Вакансия: Старший специалист по анализу защищенности (Pentester)
Описание вакансии
Чем предстоит заниматься:
Выполнять тестирование приложений, систем и инфраструктуры на наличие уязвимостей, используя подходы белого, серого и, при необходимости, чёрного ящиков;
Проводить анализ исходного кода для выявления уязвимостей и предоставлять рекомендации по их устранению;
Участвовать в разработке сценариев атак, симулирующих возможные действия злоумышленников;
Использовать специализированные инструменты для анализа защищённости (Burp Suite, OWASP ZAP, Nessus и другие);
Проводить ручной и автоматизированный анализ конфигурации систем и приложений;
Подтверждать уязвимости, найденные через автоматизированные средства и программу Bug Bounty;
Создавать подробные отчёты по результатам тестирования, включая описание уязвимостей и рекомендации по устранению;
Взаимодействовать с инженерами по безопасности приложений и архитекторами безопасной разработки для проработки найденных проблем и внедрения защитных мер;
Проверять корректность внедрения исправлений и тестировать системы после их обновления;
Участвовать в обучении команд разработки и эксплуатации по вопросам безопасности и выявлению уязвимостей;
Поддерживать и актуализировать методики тестирования на проникновение и анализа защищённости;
Участвовать в оценке новых инструментов и подходов к анализу безопасности;
Выполнять проверки конфигурации и безопасности контейнеров, микросервисов и облачных инфраструктур;
Участвовать в мероприятиях по инцидент-менеджменту, предоставляя экспертное мнение о выявленных уязвимостях;
Взаимодействовать с внешними исследователями в рамках программы Bug Bounty для своевременного выявления и подтверждения уязвимостей;
Следить за современными угрозами безопасности, новыми векторами атак и применять эти знания в повседневной работе;
Работать в тесной координации с другими группами направления безопасной разработки для обмена знаниями и совместного решения задач.
Требования:
Глубокое понимание методов и подходов тестирования на проникновение (white-box, grey-box, black-box);
Знание основных инструментов для анализа защищённости: Burp Suite, OWASP ZAP, Nessus, Nikto, Metasploit, Kali Linux и других;
Опыт работы с языками программирования (Python, Bash) для автоматизации задач тестирования и анализа;
Знание основных лучших практик и рекомендаций по безопасности, таких как OWASP Top 10, CWE/SANS Top 25, NIST, ISO/IEC 27001;
Умение оценивать риски, связанные с найденными уязвимостями, и предоставлять рекомендации;
Навыки ручного тестирования на наличие уязвимостей, недоступных для автоматизированных инструментов;
Опыт анализа безопасности облачных платформ (AWS, Azure, Google Cloud) и контейнерных сред (Docker, Kubernetes);
Знание принципов работы сетевых протоколов и их безопасности (TCP/IP, HTTP/HTTPS, DNS);
Знание языков программирования (Java, Python, Go и т.д.) и умение проводить ревью кода;
Умение моделировать сценарии атак с учётом бизнес-логики приложений;
Опыт работы с системами Bug Bounty и валидации найденных внешними исследователями уязвимостей;
Знание принципов безопасной разработки и умение работать в связке с инженерами по безопасности приложений;
Навыки подготовки и презентации аналитических отчетов для технических и бизнес-аудиторий;
Умение проводить ревью конфигураций инфраструктуры на предмет безопасности;
Знание подходов к управлению рисками и методик оценки вероятности и влияния уязвимостей;
Навыки взаимодействия с командами разработки и эксплуатации для обсуждения технических решений;
Способность адаптироваться к новым угрозам безопасности и быстро осваивать новые инструменты;
Знание методик социальной инженерии и способов защиты от неё.
Умение документировать процессы, методики и результаты тестирования для дальнейшего использования;
Навыки управления приоритетами задач в условиях многозадачности и динамической рабочей среды.
Условия:
Оформление по ТК РФ с официальной заработной платой;
График работы: 5/2, с 9:00 до 18:15 (в пятницу до 17:00), гибридный / удаленный формат работы;
Возможность обучаться и сертифицироваться за счёт компании: внешние тренинги и семинары по профессиональным тематикам, отраслевые конференции, программа развития управленческих навыков, очные мастер-классы, платформы онлайн-образования и многое другое;
Развитая система компенсаций и льгот;
Широкий пакет ДМС (включая выезд за рубеж и стоматологию);
Страхование жизни и здоровья;
Скидки в магазинах сети Х5 ( Пятёрочка , Перекрёсток и т.д.);
Программа привилегий Prime-zone (скидки на товары и услуги и специальные предложения от компаний-партнёров);
Материальная помощь сотрудникам, попавшим в сложную жизненную ситуацию.
