Инженер по безопасности WEB-приложений

О компании и команде:
Мы — крупная ИТ-команда, занимающаяся информационной безопасностью наших клиентов, в частности развитием и защитой высоконагруженных web-проектов. Стек технологий разнообразен, мы активно внедряем практики DevSecOps. Ищем инженера, который будет отвечать за безопасность web-приложений на всех этапах — от написания кода до эксплуатации в продакшене.

Почему эта работа будет для вас интересна:

Мы не ищем специалиста, который просто "посмотрит логи в WAF или SIEM". Нам нужен инженер, который будет разбираться в архитектуре приложений, чтобы выстраивать защиту, не мешая бизнесу. Вы столкнетесь с задачами по внедрению WAF, интеграции безопасности в CI/CD, расследованию сложных инцидентов, связанных с атаками на прикладном уровне (L7), и подбору оптимальных настроек защиты под специфику каждого приложения.

Обязанности:

• Управление защитой приложений: Настройка и администрирование WAF (Web Application Firewall) и окружения WAF в части web-трафика. Написание политик и правил корреляции для выявления атак на web-приложения.
• Расследование инцидентов: Анализ инцидентов, связанных с компрометацией web-приложений, взаимодействие с командой SOC.
• DevSecOps практики: Консультация разработчиков по интеграции инструментов защиты в пайплайны CI/CD.
• Экспертиза новых решений: Участие в PoC (Proof of Concept) новых систем безопасности, развертывание демо-стендов и подготовка технических заключений.

Ключевые требования к соискателю:

• Понимание архитектуры web-приложений: принципы работы REST API, форматов данных (JSON/XML), сессий, cookie, CORS.
• Уверенное знание протоколов: HTTP/HTTPS, включая методы, заголовки, особенности работы TLS.
• Опыт администрирования Linux (написание скриптов bash/python, анализ логов, работа с сетью).
• Понимание принципов работы сетей (модель OSI, TCP/IP, DNS) и опыт настройки правил межсетевого экранирования.
• Понимание OWASP Top 10: Знание основных уязвимостей (SQLi, XSS, SSRF и др.) и методов защиты от них.

Большим плюсом будет:

• Реальный опыт работы с WAF и NGFW. Если вы работали с какими-либо из следующих продуктов, это будет вашим преимуществом:
  • PT Application Firewall (Positive Technologies);
  • Solar webProxy (или Solar NGFW);
  • F5 BIG-IP ASM (или F5 Distributed Cloud WAF);
  • Cloudflare WAF;
  • Wallarm;
  • Angara WAF;
  • UserGate WAF / NGFW;
• Опыт разработки на одном из языков (PHP, Python, Java, C#, JavaScript) или опыт написания скриптов для автоматизации (Bash/Python) также будет плюсом, так как вам придется работать с логами и API средств защиты.

• Опыт работы с системами контейнеризации (Docker, Kubernetes) и оркестрации.
• Опыт проведения пентестов или анализа кода (Code Review).
• Наличие действующих сертификатов по профильным продуктам защиты.

Личные качества:

• Системное мышление и умение видеть картину целиком (не просто "нажать кнопку", а понять бизнес-логику приложения).
• Нацеленность на результат и умение аргументированно отстаивать свою точку зрения перед разработчиками и архитекторами.
• Способность быстро осваивать новые технологии и инструменты.
• Дисциплинированность и внимательность к деталям (особенно при написании правил WAF).

Условия работы:

• Заработная плата: от 120 000 до 200 000 рублей на руки (финальная сумма зависит от уровня квалификации по итогам собеседования и решения тестового задания).
• Премии: Ежеквартальные выплаты по результатам выполнения KPI (закрытие инцидентов ТП, проекты внедрения). Ежегодная премия по результатам деятельности компании.
• График: Гибкое начало рабочего дня (с 8:00 до 11:00). Возможно частичное удаленное выполнение задач после прохождения испытательного срока.
• Оформление: Полное соответствие ТК РФ (оплачиваемые отпуска и больничные).
• Развитие: Оплата профильных курсов и сертификаций, участие в профильных конференциях.
• Офис: Современный офис в центре города/в шаговой доступности от метро, оборудованная кухня с кофе и зоной отдыха.