Специалист по анализу защищенности (pentest)

Zero-day уязвимости, APT-атаки, фишинг, эксплойты...– для вас это не просто слова, а часть профессионального лексикона? Умеете обходить WAF и IDS? Знаете, как провести атаку через цепочку поставки или внедрить ransomware? Мы ищем Red Teamer'а, способного видеть систему в целом, анализировать риски и разрабатывать комплексные стратегии защиты, основанные на реальных угрозах. Вам предстоит погрузиться в мир моделирования угроз, проводить пентесты инфраструктуры, web и мобильных приложений для выявления и устранения уязвимостей до того, как их смогут использовать злоумышленники.

Чем предстоит заниматься:

• Проводить анализ защищённости web-приложений и инфраструктуры;
• Участвовать в security code review кода Java/Kotlin/JavaScript;
• Предоставлять разработчикам рекомендации по устранению выявленных уязвимостей
• Разрабатывать правила для систем SAST, DAST, SCA;
• Разрабатывать метрики по AppSec- и DevSecOps-процессам;
• Участвовать в мероприятиях по встраиванию процессов обеспечения ИБ в разработку сервисов банка, осуществляемых по Agile методологии;
• Участвовать в мероприятиях, направленных на соблюдение требований законодательства, регуляторов и нормативных документов банка.

Что мы ждём от тебя:

• Опыт с различными решениями классов Vulnerability Management/Vulnerability Scanner (Maxpatrol, Nessus, RedCheck и т.п.), SAST (Fortify, PT Application inspector), DAST (ZAP), OSA/SCA - умение писать правила для них;
• Умение анализировать код с точки зрения безопасности: Java/ Kotlin/ Python/JavaScript;
• Понимание принципов работы современных приложений, процессов SSDLC, CI/CD;
• умение работать с kali linux.