Ведущий инженер по тестированию на проникновение (purple team pentest)

Мы, команда информационной безопасности в BIOCAD, активно развиваемся и повышаем эффективность информационной безопасности. Мы постоянно ставим перед собой новые цели и достигаем их с использованием новейших инструментов и экспертизы наших коллег.

Ищем профессионала в области информационной безопасности, который готов решать сложные задачи и эффективно защищать нашу инфраструктуру. Если ты хочешь развиваться, работать в активной и динамичной среде, а также вносить ощутимый вклад в безопасность, мы будем рады пригласить тебя в нашу команду!

Тебе предстоит

• Проведение комплексных технических аудитов информационных систем;
• Выявление уязвимостей и разработка рекомендаций по их устранению;
• Проведение тестирования на проникновение (веб, инфраструктура, мобильные приложения);
• Администрирование сканеров безопасности;
• Проведение анализа защищенности сети;
• Проверка конфигураций серверов и устройств;
• Выявление возможных каналов утечки и несанкционированного доступа к ресурсам Компании;
• Выявление фактов несанкционированного доступа к защищаемой информации;
• Участие в проведении служебных расследований;
• Разработка требований к создаваемым информационным системам;
• Разработка документации по направлению деятельности;
• Повышение осведомленности работников;
• Подбор, установка и настройка средств защиты информации;
• Техническое сопровождение средств защиты информации;
• Анализ защищенности мобильных приложений.

• Опыт работы в информационной безопасности;
• Опыт участия в CTF;
• Знание типовых угроз и уязвимостей веб-приложений, перечисленных в OWASP Top 10;
• Понимание принципов атак (web, сетевых и прочих);
• Опыт тестирования на проникновение;
• Знание принципов построения сетей, стека сетевых протоколов TCP/IP;
• Знание инструментария (Burp Suite, SQLMap, OpenVAS, Metasploit Framework, NMAP);
• Опыт работы с основными инструментами для ручного и автоматизированного анализа уязвимостей;
• Опыт написания скриптов для автоматизации процессов;
• Умение чтения кода на языках: PHP, Node.js Java, .NET, Python;
• Опыт веб-разработки, понимания настроек безопасности веб приложений;
• Умение грамотно и четко выражать мысли;
• Умение писать тех. документацию, инструкции для пользователей;
• Английский на уровне чтения технической документации.

Будет плюсом

• Опыт внедрения/администрирования средств защиты информации;
• Наличие профильных сертификатов по ИБ (OSCP, CEH);
• Опыт работы с популярными СУБД;
• Опыт работы с Azure, Docker, K8s и опыт анализа защищенности этих систем;
• Участие в программах BugBounty;
• Наличие собственных разработок и исследований, опубликованных данных об обнаруженных уязвимостях.

• Достойный уровень оплаты труда, годовое премирование, официальное оформление по ТК РФ;
• Комфортные условия: можно работать удаленно или в современном стильном офисе БЦ "Пассаж" у м. Гостиный двор в Санкт-Петербурге или в БЦ "Северная башня" в Москве, сокращенный рабочий день в пятницу;
• Экспертная команда, возможность самостоятельного построения процессов и глубокого погружения в бизнес, высокий темп работы и возможность применять современные технологии и инструменты;
• Забота о сотрудниках: ДМС со стоматологией после испытательного срока, внутренняя программа поддержки здоровья и благополучия сотрудников B-WELL, программы помощи сотрудникам в трудных жизненных ситуациях; программа корпоративных скидок PrimeZone (спорт, отдых, рестораны, обучение и не только);
• Широкий спектр для обучения и развития: у нас есть внутренний корпоративный университет, корпоративная онлайн-библиотека Alpina Digital, внешние обучения и конференции, возможность обучения английскому языку в формате софинансирования; возможность участия в волонтерских программах;
• Работа в инновационной биотехнологической компании полного цикла (входит в ТОП-3 в списке «20 лучших фармкомпаний России» по версии Forbes), результаты работы которой спасают жизни людей.