Центр информационной безопасности компании «Инфосистемы Джет» – это профессиональное сообщество специалистов в области ИБ. Мы защищаем бизнес наших заказчиков от киберугроз:

28 лет работы на рынке ИБ
ТОП-3 ИБ-интеграторов по версии CNews Analytics
500+ ИБ-экспертов с отраслевым опытом
Собственная ежегодная конференция ИБ – Jet Security Conference
Онлайн-конференция CyberCamp с киберучениями

В команду департамента консалтинга мы ищем Эксперта по тестированию на проникновение (pentest).

В задачи будет входить:

Проведение разнообразных видов анализа защищенности
- внешние и внутренние тестирования на проникновение;
- анализ защищенности WiFi;
- тестирования методом социальной инженерии;
- проведение нагрузочного (DDOS) тестирования;
- проведение RedTeam работ;
Подготовка рекомендаций по повышению уровня защищенности инфраструктуры Заказчиков.
Координирование деятельности проектной команды.

Осуществление менторства над менее опытными коллегами.
Участие в пресейловых встречах.
Разработка отчетов и проведения презентаций по результатам проекта.
Собственное развитие и развитие компетенций отдела в области ИБ (участие в исследовательской деятельности).

Требования:

Опыт работы от трех лет в качестве пентестера.
Опыт проведения практического анализа защищенности, как минимум в трех из направлений (внутренний, веб, мобильный, АСУ ТП, анализ исходного кода, социальная инженерия), в команде от 3 человек
Высшее образование ИБ/ИТ.
Знание законодательных документов в области ИБ, включая документы, связанные с практическим анализом защищенности.
Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, PCI DSS);
Умение читать и анализировать исходный код на распространенных языках программирования (Python, bash, C, Powershell, PHP), опыт аудита исходного кода на безопасность.
Опыт администрирования *nix и Windows-систем, web-серверов.
Знание принципов построения корпоративной сети, включая Active Directory и атаки на них.
Знание принципов работы беспроводных технологий и атаки на них.
Уверенное понимание принципов сетевой безопасности, безопасности ОС и СУБД.
Уверенное понимание принципов работы различных классов средств защиты информации (802.1x, AV, DLP, SIEM, WAF, IDS/IPS, EDR, NAC, NAD, PAM, UEBA, IRP/SOAR, Deception Tool, BAS).
Углубленное знание сетевых протоколов (TCP/IP), а также уязвимостей и атак на сетевые протоколы (arp-spoofing, ntlm-relay, slaac attack и тп.)
Углубленное знание работы веб-протоколов и технологий (http, https, soap, ajax, json, rest, hsts и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей;
Понимание принципов и основных техник социальной инженерии;
Знание техник обхода средств защиты (bypass AntiVirus и тп);
Знание техник пост-эксплуатации, pivoting и закрепления на windows и *nix-системах;
Понимание принципов RedTeam;
Уверенное владение распространёнными программами и фреймворками для проведения тестирования (Burp Suite \ Fiddler, ZAP Proxy, Metasploit, PowerSploit, Nessus\Nexpouse, BloodHound, Cobalt, impacket, responder, mimikatz)
Уверенная работа с эксплойтами, их модификация и выполнение

Как преимущество:

Опыт проведения аудитов ИБ.

Опыт эксплуатации бинарных уязвимостей, опыт анализа вредоносного кода.
Участие в профессиональных соревнованиях (CTF, hackathon).
Участие в программах Bug Bounty.

Наличие своих CVE
наличие, как минимум одного сертификата, связанного с практическим анализом защищенности (CEH, OSCP, OSCE и тп)
Знание технологий виртуализации Docker, Kubernetes, ESXi

Условия:

Офис в пешей доступности от м. Савеловская, возможен гибридный формат работы
График работы 5/2 с 10.00 до 18.30
Работу в команде крутейших экспертов по информационной безопасности
Профессиональное обучение и сертификации за счёт компании
Оформление по ТК РФ
Заработную плату по результатам собеседования + премии по итогам работы
Социальный пакет предполагает выбор между ДМС, изучением иностранных языков и абонементом в фитнес-центр
Буфеты на территории компании, бесплатные завтраки для тех, кто любит приехать в офис пораньше

Эксперт по тестированию на проникновение/pentest (инфраструктура)