Cпециалист по безопасности приложений

Привет! Мы - отдел внутренней информационной безопасности и мы ищем таланта, который ценит и знает толк в практической безопасности.

Наша главная цель - делать растущий бизнес защищенным. Мы вкладываемся в осведомленность сотрудников, защиту внутренней и публичной инфры, мониторинг доступов и аномалий и развиваем собственные сервисы в команде.

Основные задачи

• Проводить анализ защищенности приложений и сервисов, как внутренних, так и внешних.

• Взаимодействовать с техническими командами для разбора и устранения уязвимостей, консультаций по архитектуре проектов и т.п.

• Формировать правила и рекомендаций для безопасности и безопасной разработки систем, контролировать их актуальность и соблюдение.

• Развивать направления учета, соответствия требованиям и управления уязвимостями систем.

• Участвовать в смежных проектах команды.

• Опыт работы в сфере от 3 лет

• Понимание принципов разработки безопасных веб-приложений и методов безопасной разработки.

• Понимание как работают современные веб-приложения (REST, SOAP, SOP, CORS, HSTS, CSP, OAuth2 и др.)

• Понимание методов защиты уровня ОС (Windows, Linux), систем виртуализации и контейнеризации

• Знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP TOP 10, MITRE ATT&CK, CWE, SQLi, XSS, CSRF, Command injection и т.д.)

• Недюжинный опыт проведения анализа защищенности веб-приложений (black/gray/white box), умение эксплуатировать и исправлять найденные уязвимости (в т.ч. на архитектурном уровне) и опыт использования основных утилит: nmap, metasploit, burp suite, owasp zap и т.д.

• Способности к проведению security code review

• Навыки тайм и таск-менеджмента, чувства долга и ответственности

• Желание помочь коллегам сделать их сервисы лучше

+100 к резюме

• Навыки автоматизации на python/bash (python / bash / powershell) или полноценный опыт разработки приложений

• Опыт аудита безопасности доменной инфраструктуры MS, docker, docker-compose, k8s

• Опыт работы с инструментами безопасной разработки (SAST / DAST) в конвейере CI/CD, системами защиты WAF и SIEM

• Навыки реагирования и расследования инцидентов

• Любовь и опыт в CTF

Про условия

• Оформление в официально аккредитованную IT-компанию

• Белая заработная плата

• Годовая премия по результатам работы до 15% от суммарного оклада за 12 месяцев

• 30 000 бонусных рублей на услуги компании ежегодно

• Релокационный бонус при переезде

• Бесплатные обеды и кофе-брейки

• Гибкое начало рабочего дня (до 12:00)

• Современный офис в 10 минутах пешком от м. Московские ворота и своя парковка (и для велосипедов тоже)