⚙️ Как настроить работу команды на удалёнке? На второй неделе марафона обсудим это с ребятами из Студии Лебедева, Dodo Pizza, Aliexpress и DataArt. Регистрируйтесь на страничке марафона и присоединяйтесь к нам!
0x43800x4380

Тимур Небесный

CISO / Application Security Engineer · Бэкенд · Менеджмент · Ведущий (Lead)
От 4000 € · Не ищу работу
Возраст: 29 лет
Опыт работы: 9 лет и 7 месяцев
Регистрация: 04.12.2013
Последний визит: 1 день назад
Местоположение: Россия, Казань
Войдите, чтобы посмотреть контакты пользователя

Опыт работы

  • NovawardTech
    Аликанте
    CEO
    Июль 2019 — По настоящее время (1 год и 5 месяцев)
  • UDS.app
    Москва
    CISO
    Март 2017 — Октябрь 2020 (3 года и 8 месяцев)

    - Пентесты приложений и инфраструктуры (в т.ч. аудиты безопасности).

    - Реагирование на инциденты ИБ (в том числе сбор, подробное описание и передача информации об атаках правоохранительным органам)

    - Мониторинг утечек доменных данных и реагирование. (haveibeenpwned, базы данных с raidforums, уведомления администратору GSuite)

    - Консультации разработчиков по исправлению найденных уязвимостей и

    недопущению их в будущем.

    - Поиск логических уязвимостей (уязвимостей бизнес-процессов) через

    анализ логов действий пользователей в elastic (Kibana).

    - Интеграция базовых тестов AppSec в CI/CD через обучение и помощь в

    написании тестовых скриптов в  команде QA (Тесты сводятся к проверке

    ответов бекенда на непредсказуемые вводные данные из input).

    Делается билд - прогоняются тесты инпутов, сверяются ответы, если в

    тесте что-то не ОК, то не уходит в продакшн). Обучение QA основам

    работы в burpsuite.

    На данный момент тестами покрывается бОльшая часть уязвимостей (даже race condition). Не удалось покрыть тестами бизнес-логику.

    - Мониторинг и противодействие фишингу направленного против продуктов компании. 

    - Работа с противодействием спаму (вместе с разработчиками был реализован механизм, отслеживающий на уровне API пользователей стоп-слов или аномальной активности за определенный промежуток времени)

    - Участие в развитии продукта - предложения по улучшению, развитию и новых фич.

    - Мастер классы по информационной безопасности для сотрудников (с живыми примерами фишинга и социальной инженерии). Мастер классы с примерами "почему нельзя вставлять найденные USB устройства на рабочие машины", "почему нельзя открывать вложения от адресатов не из корпоративного домена".

    - Помощь в работе с Роскомнадзором. ("бумажная" ИБ, персональные данные, документация - базовый уровень).

  • Разработка решений для выявления и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности
    Москва · От 10 до 100 сотрудников
    Специалист по веб-уязвимостям
    Сентябрь 2015 — Февраль 2017 (1 год и 6 месяцев)

    Поиск уязвимостей во внутренних проектах компании

  • clientbase.ru
    Казань
    Head of DevOps
    Октябрь 2014 — Март 2015 (6 месяцев)
  • GIS
    Казань
    Руководитель отдела информационной безопасности
    Сентябрь 2012 — Июнь 2015 (2 года и 10 месяцев)
  • MetaQuotes Software Corp.
    Казань
    QA Engineer, Application Security Engineer
    Сентябрь 2011 — Февраль 2012 (6 месяцев)
  • FIX, LLC
    Казань
    QA Engineer
    Май 2011 — Август 2011 (4 месяца)
  • idis soft
    Казань
    системный администратор
    Сентябрь 2010 — Май 2011 (9 месяцев)