Аналитик сетевой безопасности

Чем предстоит заниматься:

• анализ сетевого трафика и выявление маркеров вредоносного и легитимного программного обеспечения;
• разработка сигнатур, политик обнаружения сетевых атак для существующих продуктов компании;
• работа с существующей базой сигнатур и политик обнаружения сетевых атак;
• разработка дополнительных компонентов для обнаружения вредоносной сетевой активности: виджеты, дашборды, интеграции с другими СЗИ, цепочки сработок и т.д.
• подготовка паттернов и примеров в виде образцов сетевого трафика, образцов вредоносной нагрузки, команд/инструментов/скриптов генерации сетевого трафика, для тестирования и демонстрации работы сигнатур и политик;
• разработка рекомендаций и лучших практик по внедрению и эксплуатации разрабатываемых сигнатур, политик и других компонентов;
• экспертная поддержка команды разработки, оформление пожеланий и необходимых доработок для продуктов сетевой безопасности компании.

Наши ожидания от кандидата:

• опыт работы с инструментами анализа сетевого трафика: Wireshark, NetworkMiner, tcpdump, tcprewrite, EtherApe и аналогичных;
• опыт работы с современными СЗИ, в первую очередь IPS/IDS, включая опыт создания сигнатур (snort/suricata, etc.);
• знание основ работы компьютерных сетей (TCP/IP, модели OSI, основные протоколы);
• анализ угроз ИБ, навыки обнаружения и защиты от сетевых атак;
• Linux, Windows на уровне уверенного пользователя (в т.ч. командная строка).

Будет плюсом:

• опыт работы с решениями класса NTA/NDR;
• умение автоматизировать собственную работу, знание какого-либо скриптового языка (Python, JS, Bash, Powershell, etc.);
• расследование инцидентов ИБ;
• threathunting;
• разработка технической документации: описание сигнатур, инструкций, быстрых стартов и сценариев использования продуктов;
• понимание, как работают угрозы из OWASP Top 10, CWE Top 25;
• знакомство с матрицей MITRE.