Вакансия: Аналитик валидации уязвимостей
SolidLab команда профессионалов, специализирующаяся на аудите безопасности приложений, тестировании на проникновение, а также предлагающая полный комплекс услуг по аудиту безопасности кода.
Мы в поиске аналитика по сканированию и управлению уязвимостями, готового к сложным и ответственным задачам, который станет частью команды по развитию сервиса поиска уязвимостей на основе наших собственных разработок.
Задачи:
- Автоматизированный поиск уязвимостей в ИТ-инфраструктуре, ПО и web-приложениях, оценка применимости и критичности найденных уязвимостей к конкретной инфраструктуре; приоритизация уязвимостей, передаваемых на устранение
- Разработка эффективных рекомендаций по снижению рисков от обнаруженных уязвимостей, в том числе разработка компенсирующих мер при невозможности устранения уязвимости по рекомендациям вендора
- Взаимодействие с подразделениями, ответственными за эксплуатацию инфраструктуры, в которой обнаруживаются уязвимости: очные и онлайн консультации
- Взаимодействие с разработчиками нашего сервиса по актуализации моделей сканирования, повышению эффективности сканирования и удобства использования инструментария
- Написание периодической аналитической отчетности по обнаруженным уязвимостям с анализом рисков, мероприятий по их снижению и ретроспективой относительно прошедших периодов для демонстрации динамики защищенности
- Разработка методических и эксплуатационных требований к сервису: к отчетности, к пользовательскому интерфейсу, к функциональным возможностям, а также поддержка внутренней базы знаний по сервису
- Участие в процессе поддержки продаж: реализация пилотных проектов, демонстрация продукта, инструктаж специалистов заказчиков и партнеров
Обязательные требования:
- Наличие практического опыта работы со сканерами уязвимостей (Maxpatrol, Nessus и т.п.) и анализом результатов их работы для подготовки аналитических отчетов, очищенных от ложных срабатываний, с актуальными оценками критичности
- Аналитический склад ума и системный подход к решению задач
- Наличие опыта написания аналитических отчетов, умение чётко и грамотно формулировать свои мысли в письменном виде
- Достаточные технические навыки для эффективной работы в командной строке *nix-подобных систем
- Понимание принципов работы стека web-приложений при взаимодействии с клиентом (клиент-серверное взаимодействие, работа браузера, протокол HTTP, серверное окружение) на техническом уровне
- Понимание устройства локальных сетей на базовом техническом уровне (виды адресаций, DNS, DHCP, NAT, VLAN, сетевые устройства)
- Опыт проверки релевантности опубликованной уязвимости для защищаемой инфраструктуры (составление плана действия для снижения рисков например, для громкой уязвимости с наличием готового эксплойта, которая вышла "сегодня")
Желательные требования:
- Знание и понимание целей и задач, решаемых следующими инструментами: CVSS, CWE, CVE, OWASP Top 10
- Базовые навыки и опыт написания SQL-запросов (вывод необходимой информации из ряда связанных таблиц)
- Знание английского языка на уровне, достаточном для чтения профессиональной технической литературы
Преимуществом будут:
- Практический опыт доказательства эксплуатируемости уязвимостей
- Практический опыт сбора информации из открытых источников (OSINT)
- Навыки программирования на скриптовых языках (BASH, Python) для автоматизации работы
- Участие в CTF, решений задач TryHackMe, HTB
- Наличие профильных сертификатов
Мы предлагаем:
- Официальное трудоустройство с соблюдением всех социальных гарантий
- Достойный уровень заработной платы. По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т.ч. 0-day и получение CVE), за выступления на конференциях, по итогам года
- ДМС после испытательного срока
- Возможность профессионального и карьерного роста, участие в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений
- Работу в стабильно развивающейся компании
- График 5/2; фуллтайм офис или удаленно - на ваш выбор; гибкое начало рабочего дня. Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности
- Крутые коллеги с опытом 10+ лет (занимаем высокие позиции в мировом рейтинге в CTF соревнованиях)
- Минимум бюрократии и дружелюбная культура
