Dfirma Expert

Привет! Мы международная iGaming компания, работающая на всех континентах. Наша миссия — создавать инновационные решения и дарить игрокам яркие впечатления. Мы объединяем профессионалов со всего мира, чтобы двигать индустрию вперед.

На текущий момент мы ищем сильного эксперта в области Digital Forensics, Incident Response и Malware Analysis, который умеет уверенно вести расследования, разбирать сложные инциденты, восстанавливать полную картину событий и детально анализировать вредоносный код. Ты станешь ключевым (в перспективе главным) игроком в реагировании на инциденты безопасности, проведении пост-инцидентного анализа и создании надёжной системы защиты.

Твои обязанности будут включать:

1. Расследование инцидентов любой сложности:

• Вести технические и аналитические расследования: от единичных заражений рабочих станций до сложных, многоступенчатых атак с участием APT-групп, криптовалютных схем, инсайдеров и фрода.
• Проводить full-scope экспертизу по инцидентам, связанным с:
  — компрометацией AD / IDP;
  — взломами сетевой и облачной инфраструктуры;
  — утечками конфиденциальных данных, финансовым мошенничеством, целевыми атаками на сотрудников (HR, финансы, менеджмент, инженерный персонал);
  — инсайдерской активностью, включая координированные и скрытые действия;
  — атаками на DevOps, CI/CD-пайплайны, контейнерную инфраструктуру.
• Разрабатывать и применять адаптивные методики реагирования под инциденты нестандартного или мультидисциплинарного характера.

2. Применение методик DFIR и криминалистики:

• Собирать, сохранять и анализировать цифровые артефакты: образы дисков, дампы оперативной памяти, сетевой трафик, системные и приложенческие журналы, артефакты ОС и пользовательской активности.
• Проводить глубинный анализ вредоносного ПО:
  — статический (дизассемблирование, изучение структуры и функций);
  — динамический (sandbox, трассировка поведения, эмуляция);
  — поведенческий (анализ цепочек активности, взаимодействия с ОС/сетями).
• Коррелировать данные из разрозненных источников (логи, трафик, артефакты, сигнатуры, IOC/TTP), восстанавливать хронологию событий, строить и проверять гипотезы.
• Применять поведенческий, статистический и сигнатурный анализ для выявления аномалий, скрытых техник атак, lateral movement и persistence.

3. Аналитика, документация и сопровождение:

• Подготавливать официальные отчёты по инцидентам: внутренние аналитические, внешние регуляторные, юридические заключения при необходимости.
• Формировать материалы для внутренних расследований, в том числе — для последующего взаимодействия с правоохранительными и надзорными органами.
• Вести коммуникацию и совместную работу с ключевыми функциями: Legal, HR, FinCrime, CISO, DevOps, Red Team, SOC и другими вовлечёнными сторонами — от этапа triage до финального закрытия кейса.

4. Развитие процессов и наставничество:

• Разрабатывать, актуализировать и внедрять плейбуки реагирования (IR playbooks) для различных классов угроз — от массовых инцидентов до точечных атак.
• Повышать зрелость процессов DFIR, включая стандартизацию, автоматизацию и интеграцию с другими элементами системы кибербезопасности.
• Наставлять менее опытных коллег: делиться экспертизой, проводить тренировки, участвовать в симуляциях, развивать культуру анализа и расследований внутри команды.

5. Рутинные задачи и активная работа вне инцидентов:

• Threat Hunting:
  • Проактивный поиск признаков атак и аномалий в инфраструктуре до того, как инциденты станут явными;
  • Анализ логов, сетевого трафика и данных с EDR/ SIEM для выявления подозрительных паттернов.

• Анализ и исследование новых угроз и вредоносного ПО:

  • Тестирование и анализ новых техник атак, TTPs APT-групп.

• Разработка и обновление плейбуков реагирования (IR playbooks):

  • Создание сценариев и инструкций для быстрой и правильной реакции на разнообразные угрозы;
  • Оптимизация и адаптация процессов реагирования под новые типы инцидентов.

• Автоматизация и написание скриптов:

  • Автоматизация рутинных задач расследования и сбора артефактов;
  • Разработка инструментов для ускорения анализа и корреляции данных.

• Обучение и развитие команды:

  • Проведение тренингов и разбор / участие в симуляции инцидентов (red team vs blue team упражнения);
  • Наставничество и передача опыта младшим аналитикам.

• Отчётность и улучшение процессов:

  • Анализ прошедших инцидентов для выявления ошибок и пробелов в защите;
  • Внедрение улучшений в политику безопасности и процессы DFIR.

• Ведение и развитие метрик и KPI команды DFIR:

  • Анализ эффективности реагирования и расследований;
  • Поиск узких мест и предложение решений по улучшению.

Ты - наш кандидат, если есть:

1. Технический и аналитический бэкграунд:

• Уверенный опыт в Digital Forensics (Windows, Linux, macOS, mobile);
• Навыки анализа артефактов: Event Logs, $MFT, Registry, Prefetch, Shimcache, Jump Lists и др;
• Знание и практическое применение техник Malware Analysis:
  — unpacking, sandboxing, behavioral analysis,
  — статический и динамический RE (IDA Pro, Ghidra, x64dbg и пр.).
• Понимание TTPs и техник APT-групп, работа с фреймворком MITRE ATT&CK;
• Опыт использования SIEM, EDR, NDR, DLP-систем;
• Владение скриптовыми языками: Python, PowerShell или аналогичными — для автоматизации расследований;
• Знание и опыт применения инструментов: Volatility, Autopsy, YARA, Suricata, Wireshark, и др.

2. Глубокая экспертиза в расследованиях и анализе угроз:

• Опыт проведения полного цикла расследования инцидентов: от точки входа до идентификации ущерба;
• Участие в расследованиях компрометаций AD, lateral movement, persistence;
• Навыки Threat Hunting и корреляции событий, опыт работы в Red Team / Pentest (а также с результатами работы данных команд);
• Понимание атак на облачную инфраструктуру: AWS, Azure, GCP, CI/CD;
• Умение разбирать инциденты за пределами MITRE — нестандартные, мультидисциплинарные кейсы;
• Опыт с инструментами криминалистики: Magnet AXIOM, FTK, Arsenal, X-Ways, Redline, KAPE и др.

3. Углублённая экспертиза в сложных типах инцидентов:

• Знание блокчейн-экосистем: Bitcoin, Ethereum, mixing-сервисы, dApps, NFT, опыт deanonymization;
• Навыки осмысления и визуализации связей: IP, криптокошельки, устройства, аккаунты, домены, трафик, деньги;
• Понимание технических и поведенческих шаблонов инсайдеров, в т.ч. способов обхода SIEM/DLP;
• Знание регуляторных и юридических требований при расследовании ИБ-инцидентов, включая взаимодействие с Legal/Compliance;
• Знание специфики атак на DevOps-инфраструктуру, CI/CD, GitOps;
• Расследования инцидентов с участием мобильных устройств, мессенджеров, VoIP.

4. Образование и сертификации:

• Высшее техническое образование;
• Сертификации: GCFA, GCFE, GREM, OSCP, CHFI, EnCE, и пр.

Мы предлагаем:

• Формат работы на выбор: офис в Москве, либо полностью удаленно;
• Гибкий график работы (пн-пт с 10/11 до 19/20 по Мск);
• Отличный тимлид, который адаптирует и погрузит во все процессы;
• Веселые корпоративы и хобби от компании;
• Дружный и амбициозный интернациональный коллектив;
• Оформление в штат компании, выдача техники, соблюдение ТК, стабильная заработная плата;
• Оклад обсуждаем, предлагаем от ожиданий и уровня навыков и опыта.