Application Security Researcher

O команде:
Основная задача команды Product Security – выявление и минимизация уязвимостей в продуктах Лаборатории Касперского. Мы являемся драйверами всех основных SDL (Security Development Lifecycle) практик в компании: security требования, ревью архитектуры, моделирование угроз, кодревью, инструментальные проверки (стат. анализ, динам. анализ, фазинг, security tests), пентест, etc.

Что предстоит на этой роли:

• Участие в проектах ИБ и безопасной разработки для продуктов и сервисов в роли эксперта и архитектора;
• Анализ архитектуры решений с точки зрения ИБ;
• Моделирование угроз и выявление рисков ИБ для desktop приложений (продуктов);
• Приоритизация рисков и обоснование необходимости их митигации;
• Предоставление предложений по возможным вариантам митигации рисков;
• Анализ безопасности приложений.

Что для этого необходимо:

• Опыт проектирования архитектуры программного обеспечения, в том числе с учетом требований безопасности приложений
• Глубокие знания в области сетевых технологий, широкий кругозор в современных технологиях защиты ПО
• Знания модели безопасности операционных систем (Windows, Linux, Android, iOS)
• Понимание актуальных угроз информационной безопасности, базовые знания о методах атак и уязвимостях, желание обучаться и повышать компетенции в области практической информационной безопасности
• Знание современных объектно-ориентированных языков программирования (С, C++, Java, C#) и методик написания безопасного кода (SDL)

Будет плюсом:

• Опыт анализа безопасности приложений. В том числе описания сценариев атаки
• Опыт применения практик SDL
• Знание методологий и рекомендаций по управлению уязвимостями
• Опыт применения инструментов статического и динамического анализа
• Опыт применения инструментов поиска и анализа security bugs (IDA, windbg/gdb, fuzzing tools)