Эксперт по тестированию на проникновение/Пентестер (удаленно)
Требования
Местоположение и тип занятости
Компания
Профессиональный ИТ-аутсорсинг
Описание вакансии
Условия работы
Наша компания занимается IT-аутсорсингом. Заказчики – крупнейшие российские и зарубежные компании: производители автомобилей, торгово-энергетический комплекс, ряд фармацевтических компаний и многие другие. Работаем в формате business to business – проектируем, развиваем и поддерживаем IT-инфраструктуру наших клиентов. Успешно работаем с более чем 80 крупными клиентами из 30 стран мира.
Ищем пентестера в команду поддержки зарубежных клиентов. Возможна удаленная работа.
Что будем делать:
- Проводить внешние и внутренние тестирование на проникновение (анализ защищенности периметра корпоративных ИС, инфраструктур и беспроводных сетей);
- Проводить анализ защищенности web-приложений, анализ кода;
- Проводить тестирование на проникновение с использованием методов социотехнической инженерии;
- Участвовать в расследовании инцидентов (forensics);
- Разрабатывать и оформлять документы по результатам проектов: программы и методики исследований, отчетные материалы, презентации, рекомендации по устранению обнаруженных проблем/уязвимостей и повышению уровня защищенности инфраструктуры, совершенствованию процессов и систем ИБ;
- Развивать компетенции отдела в области тестирования на проникновение (участвовать в исследовательской деятельности коллектива) и осуществлять менторство над менее опытными коллегами;
- Разрабатывать инструменты для внутреннего использования;
- Участвовать в технических аудитах информационной безопасности;
- Общаться с клиентами и выступать в роли консультанта по информационной безопасности.
Что мы ждем от вас:
- уверенное владение методикой проведения инфраструктурных пентестов;
- хорошо понимаете методики проведения различного тестирования
- на проникновение (OWASP, OSSTMM, PTES), включая Black Box, Grey Box и White Box;
- имеете опыт практического проведения тестирования на проникновение, консультирования от 3-х лет;
- хорошо понимаете принципы работы современных ИТ-инфраструктур, web-серверов, серверных настольных ОС Windows и Linux, сетей и сетевых служб/протоколов, имеете навыки их администрирования и работы с ними;
- хорошо понимаете процессы, механизмы и средства системы обеспечения информационной безопасности сетей, ОС, СУБД и web-приложений;
- знаете фундаментальные принципы построения безопасных информационных систем и технологий защиты информации (WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д);
- имеете опыт и навыки работы с инструментами nmap, sqlmap, dirb, wireshark и ОС Kali Linux;
- владеете распространёнными программами и фреймворками для проведения пентестов (Burp Suite, Fiddler, ZAP Proxy, Metasploit, PowerSploit,Cobalt, NessusNexpouse, BloodHound, Impacket, Responder, Mimikatz);
- знаете ключевые уязвимости и атаки на сетевые протоколы (arp-spoofing, ntlm-relay, slaac attack и т.п.), а также знаете принципы работы беспроводных технологий и атаки на них;
- понимаете требования PCI DSS;
- хорошо понимаете принципы и основные техники социальной инженерии;
- имеете опыт и навыки работы со скриптовыми языками программирования (Python, Bash, PowerShell);
- у вас аналитический склад ума, вам присущи внимание к деталям;
- любите докапываться до сути проблемы/ситуации;
- английский позволяет вам как устно, так и письменно выяснить у англоговорящего пользователя или коллеги суть вопроса и ответить на него по существу;
- хотите учиться, осваивать новые технологии и решения;
- готовы общаться с клиентом и проактивно решать его задачи;
Будет преимуществом:
- наличие профильных сертификатов (CEH, OSCP, OSCE, CCNA, CCNP, CISSP);
- участие в программах Bug Bounty и/или в соревнованиях по информационной безопасности приветствуется (CTF, hackathon);
- желательно знание рынка продуктов ИБ (производители, поставщики, конкуренты, тенденции развития, особенности спроса, потребности и ожидания Заказчиков).
- наличие опыт работы по поиску уязвимостей нулевого дня и написания эксплойтов;
- знание технологий виртуализации Hyper-V, ESXi будет преимуществом знание технологий виртуализации (ESXi, Hyper-V) и контейнеризации (Docker, Kubernetes), а также атак на них.
- знание работы web-протоколов и технологий ( soap, ajax, json, rest, hsts и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей
- опыт и навыки работы с языками программирования такими как Ruby, Perl, PHP и другие. Умение читать и анализировать их исходный код
Что мы предлагаем:
- Выплаты и бонусы:
- квартальные бонусы и 13 зарплата;
- бонус к отпуску и значимым событиям (свадьба, рождение детей);
- компенсация процентов по ипотеке и беспроцентная ссуда;
- ДМС со стоматологией;
- компенсация спорта. Скидки в фитнес-клубах;
- при переезде предоставим квартиру на первое время или выплатим подъемные.
- Условия труда:
- современный офис с тренажерами, office kitchens и банкоматами;
- столовые в офисах и скидки на питание.
- Обучение и карьера:
- вендорное обучение и сертификация за счет компании;
- обучение английскому и общение с иностранными заказчиками;
- возможность участия в техническом и управленческом кадровом резерве.
- Экология и благотворительность:
- помогаем детским домам, школам, приютам для животных;
- озеленяем город, бережем ресурсы;
- поддерживаем социальные инициативы сотрудников.