Триаж инженер (платформа Bug Bounty)

Positive Technologies уже 20 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня у компании семь офисов на территории России (в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Новосибирске, Академгородке и Томске) и офис в Казахстане (Астана). В нашей команде более 2000 сотрудников, в том числе более 250 экспертов мирового уровня по защите ERP, SCADA, банков и телекомов, веб- и мобильных приложений.

Обязанности:

• Анализ отчетов на Bug Bounty платформе для заказчиков;
• Тестирование уязвимых сервисов на киберполигоне: воспроизведение атак, анализ поведения сервисов, документирование результатов.
• Воспроизведение уязвимостей;
• Ранжирование уязвимостей по классам и типам;
• Написание рекомендаций по устранению уязвимостей;
• Помощь и поддержка инженеров по триажу в сложных случаях, помощь в решении проблемных ситуаций и принятии решений;
• Внесение предложений по улучшению процессов триажа, разработке новых методик и стандартов работы.

• Интерес к сфере информационной безопасности, способность оперативно знакомиться с актуальными уязвимостями и следить за новыми тенденциями в мире ИБ
• Опыт ранжирования потенциальных уязвимостей по классам и типам;
• Опыт оценки уязвимостей по CVSS;
• Опыт проведения web и/или инфраструктурного пентеста;
• Навыки системного администрирования Linux/Windows;
• Опыт работы с системами виртуализации (VMware, VirtualBox) и/или контейнеризацией (Docker, Kubernetes);
• Знание причинно-следственной связи для появления уязвимостей в веб-приложениях;
• Знание способов эксплуатации уязвимостей в веб-приложениях;
• Знание механизмов защиты от уязвимостей в веб-приложениях;
• Знание разных таксономий уязвимостей (CWE MITRE, OWASP Vulnerabilities, и т.п.);
• Знание принципов работы уязвимостей;
• Опыт анализ защищенности веб и мобильных приложений;
• Наличие профильных сертификатов (например, CPTS, OSCP, eJPT, CEH и др.);
• Хорошие коммуникативные навыки.

Будет плюсом:

• Опыт участия в соревнованиях CTF и программах Bug Bounty;
• Хорошие коммуникативные навыки;
• Опыт работы с младшими специалистами в роли ментора, тренера или наставника
• Владение английским языком от уровня B2

Почему вам у нас понравится:

• Технического развития в сильной команде;
• Участие в национальных и международных конференциях по прикладной безопасности информационных систем;
• Удобный график работы: удаленка/гибрид/офис;
• ДМС с первой недели работы, включая стоматологию, ежегодный чекап;
• Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год;
• Гибкое начало рабочего дня;
• Умные, интересные, клёвые коллеги;
• Внутренние клубы по интересам (outdoors, шахматный, книжный, винный, мафия и др.)
• Частичная компенсация спорта;
• Участие в форумах, семинарах, конференциях; обучение за счёт компании;
• Возможность присоединиться к футбольной и волейбольным сборным, для которых мы арендуем спортивные площадки.