Старший инженер по защите веб-приложений

Находимся в поиске старшего инженера по защите веб-приложений в наш Департамент информационной безопасности.

Чем предстоит заниматься:

• Настройкой и поддержкой систем защиты веб-приложений – antiDDoS, WAF, решений для защиты от ботов и CAPTCHA;
• Разработкой и оптимизацией правил WAF для защиты веб-приложений от атак. Анализом логов и данных WAF, веб-серверов и других систем для выявления потенциальных угроз. Регулярным обновлением правил и сигнатур в соответствии с новыми угрозами и уязвимостями;
• Настройкой и управлением решений для защиты от ботов. Анализом поведения ботов и разработка стратегий для их блокировки или ограничения;
• Настройкой CAPTCHA-решений (например, Google reCAPTCHA, hCaptcha) для защиты форм авторизации, регистрации и других уязвимых точек веб-приложений. Оптимизацией CAPTCHA для минимизации негативного влияния на пользовательский опыт (UX);
• Участием в разработке и внедрении политик и процедур, связанных с безопасностью веб-приложений;
• Разработкой технических требований к безопасности для новых веб-приложений и API.
• Взаимодействием с командами разработки, DevOps, продуктовой безопасности и другими подразделениями для обеспечения комплексной защиты. Участием в кроссфункциональных проектах, связанных с улучшением безопасности инфраструктуры.

Что мы ожидаем:

• Опыт работы в сфере информационной безопасности, связанной с защитой веб-приложений, не менее 2-3 лет.
• Практический опыт работы с системами antiDDoS, WAF, внедрения и настройки решений для защиты от ботов и CAPTCHA.
• Глубокое понимание принципов работы WAF. Опыт настройки правил WAF, умение анализировать логи WAF и выявлять атаки.
• Знание методов и технологий для защиты от ботов (поведенческий анализ, машинное обучение, анализ трафика). Опыт работы с решениями для защиты от ботов.
• Опыт внедрения и настройки CAPTCHA-решений. Понимание баланса между безопасностью и удобством пользователей (UX).
• Знание уязвимостей веб-приложений (OWASP Top 10). Понимание протоколов HTTP/HTTPS, TLS/SSL. Опыт работы с инструментами для анализа веб-трафика.
• Опыт работы с облачными платформами и их инструментами безопасности.
• Понимание принципов DevSecOps и интеграции безопасности в процессы разработки.