Инженер AppSec

Привет!
Мы - eXpress, корпоративный мессенджер №1 в России (рейтинг CNews 2022, 2023).

Наша гордость - уникальный распределенный (федеративный) протокол онлайн-коммуникаций.

А еще мы постоянно растём, и не планируем останавливаться!
За год наша численность выросла в 2,5 раза. На сегодняшний день в команде более 280 человек.

Сейчас ищем к нам будущего коллегу AppSec-инженера в направление анализа защищенности.

Основные задачи:

• Выполнять регулярные работы по тестированию на проникновение (анализ защищенности приложений, защищенности периметра корпоративных ИС, инфраструктур, разрабатываемых решений) и сканированию уязвимостей;
• Проводить тестирование на проникновение с использованием методов социотехнической инженерии;
• Вырабатывать и интегрировать решения для повышения уровня защищенности компании и разрабатываемых решений;
• Подготавливать Proof-of-Concept сценариев эксплуатации;
• Разрабатывать и оформлять документы по результатам проектов: программы и методики исследований, отчетные материалы, презентации, рекомендации по устранению обнаруженных проблем/уязвимостей и повышению уровня защищенности инфраструктуры, совершенствованию процессов и систем ИБ;
• Участвовать в технических аудитах информационной безопасности;
• Создавать новые методы тестирования для выявления уязвимостей и применять их для выявления уязвимостей в ПО;
• Интеграция инструментов в CI/CD (SCA, SAST, DAST);
• Разрабатывать и адаптировать практики для обнаружения дефектов безопасности в исходном коде, зависимостях и/или других артефактах;
• Верифицировать и проводить тестовую эксплуатацию выявленных уязвимостей;
• Предоставлять рекомендации по устранению уязвимостей и делиться опытом с командами;
• Определять векторы атак и возможные точки угроз безопасности информации, которые злоумышленники потенциально могут использовать;
• Просматривать и предоставлять отзывы об исправлениях в системе информационной безопасности; • Определять области, где необходимы улучшения в обучении безопасности и осведомленности для пользователей;
• Формировать и предоставлять отчетность в соответствии с установленными регламентами;
• В рамках выполнения своих трудовых функций исполнять поручения своего непосредственного руководителя.

Наши ожидания от кандидата:

• Опыт работы в области практического анализа защищенности и тестирования на проникновение;
• Опыт выявления и эксплуатации уязвимостей Web и сетевых приложениях;
• Знание сетевых протоколов и протоколов авторизации различных систем;
• Знание скриптовых языков программирования (Powershell/Bash/Python);
• Владение основными инструментами тестирования на проникновение (Например: Burp Suite/Fiddler, ZAP Proxy, Nessus\Nexpouse\OpenVAS\MaxPatrol, Nmap, Sqlmap, Dirb, Wireshark, Metasploit, Responder, Bloodhound, Mimikatz и ОС Kali Linux);
• Знание фундаментальных принципов построения безопасных информационных систем и технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д).

Будет плюсом:

• Понимание устройства современных веб/мобильных приложений и фреймворков для разработки мобильных приложений;
• Знание и опыт применения методик анализа защищенности (PTES, MITRE ATT&CK);
• Знание используемых в корпоративной (или промышленной) среде систем и технологий;
• Знание основных методологий и подходов анализа угроз.

Работа в eXpress - это:

• Погружение в мир масштабных проектов.
  У нас ты окажешься в эпицентре динамичных процессов, где каждый рабочий день становится новым вызовом для твоего роста.
• Развитие.
  Большая команда профессионалов, готовых делиться своими знаниями и страстью к технологиям. А также внутреннее наставничество, участие во внешних конференциях и оплата профильных курсов.
• Инженерная культура.
  Прозрачность код-ревью, оперативное внедрение новых фичей и совершенствование существующего кода через рефакторинг.
• Свобода.
  Офис, удалёнка или гибрид — решать тебе.
  Гибкий график - смотрим не на количество отработанных часов, а на результат проделанной работы.
  Отсутствие дресс-кода и бюрократии.
• Забота о здоровье.
  После испытательного срока - расширенное ДМС со стоматологией, телемедициной, психологом. А также скидки на иные виды страхования для близких.
• Комфорт.
  Современный офис в пешей доступности от м.Новослободская.
  Снэк-бар в офисе - чтобы мысли о голоде не мешали работать :)
  Онбординг для новичков и команда HR-ов, которые помогут и ответят на любой твой вопрос.