улица 8 Марта
Сегодня Билайн — компания изменений, чутко реагирующая на потребности рынка и людей. А ещё Билайн — это команда, объединённая общими ценностями и общей целью — быть лидером телеком и digital рынков, предоставляя нашим клиентам новейшие продукты и услуги, а также сервис самого высокого уровня.
Сейчас у вас есть возможность присоединиться к лучшей команде в качестве Эксперта по анализу защищенности!
Итак, вам предстоит:
- Проведение пентестов:
- Тестирование Веб-приложений, REST API, мобильных приложений, client-side и server-side;
- Тестирование внешнего периметра;
- Тестирование облачных решений и сред исполнения (k8s, openshift, openstack);
- Сканирование и анализ:
- Сканирование инструментами динамического анализа (DAST);
- Поиск уязвимостей с помощью автоматизированных сканеров и ручной доработкой результатов;
- Анализ сетевых топологий и базовых ошибок конфигурации;
- Ручная эксплуатация:
- Использование типовых техник эксплуатации уязвимостей (OWASP Top 10);
- При необходимости — написание простых PoC-эксплойтов;
- Анализ исходного кода приложений, поиск векторов эксплуатации методом "белого ящика" (в т.ч с использованием автоматизированных сканеров);
- Автоматизация
- написание вспомогательных скриптов и утилит;
- работа с CI/CD, докер образами;
- Отчетность:
- Подготовка технических отчетов о результатах тестирования;
- Ведение документации по методам и кейсам тестирования;
- Формулирование рекомендаций по устранению уязвимостей для ИТ и ИБ-команд;
- Командное взаимодействие:
- Совместное участие в проектах по тестированию;
- Совместная работа с разработчиками и инженерами для внедрения практик secure-by-design;
- Совместная работа с командами SOC и Red Team;
- Расширение компетенций:
- Отслеживание новых CVE, техник атак и инструментов;
- Анализ новых уязвимостей, написание Proof-of-Concept;
- Участие во внутренних обучениях, конференциях или митапах.
Мы будем рады рассмотреть вашу кандидатуру, если у вас есть:
- Опыт от 3-х - 4-х лет в сфере информационной безопасности, включая практический опыт проведения пентестов Веб-приложений - как обязательное условие;
- Уверенные знания в области сетевых технологий: TCP/IP, DNS, HTTP/S, протоколы аутентификации (LDAP, Kerberos, OAuth2);
- Опыт тестирования веб-приложений, API, мобильных приложений, внешнего периметра, облачных решений;
- Владение инструментами: Burp Suite, Nmap, Metasploit, SQLmap, Dirbuster, утилиты ProjectDiscovery;
- Знание методологий: OWASP Top 10, MITRE ATT&CK, PTES;
- Навыки написания скриптов для автоматизации задач или создания новых инструментов;
- Способность составлять технические отчеты и рекомендации по устранению уязвимостей.
Будет преимуществом:
- Участие в Bug Bounty-программах, CTF, собственные проекты или репозиторий с утилитами;
- Понимание микросервисных архитектур, опыт работы с k8s/Openshift;
- Знание азов AD-атаки (Kerberoasting, Pass-the-Hash и пр.);
- Знакомство с Red Team практиками (C2-фреймворки, OPSEC);
- Знакомство с OSINT техниками и инструментами;
- Сертификаты уровня OSWE, BSCP, eJPT, CEH, CRTP — плюс, но не обязательны;
- Базовое понимание требований российского законодательства в области ИБ.
Что мы предлагаем:
- Сплоченную команду профессионалов, в которой можно не только успешно реализовывать проекты, но и перенимать опыт и развиваться.
- Обучение, участие в интересных проектах и расширение профессиональной экспертизы: мы участвуем в конференциях, митапах, публикуемся на Хабр и т.д.
- Конструктивную и открытую рабочую атмосферу.
- Полис добровольного медицинского страхования, обслуживаемый в лучших клиниках, а также чек-ап для сотрудников 40+.
- Страхование жизни, страхование от несчастных случаев и критических заболеваний, страхование выезжающих за рубеж.
- Материальную помощь.
- Детские подарки.
- Доплату по листу нетрудоспособности
- Корпоративные скидки на товары и услуги от партнеров компании.
- Служебную сотовую связь.
- Кафетерий льгот — возможность самостоятельно выбрать дополнительные корпоративные льготы и бонусы (спорт, здоровье, обучение, путешествия, транспорт и др.). Доступно после испытательного срока.
