Охотник за угрозами | Защитник империи Windows

Не мониторим, а охотимся.

Ты видишь историю атаки в Event Logs и трафике Wireshark?

Понимаешь, как устроены и взламываются Kerberos, NTLM, PKI?

Не ждешь алерта, а сам идешь искать аномалии?

Для тебя MITRE ATT&CK — это не теория, а план для работы?

Тогда тебе к нам! Наша команда — это спецназ против целевых атак. Мы ищем того, кто видит в логике Windows и AD не просто данные, а улики.

Обязанности

• расследовать сложные инциденты и охотиться на угрозы в инфраструктуре
• глубоко анализировать атаки на AD, OS Windows, PKI и сеть
• автоматизировать всё, что можно, на PowerShell/Python. Рутина — не твой враг, ты её просто устраняешь.

Требования

• знание внутренней архитектуры ОС Windows (процессы, сервисы, реестр, WMI, RPC, DACL/SACL)
• понимание и опыт работы с журналами событий ОС Windows, знание ключевых идентификаторов событий, связанных с безопасностью
• понимание архитектуры, компонентов и принципов работы Active Directory (лес, домен, сайты, службы, доверие)
• понимание основных векторов атак на AD (Kerberoasting, ASREPRoasting, Golden Ticket, Silver Ticket, DCSync, ACL-атаки и др.) и методов их обнаружения
• умение анализировать безопасность конфигурации AD (аудит настроек GPO, прав доступа пользователей и групп, делегирования и др.)
• знание протоколов аутентификации: NTLM, Kerberos (включая детали тикетов, TGT, TGS), LDAP(s)
• понимание инфраструктуры открытых ключей (PKI) на базе Active Directory Certificate Services (AD CS)
• понимание архитектуры и ролей ЦС (Центр Сертификации), включая корневые и подчиненные ЦС, шаблоны сертификатов
• знание ключевых векторов атак на AD CS
• умение анализировать журналы и настройки ЦС на предмет признаков скомпрометированности или неправильной конфигурации, ведущей к повышению привилегий
• понимание процесса запроса, выпуска, отзыва и распространения списков отозванных сертификатов (CRL)
• понимание стека TCP/IP и ключевых сетевых протоколов (DNS, DHCP, HTTP/S, SMB, RDP, SSH, FTP и др.)
• понимание основ сетевой безопасности (файрволлы, VPN, прокси и др.).

Будет плюсом:

• опыт работы с SIEM-платформами и написание правил корреляции
• понимание основ криптографии (симметричное/асимметричное шифрование, цифровые подписи, сертификаты)
• знание фреймворков кибербезопасности (MITRE ATT&CK, Kill Chain, NIST CSF)
• умение анализировать сетевой трафик (пакеты) с помощью Wireshark, tcpdump для выявления аномалий и признаков компрометации (эксфильтрация данных, C2-трафик)
• владение PowerShell для автоматизации задач администрирования и безопасности.

Условия

• ежегодный пересмотр зарплаты, квартальная и годовая премия (премия указывается в зависимости от должности и системы премирования)
• корпоративный спортзал и зоны отдыха
• более 400 образовательных программ СберУниверситета для профессионального и карьерного развития
• расширенный ДМС, льготное страхование для семьи и корпоративная пенсионная программа
• гибкий дисконт по ипотечному кредиту, равный 1/3 ключевой ставки ЦБ
• бесплатная подписка СберПрайм+, скидки на продукты компаний-партнеро
• вознаграждение за рекомендацию друзей в команду Сбера.