Руководитель группы технического анализа защищенности | Team Lead Pentest

Дата размещения вакансии: 05.11.2024
Работодатель: СТЭП ЛОДЖИК (STEP LOGIC)
Уровень зарплаты:
з/п не указана
Город:
Москва
Киевское шоссе, 22-й километр 6с1
Требуемый опыт работы:
От 3 до 6 лет

STEP LOGIC — один из крупнейших системных интеграторов в России и СНГ с 31-летним опытом реализации сложных комплексных ИТ-проектов

Основные задачи

Руководство командой, а также непосредственное участие в пентестах и исследованию уязвимостей информационных систем

  1. Управление проектами по тестированию на проникновение и анализу защищенности ИТ-инфраструктуры и информационных систем:
  • Развитие и координация работы команды Red Team
  • Участие в пресейле и формировании коммерческих предложений для Заказчиков
  • Постановка задач команде по сопровождению пентестов и анализу защищенности инфраструктуры на всех уровнях (сети, операционные системы, приложения, СУБД) и контроль их исполнения
  • Анализ архитектуры ИТ-систем с точки зрения безопасности, участие в проектах по тестированию на проникновение в качестве ведущего эксперта
  • Взаимодействие с командами эксплуатации Заказчиков по вопросам устранения уязвимостей
  • Подготовка отчетной документации по результатам выполнения проектов
  • Участие в смежных проектах по защите ИТ-инфраструктуры: формирование требований информационной безопасности на этапе проектирования систем и контроль их реализации при вводе в эксплуатацию или изменении архитектуры

2. Участие в развитии экспертизы направления анализа защищенности:

  • Тестирование и анализ различных решений и технологий с точки зрения информационной безопасности
  • Участие в развитии платформы SOC
  • Развитие сервиса оценки соответствия по ОУД
  • Взаимодействие с вендорами по вопросам устранения уязвимостей в исходном коде продуктов

3. Участие в развитии направления анализа защищенности:

  • Конкурентный анализ рынка исследований уязвимостей и подготовка предложений по формированию новых услуг для Заказчиков
  • Разработка сценариев проведения тестирования, в т.ч. с использованием методов социальной инженерии
  • Участие в формировании и контроль показателей эффективности направления
  • Участие в подготовке плана развития компетенций направления анализа защищенности и контроль его выполнения

4. Участие в формировании и продвижении бренда компании на рынке услуг анализа защищенности:

  • Участие в профильных маркетинговых мероприятиях и технологических конференциях в качестве эксперта
  • Подготовка материалов для публикаций на профильных информационных площадках

Наши ожидания

  • Опыт руководства командой Red Team: опыт выстраивания процессов управления командой, постановки и контроля исполнения задач, развития компетенций
  • Уверенные знания в области проведения тестирования на проникновение и анализа защищенности ИС: знание основных угроз информационной безопасности ИС, типов уязвимостей и их эксплуатации, способов проведения атак и постэксплуатации, методик и технологий противодействия; уверенные знания OWASP Top 10, OWASP Top 10 Mobile; Владение основными инструментами для проведения тестов на проникновение и анализа защищённости ИС
  • Знание методологий проведения исследований и анализа защищенности по направлениям: инфраструктурные тесты на проникновение (внешний и внутренний периметры); web-приложения и системы ДБО; беспроводные сети; социальная инженерия
  • Опыт проведения анализа защищенности инфраструктуры, в т.ч. проведения аудита безопасности web и мобильных приложений
  • Опыт подготовки отчетной документации по результатам исследований безопасности
  • Опыт ручного тестирования и работы с инструментами поиска, эксплуатации и закрепления (BurpSuite, Accunetix, nmap, Nikto, sqlmap, John the Ripper, Metasploit, CobaltStrike, Brute Ratel)
  • Навыки программирования и опыт автоматизации задач с помощью скриптовых языков
  • Базовые знания SQL (СУБД Oracle, MS SQL Server, Postgres), умение составлять SQL-запросы
  • В качестве преимущества рассматриваем: опыт работы с SAST; знание методологии безопасной разработки; опыт сертификации по требованиям ОУД, УД; опыт проверок финтех проектов; участие в CTF или наличие репортов BugBounty; наличие профильных сертификатов (OSCP, OSCE, OSWE) и зарегистрированных CVE

Мы предлагаем

  • Работу в крупной стабильной компании
  • Возможность профессионального и карьерного роста
  • Соц. пакет: компания оплачивает обучение и сертификацию, ДМС, корпоративные скидки от партнеров
  • Конкурентную заработную плату
  • Удобный график работы (возможность работать удаленно)