Специалист по анализу защищенности разрабатываемых продуктов ИИ

Группа Компаний Орбита - ведущий разработчик цифровых решений, российская аккредитованная ИТ-компания.

Масштабный технологический проект с глубокой экспертизой в цифровизации бизнеса. Ключевые отрасли: государственный сектор, FinTech, HRTech, коммуникации и медиа, услуги, рынок недвижимости, travel.

Нам доверяют крупнейшие компании РФ, среди них: Т1, ВТБ, Иннотех, Альфа Банк, ОИС и другие.

Более 6 лет мы ведем собственную продуктовую и заказную разработку высокоэффективных цифровых решений.

В связи с расширением команды мы ищем в команду red team moex требуеся специалист по анализу защищенности разрабатываемых продуктов ИИ

Требуемые знания и навыки:

• Опыт работы в сфере кибербезопасности от 2 лет, включая практическое проведение пентестов (Web, Mobile, Network).
• Знание архитектур и моделей ИИ (нейросети, машинное обучение, NLP и т.д.) на уровне понимания уязвимостей (например, prompt injection, adversarial attacks, data poisoning, model inversion и т.д.).
• Владение инструментами: Burp Suite, OWASP ZAP, Metasploit, а также специализированными фреймворками для ИИ-атак (Adversarial Robustness Toolbox, IBM Adversarial Robustness 360)
• Знание основных языков программирования (С, С++, С#, php, Java, JavaScript, Python) на уровне исследования исходного кода. Умение программировать на Python, включая библиотеки: TensorFlow, PyTorch, Scikit-learn, для анализа и взлома моделей, написания эксплойтов под конкретные уязвимости
• Понимание методов защиты ИИ-систем (например, дифференциальная приватность, федеративное обучение) и способов их обхода
• Понимание основных техник и тактик MITRE ATLAS при атаатаке на большие языковые модели (LLM)
• Знание основного инструментария для проведения анализа защищенности и тестирования на проникновение, а также специализированного инструментария для тестирования безопасности больших языковых моделей.
• Продвинутое владение навыками промпт инженерии, с целью написания эксплойтов для ручного тестирования LLM-моделей
• Понимание базовых техник проведения анализа защищенности и тестирования на проникновение.
• Понимание построения векторов атак на целевые системы и формирования поверхности атаки.
• Опыт написания фаззинг-тестов или постановки задач на разработку таких тестов для тестирования безопасности LLM-моделей.
• Понимание принципов построения защиты приложений и WEB-приложений с использование технологий больших языковых моделей, в частности.
• Опыт разработки функциональных и технических заданий на реализацию требований по информационной безопасности.
• Знание ОС Windows и Linux на уровне администратора.
• Понимание сетевых технологий

Задачи:

• Анализ защищённости web приложений и ПО, используемых технологии больших языковых моделей (LLM).
• Анализ защищенности и выявление уязвимостей web ресурсов.
• Моделирование угроз информационной безопасности с учетом контекста информационной системы, используемой технологии больших языковых моделей (LLM).
• Идентификация и анализ выявленных по итогам работ недостатков.
• Детализация требований по устранению уязвимостей и/или внедрению компенсирующих мер.
• Проведение контрольных мероприятий выполнения требований информационной безопасности в рамках процессов управления уязвимостями.
• Участие в разработке автоматизированных тест-контролей требований информационной безопасности относящихся к разработке систем, используемых технологии больших языковых моделей (LLM).
• Подготовка отчетов по итогам проведения работ.
• Взаимодействие с командами ИТ и командами разработки ПО.
• Формирование требований по обеспечению информационной безопасности для разрабатываемых информационных систем

Мы предлагаем:

• Удаленный формат;

• Деньги: Белую ЗП всегда в рынке, оформление ТК РФ;

• Комфортный старт: 3 месяца плавного погружения под присмотром HR;

• Поддержка: ИТ-отсрочку и HR / юридические консультации 24/7;

• Культура: прозрачные процессы и открытую коммуникацию;

• Мощное железо: работу на лучших компах, мы не логируем время, у нас фокус на доверии и результате;

• ДМС: забота о здоровье за счет компании;

• Развитие: индивидуальный план обучения, конференции и митапы, мы помогаем развиваться и строить карьеру;

• Личный бренд: выступления на конференциях, митапах, написание статей;

• Бенефиты: ежеквартальное обновление корпоративных скидок;

• Движ: вечеринки оффлайн и онлайн, мерч, конкурсы и челленджи