Аудитор защищенности приложений (application security)

SolidLab – команда профессионалов специализирующаяся на аудите безопасности приложений, тестировании на проникновение, а также предлагающая полный комплекс услуг по аудиту безопасности кода.

Мы в поисках инженера по направлению Application Security.

• наличие практического опыта работы со сканерами уязвимостей (Maxpatrol, Nessus и т.п.) и анализом результатов их работы для подготовки аналитических отчетов, очищенных от ложных срабатываний, с актуальными оценками критичности;
• аналитический склад ума и системный подход к решению задач;
• наличие опыта написания аналитических отчетов, умение чётко и грамотно формулировать свои мысли в письменном виде;
• достаточные технические навыки для эффективной работы в командной строке *nix-подобных систем;
• понимание принципов работы стека web-приложений при взаимодействии с клиентом (клиент-серверное взаимодействие, работа браузера, протокол HTTP, серверное окружение) на техническом уровне;
• понимание устройства локальных сетей на базовом техническом уровне (виды адресаций, DNS, DHCP, NAT, VLAN, сетевые устройства);
• опыт проверки релевантности опубликованной уязвимости для защищаемой инфраструктуры (составление плана действия для снижения рисков – например, для громкой уязвимости с наличием готового эксплойта, которая вышла "сегодня").

Желательные требования:

• знание и понимание целей и задач, решаемых следующими инструментами: CVSS, CWE, CVE, OWASP Top 10;
• базовые навыки и опыт написания SQL-запросов (вывод необходимой информации из ряда связанных таблиц);
• знание английского языка на уровне, достаточном для чтения профессиональной технической литературы.

Преимуществом будут:

• практический опыт доказательства эксплуатируемости уязвимостей;
• практический опыт сбора информации из открытых источников (OSINT);
• навыки программирования на скриптовых языках (BASH, Python) для автоматизации работы;
• участие в CTF, решений задач TryHackMe, HTB;
• наличие профильных сертификатов.

Задачи:

• автоматизированный поиск уязвимостей в ИТ-инфраструктуре, ПО и web-приложениях, оценка применимости и критичности найденных уязвимостей к конкретной инфраструктуре; приоритизация уязвимостей, передаваемых на устранение;
• разработка эффективных рекомендаций по снижению рисков от обнаруженных уязвимостей, в том числе разработка компенсирующих мер при невозможности устранения уязвимости по рекомендациям вендора;
• взаимодействие с подразделениями, ответственными за эксплуатацию инфраструктуры, в которой обнаруживаются уязвимости: очные и онлайн консультации;
• взаимодействие с разработчиками нашего сервиса по актуализации моделей сканирования, повышению эффективности сканирования и удобства использования инструментария;
• написание периодической аналитической отчетности по обнаруженным уязвимостям с анализом рисков, мероприятий по их снижению и ретроспективой относительно прошедших периодов для демонстрации динамики защищенности;
• разработка методических и эксплуатационных требований к сервису: к отчетности, к пользовательскому интерфейсу, к функциональным возможностям, а также поддержка внутренней базы знаний по сервису;
• участие в процессе поддержки продаж: реализация пилотных проектов, демонстрация продукта, инструктаж специалистов заказчиков и партнеров.

• официальное трудоустройство в аккредитованную ИТ-компанию;
• работу в стабильно развивающейся компании;
• достойный уровень заработной платы;
• ДМС после испытательного срока;
• возможность профессионального и карьерного роста, участие в проектах с крупнейшими компаниями РФ, возможность анализа сложнейших приложений и прикладных решений;
• график 5/2; фуллтайм офис/ фуллтайм удаленно/ гибридный формат - на ваш выбор; гибкое начало рабочего дня. Часть рабочего времени можно тратить на исследования, по итогам которых поощряются выступления на практических конференциях по информационной безопасности;
• крутые коллеги с опытом 10+ лет (занимаем высокие позиции в мировом рейтинге в CTF соревнованиях);
• минимум бюрократии и дружелюбная культура.

По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т.ч. 0-day и получение CVE), а также за выступления на конференциях, по итогам года.

Есть тестовое задание, после которого проводится интервью.