Аналитик информационной безопасности в VK ID

Инфобезопасность — всё, что помогает нам защищать пользователей, продукты и серверы. А ещё это непрерывное взаимодействие с командами, которые разрабатывают и поддерживают наши проекты.

У нас крупнейшая среди российских компаний программа Bug Bounty. Также мы проводим митапы по безопасности и берём в команду инфобеза только классных специалистов.

Задачи

• Моделировать угрозы, формировать требования и рекомендации по устранению уязвимостей инфобезопасности — приоритет у Application Security
• Проводить аудиты безопасности сервисов
• Исследовать код с точки зрения ИБ и выявлять недостатки (Secure Code Review)
• Консультировать разработчиков и контролировать устранение уязвимостей

Требования

• Вы представляете себе вектор атаки на интернет-сервисы — их клиентскую и серверную сторону
• Знаете, как устранять дефекты и причины их появления, можете планировать необходимые работы
• Работали в команде и со смежными направлениями IT
• Работали с микросервисной архитектурой и знаете, как обеспечить безопасность в продуктах на её основе
• Анализировали защищённость веб-приложений, в том числе fuzzing — Black Box, White Box, Grey Box
• Понимаете концепцию DevSecOps и циклы SSDLC
• Читаете код хотя бы на одном языке программирования, в идеале — Go или C
• Знаете Bash, Python или другие средства скриптовой автоматизации

Будет плюсом

• Знаете векторы атак на мобильные приложения Android и iOS, а также необходимые способы защиты
• Понимаете, как злоумышленники атакуют цепочки поставки (Supply Chain) и как этому противодействовать
• Проектировали защиту пользователей — управление аккаунтом, уведомления безопасности, защиту от фишинга
• Находили уязвимости как участник программ Bug Bounty или регистрировали CVE
• Участвовали в соревнованиях по инфобезопасности (CTF)
• Выступали на профильных конференциях, публиковали статьи по темам ИБ
• Имеете профильные сертификаты — OSCP, OSWE