Старший специалист по анализу защищённости (Pentester)

Старший специалист по анализу защищённости (Pentester)

Чем предстоит заниматься:

— Выполнять тестирование веб-приложений, используя подход белого, серого и черного ящика;
— Проводить анализ исходного кода для выявления уязвимостей и предоставлять рекомендации по их устранению;
— Участвовать в разработке сценариев атак, симулирующих возможные действия злоумышленников;
— Использовать специализированные инструменты для анализа защищённости (Burp Suite, OWASP ZAP, Nessus и другие);
— Проводить ручной и автоматизированный анализ конфигурации систем и приложений;
— Подтверждать уязвимости, найденные через автоматизированные средства и программу Bug Bounty;
—Создавать подробные отчёты по результатам тестирования, включая описание уязвимостей и рекомендации по устранению;
—Взаимодействовать с инженерами по безопасности приложений и архитекторами безопасной разработки для проработки найденных проблем и внедрения защитных мер;
— Проверять корректность внедрения исправлений и тестировать системы после их обновления;
— Участвовать в обучении команд разработки и эксплуатации по вопросам безопасности и выявлению уязвимостей;
— Поддерживать и актуализировать методики тестирования на проникновение и анализа защищённости;
— Участвовать в оценке новых инструментов и подходов к анализу безопасности;
— Выполнять проверки конфигурации и безопасности контейнеров, микросервисов и облачных инфраструктур;
— Участвовать в мероприятиях по инцидент-менеджменту, предоставляя экспертное мнение о выявленных уязвимостях;
— Взаимодействовать с внешними исследователями в рамках программы Bug Bounty для своевременного выявления и подтверждения уязвимостей;
— Следить за современными угрозами безопасности, новыми векторами атак и применять эти знания в повседневной работе;
— Работать в тесной координации с другими группами направления безопасной разработки для обмена знаниями и совместного решения задач.

Требования:

— Глубокое понимание методов и подходов тестирования на проникновение (white-box);
— Знание основных инструментов для анализа защищённости: Burp Suite, OWASP ZAP, Nessus, Nikto, Metasploit, Kali Linux и других;
— Опыт работы с языками программирования (Python, Bash) для автоматизации задач тестирования и анализа;
— Знание основных лучших практик и рекомендаций по безопасности, таких как OWASP Top 10, CWE/SANS Top 25, NIST, ISO/IEC 27001;
— Умение оценивать риски, связанные с найденными уязвимостями, и предоставлять рекомендации;
— Навыки ручного тестирования на наличие уязвимостей, недоступных для автоматизированных инструментов;
— Опыт анализа безопасности облачных платформ (AWS, Azure, Google Cloud) и контейнерных сред (Docker, Kubernetes);
— Знание принципов работы сетевых протоколов и их безопасности (TCP/IP, HTTP/HTTPS, DNS);
— Знание языков программирования (Java, Python, Go и т.д.) и умение проводить ревью кода;
— Умение моделировать сценарии атак с учётом бизнес-логики приложений;
— Опыт работы с системами Bug Bounty и валидации найденных внешними исследователями уязвимостей;
— Знание принципов безопасной разработки и умение работать в связке с инженерами по безопасности приложений;
— Навыки подготовки и презентации аналитических отчетов для технических и бизнес-аудиторий;
— Умение проводить ревью конфигураций инфраструктуры на предмет безопасности;
— Знание подходов к управлению рисками и методик оценки вероятности и влияния уязвимостей;
— Навыки взаимодействия с командами разработки и эксплуатации для обсуждения технических решений;
— Способность адаптироваться к новым угрозам безопасности и быстро осваивать новые инструменты;
— Знание методик социальной инженерии и способов защиты от неё.
— Умение документировать процессы, методики и результаты тестирования для дальнейшего использования;
— Навыки управления приоритетами задач в условиях многозадачности и динамической рабочей среды.

Условия:

— Удалёнка без ограничений по локации/гибрид Москва;
— Гибкий график, сильная команда, поддерживающий руководитель;
— Сертификации и обучение за счёт компании;
— Пакет ДМС, премии, прозрачное оформление.