Главный эксперт по реагированию на инциденты ИБ (L3) офис Тула, Москва

• Проектирование многоэтапных правил корреляции, в том числе использующих статистические аномалии
• Расследовать инциденты информационной безопасности, фиксировать материалы при расследовании
• Работать с системами информационной безопасности (SIEM, SOAR/IRP)
• Разработка новых сценариев выявления инцидентов в SIEM
• Адаптация сценариев выявления инцидентов в SIEM системе под особенности инфраструктуры заказчика
• Расследование нетиповых инцидентов ИБ, подготовка рекомендаций для заказчиков по инцидентам ИБ
• Взаимодействие с заказчиками по вопросам реагирования на инциденты ИБ

• Автоматизация планов реагирования на инциденты ИБ
• Координация, обучение и консультативная поддержка команды (1,2 линии реагирования)
• Настройка потоков данных между SIEM, TIP и SOAR, разработка правил сопряжения, согласование с заказчиком
• Разработка стратегии обнаружения для различных типов инфраструктур, анализ новых техник атак, и немедленное внедрение логики их обнаружения в SIEM

Требования:
- Опыт релевантной работы от 3-х лет
- Понимание работы SOC (Security Operation Center) и СЗИ (FW, IDS/IPS, AV, СКЗИ от НСД)
- Опыт работы с SIEM, опыт работы в ArcSight (ESM/Logger/SmartConnectors), Саврус или USIEM будет существенным плюсом
- Знание подходов в области мониторинга событий информационной безопасности, реагирования на инциденты информационной безопасности
- Уверенное знание сетевых технологий
- Знание операционных систем Windows/Linux на уровне администратора
- Уверенное знание современных тактик и техник атакующих, основных векторов атак на корпоративные инфраструктуры, способов их обнаружения и противодействия
- Понимание классификации современного вредоносного ПО
- Опыт анализа логов от различных систем
- Понимание основных тактик и техник злоумышленников, знание и применение матрицы Mitre ATT&CK, понимание KillChain
- Понимание сетевой модели OSI, стека TCP/IP, сетевых протоколов HTTP/HTTPS, DNS, DHCP, ARP и т.п.
- Проактивный поиск скрытых угроз («бесшумных» атак), которые не детектируются стандартными правилами
- Использование статистических методов и гипотез на основе данных из Logger/Investigate
- Reverse Engineering & Malware Analysis: Навыки базового анализа вредоносного ПО (динамический и статический анализ) для извлечения индикаторов компрометации (IoC).
- DFIR (Digital Forensics & Incident Response): Глубокие знания криминалистики
- поиск следов взлома в дампах памяти, реестре и теневых копиях.
- Свободное владение Python/SQL для обработки больших массивов данных и создания сложных скриптов реагирования.

- Опыт работы от 3 лет
- Полная занятость, частичная занятость
- Рабочие часы: 4, 6, 8 или 12, график работы обсуждается (2/2, 5/2)
- Формат работы: на месте работодателя (Тула, Москва), гибрид, удаленно

Пишите, всё обсудим и предоставим более подробную информацию.

Фомина Марина - HR "Амбрелла - Защита Информационных Систем".

Всегда рады новым талантам и новым успехам наших сотрудников!