Пентестер ( pentest)

В нашем клиенте, ведущей международной табачной компании, открыта вакансия “ ИБ-эксперт по тестированию на проникновение (пентестер) “.

Мы ищем специалиста, который укрепит команду и внесет свой весомый вклад в обеспечение комплексной и эффективной защиты ИТ-сервисов, используя при этом знания о работе и тонкостях тестирования на проникновение (pentesting).

Роль этой должности заключается в технической проверке защищенности активов, в тесном взаимодействии с командами, вовлеченными в проекты ИТ/ИБ, а также оказании консультационной поддержки коллег обеспечивающих настройку СЗИ и внедрение других контролей.

Вам предстоит:

• Анализ защищенности веб-приложений и информационных систем в разных ролях, с разным уровнем прав доступа (blackbox/graybox/whitebox);
• Организация и координация процесса тестирования в сотрудничестве с ИТ командами;
• Разработка отчетов с рекомендациями по устранению уязвимостей;
• Проведение контрольного анализа ранее найденных уязвимостей и РоС по запросу;
• Выбор технологического стека для проведения тестов на проникновение;
• Формирование рекомендаций по повышению уровня кибер-устойчивости сервисов.

От кандидатов мы ждём:

• Опыт работы в ИБ не менее 3 лет;
• Практический опыт проведения тестирования веб-приложений, информационных систем и элементов инфраструктуры на уязвимости;
• Практические знания принципов атак на веб-приложения и информационные системы с использованием уязвимостей из OWASP TOP 10;
• Уверенное понимание актуальных кибер-угроз в отношении наиболее популярных активов;
• Понимание на экспертном уровне логики и применимости средств для проведения тестов на проникновение (пентестов);
• Знание как минимум одного языка программирования (предпочтительно: java, python);
• Навыки работы с запросами БД и инъекциями;
• Знание стека TCP/IP и опыт работы со средствами анализа сетевого трафика (Burp Suite, OWASP ZAP, Fiddler, Wireshark);
• Знание Web-технологий (CMS, Web-Servers, SQL, WAF) и основных framework'ов (flusk, laravel, spring, symfony, node.js и др)
• Понимание принципов работы и технологий веб-приложений (websocket, REST, SOAP и т.д.; CORS, HSTS, SOP, CSP; OpenID, OAuth2 и др.);
• Умение за короткий период разобраться в архитектуре веб-приложения и/или информационной системы;
• Понимание основных принципов планирования архитектуры ИТ/ИБ-систем, вариантов интеграции сервисов;
• Широкий взгляд на технологические возможности и их применимость для практического повышения уровня защищенности активов.

Будет плюсом:

• Позитивный подход и критическое мышление;
• Опыт разработки веб-приложений (бэкграунд full-stack разработчика);
• Сертификация в области практической безопасности (OSWE/GWAPT/OSCP и т.д.);
• Опыт участия в программах поиска уязвимостей (bug bounty) и CTF;
• Опыт проведения комплексного анализа защищенности систем, мобильных приложений, беспроводных сетей доступа;
• Опыт администрирования ОС Win/*nix, конфигурирования веб-серверов (IIS, Nginx);
• Опыт проведения пентестов веб-приложений на облачных инфраструктурах топовых провайдеров услуг в РФ;
• Опыт участия в Red Team (+ опыт использования социальной инженерии);
• Опыт анализа исходного кода на уязвимости;
• Умение автоматизировать рутинные процессы;
• Желание систематически развиваться, осваивать новые области, методы, подходы в сфере ИБ;
• Способность выражать свои мысли логичным, легко понятным образом, адаптируясь к целевой аудитории;
• Многозадачность и умение быстро переключаться;
• Начальный уровень владения английским языком.

Мы предлагаем:

• Трудоустройство в аккредитованную ИТ- компанию;
• Гибридный или удаленный формат работы;
• Работу в крупной международной компании;
• ДМС со стоматологией, скидки на ближайших родственников;
• Скидки на английский язык SkyEng, курсы Skillbox;
• Оформление в соответствии с ТК, полностью белая заработная плата.