Собеседование на AI PM в BI.ZONE

Почему BI.ZONE — особенный работодатель для AI PM

BI.ZONE — один из крупнейших российских игроков на рынке cybersecurity, входит в экосистему Сбера. В портфеле — продукты TDR (Threat Detection & Response), WAF, Brand Protection, CESP (антиспам), сервисы SOC и услуги пентеста. AI PM здесь работает с очень специфической аудиторией: B2B-клиенты, у которых на кону — миллионы потерь от инцидента и регуляторные штрафы.

AI PM в BI.ZONE отвечает за фичи, где AI снижает MTTD/MTTR (mean time to detect/respond), уменьшает шум алертов в SOC и помогает аналитикам разбирать инциденты быстрее: detection-модели в TDR, anomaly detection в WAF-трафике, anti-phishing в Brand Protection, классификация спама в CESP, LLM-копилоты для триажа алертов. Главный челлендж — false positive здесь дороже, чем во многих доменах: каждый ложный алерт съедает дорогое время аналитика SOC.

Стек: классические ML-модели (gradient boosting, isolation forests, autoencoders) для detection и аномалий, графовые модели для корреляции событий, LLM (открытые и коммерческие) для копилотов, ClickHouse и custom-стораджи для security-телеметрии, Sigma/YARA как rule-engine рядом с ML.

Актуальные вакансии — на hh.ru и сайте BI.ZONE.

Этапы собеседования

Цикл — 4-5 этапов, 2-3 недели. Параллельно идёт проверка СБ (security clearance) — нормально для cybersecurity-сектора.

1. HR-скрининг (30-45 минут)

Рекрутер проверяет AI-фокус, базовое ML и опыт в cybersecurity или enterprise B2B. Cybersecurity-бэкграунд (даже как пентестер или аналитик SOC) — большой плюс, упоминай в первые секунды. Готовь питч на 90 секунд: какие AI-фичи запускал, какие метрики двигал, насколько глубоко понимаешь жизненный цикл инцидента.

2. AI / ML grounding (45-60 минут)

С ведущим PM или ML-лидом security-направления. Темы: метрики для anomaly detection (precision на head событий, recall на tail-аномалиях), class imbalance (атаки — это <0.1% трафика), adversarial ML (как атакующий обходит модель — feature poisoning, evasion). На LLM-блоке спросят про hallucinations в копилоте: что будет, если LLM сгенерирует SOC-аналитику неправильный вердикт по инциденту.

Подготовка: LLM-фичи, ML для PM.

3. Product кейс с AI-фичей (90 минут)

Дают кейс «спроектируй AI-копилот для SOC-аналитика». Жди вопросов про аудиторию (T1/T2/T3 аналитики с разной экспертизой), JTBD (T1 хочет быстрый триаж, T3 — глубокий контекст), UX (как помощник встраивается в SIEM/SOAR workflow), риски (hallucination → пропуск атаки или ложный вердикт; data leakage клиентских данных), метрики (MTTD/MTTR, alerts processed per analyst per shift, escalation rate, accuracy вердиктов), MVP (на каком клиентском сегменте раскатываем — managed-SOC или self-hosted). Сильные кандидаты сразу разводят «качество модели» и «снижение alert fatigue».

Подготовка: Prompt engineering, RAG и context.

4. Metrics / experimentation (45 минут)

Эксперименты в security: rare-event problem. Спросят, как A/B-тестировать новую detection-модель, если атаки редкие и непредсказуемые; как использовать synthetic adversarial для оценки; как сравнивать online между shadow-режимом и production. Готовь evaluation для LLM-копилота: gold set с разметкой экспертов SOC, online accuracy на вердиктах.

Подготовка: AI-метрики и evaluation.

5. Поведенческое (45 минут)

STAR с тимлидом. Расскажи про конфликт с SOC-командой, факап в проде (упустил атаку или ложно затраиг ал), спор с заказчиком. Cybersecurity-клиенты особенно требовательны: проверяют, как ты общаешься с CISO-уровнем и держишь нервы во время инцидентов.

Особенности по командам

TDR AI. Threat detection в managed-SOC: корреляция событий, ML-модели на endpoint-телеметрии, behavioural detection. Тесно работает с аналитиками SOC и threat intelligence. Подойдёт PM с background в incident response или DFIR.

WAF AI. Anomaly detection в HTTP-трафике: SQL-injection, XSS, бот-атаки, scraping. Жёсткие constraints по latency (inline-режим) и false positive (нельзя блокировать честных пользователей). Подойдёт PM с опытом в web-security или CDN.

Brand Protection AI. Anti-phishing: детектирование клонов сайтов, мошеннических доменов, phishing-рассылок. Большой R&D-блок: NLP по контенту страниц, CV по логотипам, графовая корреляция доменной инфраструктуры. Подойдёт PM с NLP/CV-интересом.

CESP AI. Корпоративный антиспам и anti-phishing для email. Многоуровневая фильтрация (репутация, контент, behavioural). Тесно работает с почтовыми инфраструктурами клиентов. Подойдёт PM с опытом в email-security или anti-abuse.

SOC copilot. LLM-помощник для аналитиков: триаж алертов, генерация ответных action plans, авто-обогащение контекстом из TI-фидов. Самая «горячая» AI-команда, R&D-фокус. Подойдёт PM с любовью к LLM-фичам и пониманием SOC-процессов.

Что BI.ZONE ценит в AI PM

AI понимание. Слабый ответ: «возьмём GPT для триажа». Сильный: «для триажа — RAG из playbooks + LLM с function calling в SIEM API; для detection — gradient boosting на размеченных инцидентах + graph-based correlation поверх».

Security context — большой плюс. Знание MITRE ATT&CK, базовых типов атак (lateral movement, C2, exfiltration), цикла incident response. Слабый: «AI поможет с кибербезом». Сильный приходит с конкретным сценарием атаки и описывает, где модель ловит и почему.

Adversarial ML. Понимание, что атакующий адаптируется. Слабый: «обучим на данных». Сильный: «модель должна выдерживать concept drift, регулярно retrain на новых паттернах атак, оценивать robustness против evasion».

Business metrics. Не «accuracy 0.99», а «снижение MTTD с 4 часов до 30 минут, обработка алертов аналитиком — с 80 до 250 в смену, сохранение SLA с клиентами». Привязывай AI к деньгам и контрактам.

Cross-team. SOC-аналитики, ML-команда, продакт, sales-engineers — PM связывает их и заказчиков. Проверяется на поведенческом.

Как готовиться: план

За 4-6 недель до планируемого собеса:

1. Неделя 1 — ML базовые + security primer. Метрики, anomaly detection, isolation forests. Параллельно — MITRE ATT&CK базовые тактики, основы incident response. ML для PM.
2. Неделя 2 — LLM глубже. Архитектура, hallucinations, function calling. Параллельно — прорешай вопросы по Python, ML и SQL в Карьернике: 1500+ задач с разбивкой по темам, по 10-15 минут в день закрывают пробелы перед собесом. LLM-фичи.
3. Неделя 3 — Prompt + RAG. RAG для SOC-копилота с playbooks. Prompt engineering, RAG.
4. Неделя 4 — Cost / latency. Считай стоимость LLM-копилота на 100k алертов в день, продумай caching и tiered routing. AI cost и latency.
5. Неделя 5 — Mocks + behavioral. Mock-кейс по SOC-копилоту с другом из security. STAR-истории про clientские конфликты.
6. Неделя 6 — Polish. Перечитай security-блоги (Mandiant, Group-IB, BI.ZONE Research), погугли свежие апдейты продуктов BI.ZONE.

Частые ошибки

«Добавим chatbot» без бизнес-кейса. Слабо: «AI-бот для аналитиков». Сильно: «у нас 12k алертов в день, 78% — false positive; LLM-триаж снимет 60% шума, аналитик переключится с T1 на T2-задачи, ROI 3x за квартал».

Игнор hallucinations / false positives. В security halluc = пропуск атаки или ложная блокировка клиента. Слабый: «модель доучится». Сильный: «копилот не принимает финальное решение, а предлагает options + cited evidence; финал решает аналитик».

Без security domain. Слышно по фразам типа «AI заменит SOC». Изучи MITRE ATT&CK, основы DFIR, цикл incident response.

Без adversarial ML. Слабый: «модель будет работать». Сильный: «учитываем concept drift, делаем continuous learning на новых атаках, regularly red-team модель».

AI metrics only. Слабо: precision/recall. Сильно: MTTD, MTTR, escalation rate, SLA с клиентами в денежном выражении.

Связанные темы

• Собеседование на AI PM
• LLM-фичи в продукте
• Prompt engineering
• RAG и context
• AI-метрики и evaluation
• AI cost и latency

FAQ

Удалёнка в BI.ZONE для AI PM?

Гибрид распространён, полная удалёнка обсуждаема для senior+. Часть встреч с клиентами лучше очно.

Зарплатные вилки 2026?

Middle AI PM: 380-540k. Senior: 540-780k. Cybersecurity-сектор платит выше рынка из-за дефицита экспертизы.

Английский нужен?

Базовый — желательно для чтения CVE-лент и research-статей. Свободный — плюс для зарубежных клиентов.

Сколько этапов?

4-5 этапов, 2-3 недели. Дополнительно — проверка СБ, параллельно.

Это официальная информация?

Этапы основаны на публичных источниках и опыте кандидатов. Уточняйте у рекрутера — команды и грейды могут менять процесс.