Собеседование на AI PM в Positive Technologies

Почему Positive Technologies — особенный работодатель для AI PM

Positive Technologies — публичная российская cybersecurity-компания (MOEX: POSI), один из крупнейших игроков рынка. Продуктовый портфель — MaxPatrol (VM, SIEM, EDR-семейство), PT NAD (network detection), sandbox-системы, threat intelligence, MaxPatrol O2 (XDR-платформа). Клиенты — крупный enterprise, госкорпорации, банки, КИИ-объекты. Для AI PM это сильный R&D-context, где security-эксперты сидят рядом и не дадут пройти с поверхностным пониманием доменa.

AI PM в Positive Technologies отвечает за фичи на стыке security, detection и AI: detection-модели в MaxPatrol, поведенческая анализ в EDR/XDR, корреляция событий в SIEM, sandbox-классификация malware, LLM-копилоты для SOC-аналитиков, threat intelligence. Главный челлендж — атакующие постоянно адаптируются, модель должна выдерживать adversarial pressure; плюс высокая планка к explainability — аналитик SOC должен понимать, почему модель зафлагала событие.

Стек: классические ML (XGBoost, CatBoost) для скоринга, deep learning (CNN, transformers) для malware classification и сетевого трафика, графовые модели для корреляции, LLM (open-source с fine-tuning для on-premise) для SOC-копилотов, big-data платформа на ClickHouse и Hadoop-аналогах.

Актуальные вакансии — на hh.ru и сайте Positive Technologies.

Этапы собеседования

Цикл — 4-5 этапов, 2-3 недели. Параллельно — проверка СБ.

1. HR-скрининг (30-45 минут)

Рекрутер проверяет AI-фокус, базовое ML, опыт в cybersecurity. Любой security experience (даже как пентестер, аналитик SOC, malware-researcher) — большой плюс. Готовь питч на 90 секунд: какие AI-фичи запускал в security, насколько глубоко знаешь modern threat landscape.

2. AI / ML grounding (45-60 минут)

С ведущим PM или ML-лидом. Темы: metrics class-imbalance, deep learning для malware, adversarial ML, explainability требования. На LLM-блоке — SOC-копилоты, стоимость инференса под потоком алертов.

Подготовка: LLM-фичи, ML для PM.

3. Product кейс с AI-фичей (90 минут)

Дают кейс «спроектируй AI-копилот для SOC-аналитика в MaxPatrol O2». Жди вопросов про аудиторию (T1/T2/T3 аналитики у MSS-клиента, in-house SOC enterprise), JTBD (быстрый триаж, обогащение алерта контекстом), UX (как встраивается в SOAR), риски (hallucinations с атрибуцией; ложный ban), метрики (MTTD/MTTR, alerts per analyst, escalation rate), MVP. Сильные кандидаты сразу разводят «accuracy модели» и «сокращение alert fatigue».

Подготовка: Prompt engineering, RAG и context.

4. Metrics / experimentation (45 минут)

Эксперименты в cybersec: rare-event, adversarial. Спросят про shadow-mode на detection-моделях, adversarial-симуляции, concept drift.

Подготовка: AI-метрики и evaluation.

5. Поведенческое (45 минут)

STAR. Истории про конфликт с research-командой, факап в проде, спор с CISO клиента. В Positive Technologies сильная экспертная среда — нужна способность общаться с глубокими специалистами.

Особенности по командам

MaxPatrol detection AI. Detection-модели в SIEM/VM/EDR, корреляция событий. Подойдёт PM с SIEM/EDR background.

PT NAD AI. Anomaly detection в сетевом трафике, behavioural детекция. Подойдёт PM с NDR/network-security опытом.

Sandbox AI. Динамическая классификация malware в sandbox, behavioural analysis. Подойдёт PM с malware-research / DFIR background.

SOC copilot. LLM-помощник в MaxPatrol O2: триаж, обогащение, action plans. Самая горячая R&D-команда. Подойдёт PM с любовью к LLM.

Threat intelligence AI. Корреляция IoC, attribution, авто-обогащение TI-фидов. Подойдёт PM с TI background.

Что Positive Technologies ценит в AI PM

AI понимание. Слабый: «возьмём готовое». Сильный: «для malware static — CNN на бинарном представлении; для dynamic — sequence models на behavioural log; для SOC-копилота — LLM с function calling в MaxPatrol API».

Security context — большой плюс. Знание MITRE ATT&CK, основ malware-классификации, types of attacks. Изучи перед собесом, иначе сложно пройти.

Adversarial ML. Понимание, что атакующие — продвинутые. Слабый: «обучим». Сильный: «detector должен быть robust к obfuscation; periodic red-team».

Business metrics. Не «accuracy», а «detection rate на свежих кампаниях, false-positive rate в end-user продуктах, retention клиентов B2B».

Cross-team. ML-исследователи, продакт, sales-engineers, заказчики.

Как готовиться: план

За 4-6 недель до планируемого собеса:

1. Неделя 1 — ML базовые + security primer. Метрики, MITRE ATT&CK, типы malware. ML для PM.
2. Неделя 2 — LLM + Deep Learning. Архитектура, deep models. Параллельно — прорешай вопросы по Python, ML и SQL в Карьернике: 1500+ задач с разбивкой по темам, по 10-15 минут в день закрывают пробелы перед собесом. LLM-фичи.
3. Неделя 3 — Prompt + RAG. Prompt engineering, RAG.
4. Неделя 4 — Cost / latency. Endpoint-inference. AI cost и latency.
5. Неделя 5 — Mocks + behavioral. Mock SOC-кейс с другом из cyber.
6. Неделя 6 — Polish. Перечитай PT Expert Security Center отчёты, MITRE ATT&CK Evaluations.

Частые ошибки

«Добавим chatbot» без бизнес-кейса. Слабо: «AI для SOC». Сильно: «у MSS-клиента 14k алертов в день, 75% FP; LLM-триаж снимает 55% шума, ROI 4x за квартал».

Игнор hallucinations / FP. Слабый: «доучим». Сильный: «копилот предлагает options + цитирует свидетельства; финал — за аналитиком».

Без security domain. Positive Technologies — security-driven компания, без MITRE ATT&CK и базы malware — провал.

Без adversarial ML. Слабый: «обучили». Сильный: «model robustness как KPI, red-team каждые 2 недели».

AI metrics only. Слабо: precision/recall. Сильно: MTTD, MTTR, retention клиентов.

Связанные темы

• Собеседование на AI PM
• LLM-фичи в продукте
• Prompt engineering
• RAG и context
• AI-метрики и evaluation
• AI cost и latency

FAQ

Удалёнка в Positive Technologies для AI PM?

Гибрид и удалёнка распространены.

Зарплатные вилки 2026?

Middle AI PM: 400-560k. Senior: 560-800k. Cybersecurity-сектор платит выше рынка.

Английский нужен?

Базовый — желательно. Свободный — плюс для зарубежных партнёров.

Сколько этапов?

4-5 этапов, 2-3 недели. Дополнительно — проверка СБ.

Это официальная информация?

Этапы основаны на публичных источниках и опыте кандидатов. Уточняйте у рекрутера — команды и грейды могут менять процесс.