Инженер по безопасности приложений \ Application Security Engineer

emcd. — одна из крупнейших компаний-разработчиков программного обеспечения для добычи и оборота цифровых активов. В рамках нашей экосистемы функционирует выгодный и стабильный майнинг-пул, который входит в ТОП-10 в мире по добыче Bitcoin. Помимо пула, в emcd. есть и другие сервисы, обеспечивающие пользователям быстрые и безопасные транзакции, а также полный контроль над их активами.

Наш главный секрет успеха - это неравнодушие наших сотрудников к продукту. Мы знаем, что результатов достигает только тот, кто искренне любит свою работу, поэтому ценим специалистов, увлеченных делом. Продолжая увеличивать наш штат и следуя тенденциям рынка, мы ищем Инженера по безопасности приложений (Application Security Engineer).

Обязанности:

• Сотрудничество с командами: Взаимодействие с командами разработки, DevOps и другими по вопросам информационной безопасности;

• Архитектурные ревью: Проведение архитектурных ревью и формирование требований безопасности к новым фичам на этапах проектирования и тестирования;

• Создание и обновление документации: Разработка и актуализация политик, стандартов и процедур, связанных с безопасной разработкой;

• Оценка рисков: Оценка рисков и разработка методов их митигации, связанных с инфраструктурой приложения;

• Исследование и совершенствование новых методов выявления угроз информационной безопасности в криптоиндустрии, а также определение способов борьбы с ними;

• Обзор современных подходов к обеспечению безопасности приложений, работающих с крипто-активами;

• Проектирование решений по направлению DevSecOps, онбординг и настройка AppSec инструментов (DAST, SAST);

• Участие в процессах Patch и Vulnerability Management, оценка уязвимостей в инфраструктуре и приложениях;

• Разработка и внедрение практик безопасности для проектирования API.

Требования:

• Профильное высшее образование;

• Опыт работы в Application Security — от 2 лет;

• Знание Junior/Middle уровня Bash, Python, Go (умение читать код и выявлять ошибки);

• Понимание техник эксплуатации уязвимостей и методов защиты приложений;

• Знание и применение стандартов и практик информационной безопасности, таких как NIST, MITRE, ISO 27k, PCI-DSS и других;

• Понимание принципов обеспечения безопасности инструментов контейнеризации, оркестрации (Docker, K8s);

• Опыт работы с инструментами SAST, DAST, SIEM, WAF, Anti-DDoS, Vulnerability Management;

• Знание лучших практик и фреймворков AppSec (OWASP ASVS, OWASP TOP 10, OWASP SAMM, Microsoft SDL);

• Знание английского языка на техническом уровне от B2 и выше (понимание технической документации и коммуникация с международными стандартами);

• Понимание работы Blockchain и связанным с ним технологий. Хорошие знания в криптографии;

• Знание архитектуры корпоративных информационных систем: криптографии и концептов ИБ — эшелонированная защита, 2FA/MFA, Zero Trust, Resiliency, Isolation, Principle of Least Privilege.

Будет плюсом:

• Опыт тестирования API;

• Понимание циклов SSDLC, DevSecOps;

• Наличие профильных сертификатов (BSCP, OSWE, OSCP);

• Наличие активного профиля на обучающих площадках по информационной безопасности (e.g. HackTheBox);

• Опыт участия в соревнованиях по информационной безопасности (CTF).

Условия:

• Полностью удаленная работа из любой точки мира (дом/офис);
• Достаточно гибкий график работы, который мы согласуем с Вами;
• Заработная плата в удобном формате;
• Работа в крупном майнинг пуле, и обучение всем азам нашей сферы деятельности