Москва
Zero-day уязвимости, APT-атаки, фишинг, эксплойты...– для вас это не просто слова, а часть профессионального лексикона? Умеете обходить WAF и IDS? Знаете, как провести атаку через цепочку поставки или внедрить ransomware? Мы ищем Red Teamer'а, способного видеть систему в целом, анализировать риски и разрабатывать комплексные стратегии защиты, основанные на реальных угрозах. Вам предстоит погрузиться в мир моделирования угроз, проводить пентесты инфраструктуры, web и мобильных приложений для выявления и устранения уязвимостей до того, как их смогут использовать злоумышленники.
Чем предстоит заниматься:
- Проводить анализ защищённости web-приложений и инфраструктуры;
- Участвовать в security code review кода Java/Kotlin/JavaScript;
- Предоставлять разработчикам рекомендации по устранению выявленных уязвимостей
- Разрабатывать правила для систем SAST, DAST, SCA;
- Разрабатывать метрики по AppSec- и DevSecOps-процессам;
- Участвовать в мероприятиях по встраиванию процессов обеспечения ИБ в разработку сервисов банка, осуществляемых по Agile методологии;
- Участвовать в мероприятиях, направленных на соблюдение требований законодательства, регуляторов и нормативных документов банка.
Что мы ждём от тебя:
- Опыт с различными решениями классов Vulnerability Management/Vulnerability Scanner (Maxpatrol, Nessus, RedCheck и т.п.), SAST (Fortify, PT Application inspector), DAST (ZAP), OSA/SCA - умение писать правила для них;
- Умение анализировать код с точки зрения безопасности: Java/ Kotlin/ Python/JavaScript;
- Понимание принципов работы современных приложений, процессов SSDLC, CI/CD;
- умение работать с kali linux.