Специалист по анализу защищенности / Пентестер (консалтинговый продукт)

Под новый консалтинговый продукт полного спектра хотим пригласить внутрянщика с возможностью работать ещё и по вебчику. Вебчик отдельно – тоже будет отлично, особенно тестирование приложений, и понимание в закреплении и пост-эксплуатации.

Чем тебе придется заниматься:

• Выполнения тестирований на проникновение веб-приложений API, инфраструктурных компонентов
• Проведение разведки и сбора информации о целевых системах;
• Идентификация уязвимостей и разработка сценариев их эксплуатации;
• Анализ и интерпретация результатов автоматизированных и ручных проверок;
• Подготовка технических отчётов по результатам тестирования;
• Проведение повторных проверок уязвимостей после их устранения;
• Взаимодействие с техническими специалистами на стороне заказчика;
• Участие в проектах по внедрению принципов SSDLC, практик DevSecOps и Threat Modeling;
• Участие в развитии внутренних стандартов и методик.

Ты нам подходишь, если у тебя:

• Опыт работы в сфере ИБ от 2-х лет;
• Знание OWASP Top 10, OWASP ASVS / MASVS, SANS/СWE Top 25, MITRE ATT&CK, NIST 800-115
• Уверенное владение техниками тестирования на проникновение, а также навыки проведения web, API и инфраструктурных аудитов;
• Практический опыт работы с такими инструментами как: OWASP ZAP, nmap, sqlmap, nuclei, metaspoit и др.;
• Понимание принципов работы инструментов защиты WAF, DPI, NGFW, IPS;
• Умение идентифицировать и интерпретировать результаты автоматизированных и ручных проверок, выявлять false-positive срабатывания и приоритизировать уязвимости;
• Опыт подготовки полноценных технических отчётов по результатам тестирования;
• Понимание принципов SSDLC и ключевых практик DevSecOps;

Большим плюсом будет:

• Понимание принципов работы сетей (модели TCP/IP и OSI, маршрутизация, прикладные протоколы);
• Понимание процессов моделирования угроз и оценки бизнес-критичности инцидентов;
• Владение английским языком на уровне B1 или выше;
• Навыки использования скриптовых ЯП для автоматизации задач;
• Успешный опыт участия в Bug Bounty или CTF;
• Опыт выступлений на профильных конференциях.

Что мы предлагаем:

• Официальное оформление в аккредитованную ИТ-компанию со всеми льготами (ипотека, отсрочка и тп);
• Конкурентный оклад, премии по результатам работы;
• Сильная команда экспертов, которые всегда готовы помочь и поделиться знаниями;
• Возможность работать над передовыми продуктами в сфере кибербезопасности;
• Перспективы для профессионального и карьерного продвижения;
• Корпоративные мероприятия, путешествия, спортивные активности онлайн и оффлайн (онлайн-марафоны, бег, йога, волейбол, лыжи, и др.);
• ДМС со стоматологией в лучших клиниках России, возможность подключить родственников по корпоративным ценам;
• Доплата больничных до 100% от оклада (28 дней в году), 10 оплачиваемых day-off на случай форс-мажора;
• Возможность бесплатного обучения: внешние обучения, профильные конференции, а также наши внутренние курсы и электронная корпоративная библиотека с сотнями книг;
• Скидки от компаний-партнеров: спорт, английский, психолог, интернет и многое другое;
• Материальная помощь при важных событиях в жизни (заключение брака, рождение детей и другое);
• Удалённый формат работы или гибрид, офис рядом с м. Охотный ряд;