. אבל אם תרצו לקבל אותם עוד לפני שתתחילו את התהליך אנחנו בגוטפרנדס נדע לענות עליהן בהתבסס על המידע הפנימי וההכרות שלנו עם החברות, ולוודא שתעשו את הבחירה המדויקת ביותר עבורכם.
לרוב הניסיון הצבאי בתחום מספיק כדי למצוא את הזדמנות הראשונה בשוק האזרחי במידה ואכן עסקתם ב- RE, ניתוח בינארי או חקר חולשות בפועל.
איתור של חוקרי חולשות מנוסים יכול להיות תהליך לא פשוט שכן אין הרבה טאלנטים בתחום. זהו תפקיד שמצריך ניסיון מאוד ספציפי ועמוק שלא לכל איש סייבר יש. אז איך בכל זאת תשיגו מועמדים מוכשרים בתחום? תחילה, ניתן לפנות לחברת השמה מקצועית שלה מאגר מוכן של טאלנטים בתחום.
לנו בגוטפרנדס יש מחלקה שלמה שמתמחה באיתור חוקרי חולשות מנוסים ונוכל לחבר אתכם למועמדים המדויקים ולחסוך לכם זמן רב. שנית, ניתן לבצע נטוורקינג איכותי– קחו חלק פעיל בקהילות סייבר בישראל, בקבוצות פייסבוק, פורומים וכנסים פרונטליים. מדובר בדרך שיכולה להיות יעילה אבל דורשת מאמץ, תכנון וזמן רב. דרך נוספת היא חיפוש ממוקד בלינקדאין, לשם כך מומלץ לרכוש מנוי בתשלום ל- LinkedIn Recruiter, אם כי גם במקרה הזה אין הרבה מועמדים רלוונטיים ויהיה קשה לשכנע אותם לזוז ממקום העבודה הנוכחי.
מידע נוסף:
- לפרטים נוספים על גיוס עם גוטפרנדס >> לחצו כאן
- מרגישים שזה כבר לא זה? >> לוח דרושים הייטק
- רוצים לדעת כמה אתם שווים? >> טבלאות שכר הייטק
- חיפוש לפי חברות >> חברות הייטק בישראל
- משלוח קו"ח ישירות >> למשלוח קו"ח
הצהרת שימוש בעוגיות (Cookies):
האתר עושה שימוש בקובצי עוגיות (Cookies) לצורך תפקוד תקין, אבטחת מידע, מדידת ביצועים, שיפור חוויית המשתמש והתאמה אישית של תוכן ופרסומות.
בלחיצה על כפתור "אישור", הנך מסכימ/ה לשימוש בעוגיות בהתאם למדיניות הפרטיות שלנו.