Middle AppSec инженер [Техническое обеспечение продуктовой безопасности]

МТС – крупнейший телеком-бренд в России и СНГ, цифровой холдинг, развивающий более 15 инновационных направлений – от интернета вещей и обработки больших данных до онлайн-университета и киберспорта.

Приглашаем AppSec-специалиста в команду технического обеспечения продуктовой безопасности.

Мы стремимся обеспечить максимально понятный для всех участников сквозной процесс тестирования программных продуктов на предмет ИБ на всех стадиях производства и эксплуатации ПО.

Наши контрагенты: "бизнес", и "разработка", и смежные ИБ-подразделения.

Чем предстоит заниматься:

- непосредственное проведение AppSec-тестирования, участие в аудитах безопасности сервисов, содействие в расследовании инцидентов; осуществление контроля за проведением тестирования, выполняемого на стороне IT/DevSecOps.

- методологическая и технологическая поддержка реализованных практик AppSec; сбалансированное (относительно адекватной риск-ориентированной оценки целесообразности) развитие новых практик.

- конфигурация и модернизация инструментария AppSec (вендорские решения и OpenSource) в условиях динамично меняющейся обстановки, которую определяет и ландшафт угроз извне, и потребности/активности внутри компании.

- консультирование разработчиков и ИБ-специалистов по устранению уязвимостей; верификация уязвимостей и разработка proof-of-concept при необходимости; подготовка заключений (принятие определяющих решений) относительно возможности безопасного использования ПО.

• Знание основных проблем, принципов и практик обеспечения информационной безопасности:
  - при организации доступа к данным, а также их распространённых реализаций в ОС различных семейств;
  - в процессе производства ПО от проектирования до доставки и эксплуатации;
  - в условиях совместного использования вычислительных ресурсов.

• Практические навыки проведения анализа кода, ИБ-аудита систем, тестирования защищённости сервисов, выявления недекларированных возможностей ("+1" за подтвеждение в виде h1, hackthebox, и пр. ИБ-контест-подобного).

По определению, нам важно сфокусироваться не столько на глоссарии ИБ-терминов (SQLi, RCE-via-XXE, OWASP, traceback, Burp, semgrep, risk exposure -- для SEO и обозначения кругозора, пожалуй, достаточно), сколько на непосредственном ручном опыте, hands-on, проведения исследований ПО/сервисов/систем на предмет ИБ в любом формате: и профессиональном, и любительском. И в любой истории успеха/неуспеха у вас непременно была обозначена грань, когда следовало остановиться в силу ограниченности ресурсов, опасности раскрытия и пр. -- рассчитываем, что расскажете и об этом.

• Понимание процесса и проблем тестирования ПО ("+1" за опыт в сфере QA)

В рамках упомянутого "сквозного" процесса мы взаимодействуем с QA: некоторые практики AppSec проще преподнести через них, когда это и IT/Dev-friendly, и выгодно для ИБ. И по возникающим проблемам характер нашей с ними деятельности имеет много общего.

• Опыт разработки ПО ("+1" за участие в OSS-проектах)

1. Мы не обходимся без автоматизации собственной деятельности своими силами.

2. При участии в разрешении [извечного] конфликта "бизнес-vs.-ИБ" мы часто общаемся с IT/dev-специалистами высокого уровня.

• медицинская страховка с доступом в частные клиники и 100% покрытием расходов, включая стоматологию. Можно застраховать близких родственников на льготных условиях. Для любителей путешествий – страховка в поездках за границу. А еще есть страхование жизни;
• корпоративная мобильная связь и интернет для сотрудников, а для близких – на выгодных условиях;
• компенсация расходов на спорт;
• обучение в Корпоративном университете, у внешних провайдеров, если это полезно для работы, а также доступ к онлайн-библиотеке с полезными книгами и периодикой;
• единая подписка МТС Premium – KION Lite в онлайн-кинотеатре KION, сервис МТС Music, 30 дней бесплатного пользования подпиской OZON Premium;
• предложения от партнёров для путешествий, развлечений и занятий спортом;
• возможность участия в волонтерских программах: мы помогаем детям из детских домов, учим пенсионеров безопасному поведению в интернете, сдаем кровь, очищаем парки от мусора и многое другое;
• удобный формат работы: пятидневная рабочая неделя с пн по пт, а удобное время начала и окончания рабочего дня можно согласовать с руководителем;
• отпуск 28 календарных дней + 3 дополнительных дня за ненормированный рабочий день.