Пентестер в RedTeam команду

Мы — разработчик облачного сканера для поиска уязвимостей "Метаскан". Это сканирующее облако из >100 серверов, использующих 28 различных инструментов (amass, zap, nuclei, dirsearch, NSE, hydra, patator, etc) для поиска уязвимостей. Мы участвуем в разработке известных инструментов с открытым исходным кодом и публикуем эксплойты и инструменты для поиска уязвимостей.

Среди наших клиентов Сбербанк, ВТБ, Альфабанк, Ростелеком, Wildberries, DNS, СПБ Биржа. Все компании, с которыми вам предстоит работать, представляют большой простор для реализации навыков и творческого подхода в пентесте.

Как член RedTeam команды вы будете контролировать защищенность внешних периметров команий. Вам будут доступны любые инструменты на ваше усмотрение и Метаскан как плаформа уже реализующая 29 движков для поиска уязвимостей. Кроме поиска уязвимостей мы помогаем ИБ-командам разобраться в эксплуатации и способах устранения.  Для клиентов проводим еженедельные планёрки по ИБ, на которых разбираем изменения сетевой инфраструктуры, прикладные вектора атак и помогаем сформировать план устранения уязвимостей.

Задачи

• Обнаруживать уязвимости в сетевом периметре клиентов с помощью Метаскан и инструментов на ваше усмотрение;
• Тестировать выходящие эксплойты и инструменты поиска уязвимостей;
• Анализировать обнаруженные уязвимости и проводить их эксплуатацию;
• Проводить встречи с ИБ-отделами клиентов;
• Управлять критичностью уязвимостей и выявлять ложные срабатывания;
• Помогать клиентам при эксплуатации, диагностировать и устранять проблемы при сканировании.

• Понимание Linux на уровне уверенного использования (bash, systemd, iptables);
• Понимание сетевых технологий (Модель OSI, понимание принципов IP маршрутизации, понимание принципов работы прикладных протоколов (DNS, HTTP и д.р.);
• Понимание эксплуатации и умение рассказать про уязвимости из OWASP TOP 10;
• Английский язык B1.

Преимуществом будет

• Опыт проведения тестирований на проникновение или работы с результатами таких тестов;
• Опыт реализации проектов по внедрению систем защиты (NGFW, IPS, WAF, DPI);
• Опыт работы со сканерами уязвимостей Qualys, Acunetix, Nessus, Invicti, MaxPatrol или другими;
• Опыт программирования на Python \ Javascript \ C++ \ Go;
• Опыт работы с BurpSuite или ZAP;
• Опыт работы администратором Linux или администратором сетевого оборудования;
• Умение работать с продуктовыми гипотезами, понимание циклов HADI, процесса Customer Development, опыт проведения проблемных интервью.

• График работы с 10 до 19 по Москве, полная удалёнка;
  
• Дополнительные оплачиваемые дни отдыха в году;
• Обучение на курсах по Linux | Сетям | ИБ, за счет организации;
• Компенсация занятий спортом, обучения английскому языку, работы с психологом.