Вакансия: Триаж инженер (платформа Bug Bounty)
Описание вакансии
Positive Technologies уже 20 лет создает инновационные решения в сфере информационной безопасности. Продукты и сервисы компании позволяют выявлять, верифицировать и нейтрализовать реальные бизнес-риски, которые могут возникать в IT-инфраструктуре предприятий. Наши технологии построены на многолетнем исследовательском опыте и экспертизе ведущих специалистов по кибербезопасности. Сегодня у компании семь офисов на территории России (в Москве, Санкт-Петербурге, Нижнем Новгороде, Самаре, Новосибирске, Академгородке и Томске) и офис в Казахстане (Астана). В нашей команде более 2000 сотрудников, в том числе более 250 экспертов мирового уровня по защите ERP, SCADA, банков и телекомов, веб- и мобильных приложений.
Обязанности:
- Анализ отчетов на Bug Bounty платформе для заказчиков;
- Тестирование уязвимых сервисов на киберполигоне: воспроизведение атак, анализ поведения сервисов, документирование результатов.
- Воспроизведение уязвимостей;
- Ранжирование уязвимостей по классам и типам;
- Написание рекомендаций по устранению уязвимостей;
- Помощь и поддержка инженеров по триажу в сложных случаях, помощь в решении проблемных ситуаций и принятии решений;
- Внесение предложений по улучшению процессов триажа, разработке новых методик и стандартов работы.
Требования: - Интерес к сфере информационной безопасности, способность оперативно знакомиться с актуальными уязвимостями и следить за новыми тенденциями в мире ИБ
- Опыт ранжирования потенциальных уязвимостей по классам и типам;
- Опыт оценки уязвимостей по CVSS;
- Опыт проведения web и/или инфраструктурного пентеста;
- Навыки системного администрирования Linux/Windows;
- Опыт работы с системами виртуализации (VMware, VirtualBox) и/или контейнеризацией (Docker, Kubernetes);
- Знание причинно-следственной связи для появления уязвимостей в веб-приложениях;
- Знание способов эксплуатации уязвимостей в веб-приложениях;
- Знание механизмов защиты от уязвимостей в веб-приложениях;
- Знание разных таксономий уязвимостей (CWE MITRE, OWASP Vulnerabilities, и т.п.);
- Знание принципов работы уязвимостей;
- Опыт анализ защищенности веб и мобильных приложений;
- Наличие профильных сертификатов (например, CPTS, OSCP, eJPT, CEH и др.);
- Хорошие коммуникативные навыки.
Будет плюсом:
- Опыт участия в соревнованиях CTF и программах Bug Bounty;
- Хорошие коммуникативные навыки;
- Опыт работы с младшими специалистами в роли ментора, тренера или наставника
- Владение английским языком от уровня B2
Почему вам у нас понравится:
- Технического развития в сильной команде;
- Участие в национальных и международных конференциях по прикладной безопасности информационных систем;
- Удобный график работы: удаленка/гибрид/офис;
- ДМС с первой недели работы, включая стоматологию, ежегодный чекап;
- Гибкий подход к отдыху: 28 календарных дней отпуска, доплату отпускных до полного оклада и 10 day off в год;
- Гибкое начало рабочего дня;
- Умные, интересные, клёвые коллеги;
- Внутренние клубы по интересам (outdoors, шахматный, книжный, винный, мафия и др.)
- Частичная компенсация спорта;
- Участие в форумах, семинарах, конференциях; обучение за счёт компании;
- Возможность присоединиться к футбольной и волейбольным сборным, для которых мы арендуем спортивные площадки.
