Ведущий инженер по тестированию на проникновение (инфраструктура)

BI.ZONE создает IT-продукты для обеспечения кибербезопасности: от мобильных приложений до сложных платформ, в основе которых лежат методы машинного обучения. Благодаря нашим решениям жизнь десятков миллионов людей становится лучше и безопаснее.

На данный момент мы ищем опытного инфраструктурного тестировщика на проникновение!

Чем предстоит заниматься:

• Проведением внешних тестирований на проникновение корпоративной инфраструктуры, сервисов и сетевых периметров с моделированием действий реального злоумышленника

• Исследованием защищенности сетевой инфраструктуры, включая конфигурации сетевых сервисов, средств удаленного доступа, сегментацию сети, межсетевые экраны и системы обнаружения атак

• Проведением внутренних тестирований на проникновение с эмуляцией действий внутреннего нарушителя, включая исследование доверенных зон, повышение привилегий, перемещение между сегментами сети и обход средств защиты

• Участием в командных операциях по моделированию атак с многоэтапными сценариями, использованием техник скрытого присутствия, обходом средств мониторинга и проверкой устойчивости процессов реагирования

• Применением актуальных техник и тактик атак для оценки устойчивости инфраструктуры и процессов обеспечения информационной безопасности

• Исследованием уязвимостей операционных систем, сервисов, сетевых протоколов и прикладных компонентов инфраструктуры

• Анализом конфигурационных ошибок и архитектурных решений, влияющих на общий уровень защищенности инфраструктуры

• Разработкой и адаптацией инструментов, средств эксплуатации и вспомогательных скриптов для повышения эффективности и автоматизации этапов тестирований

• Подготовкой детализированных технических отчетов с описанием цепочек атак, полученных уровней доступа, доказательств эксплуатации и рекомендаций по повышению защищенности

• Взаимодействием с командами информационной безопасности и инфраструктуры при разборе выявленных рисков и выработке корректирующих мер

• Участием в развитии внутренних подходов к проведению инфраструктурных тестирований на проникновение и командных атак

• При наличии интереса участием в анализе защищенности веб и мобильных приложений в рамках комплексных проверок и комбинированных сценариев атак

Что для нас важно:

• Опыт проведения пентестов от 3х лет
• Отличное знание уязвимостей инфраструктуры включая AD и Linux инфраструктуру
• Отличное знание сетевых технологий
• Знание уязвимостей приложений, включая OWASP Top-10 (но не ограничиваясь)
• Умение читать исходный код минимум на одном языке из набора: Java, PHP, Golang, C#, Ruby, Python
• Понимание основных методологий анализа защищенности /или тестирования на проникновение
• Умение автоматизировать задачи с помощью какого-либо скриптового языка программирования

Что нам также важно, но можем рассмотреть кандидатов и без этого:

• Наличие сертификаций в области offensive security
• Наличие баг в CVE или БДУ
• Выступления на профильных конференциях

Мы предлагаем: