Эксперт по анализу защищенности/Пентестер

Сегодня Билайн — компания изменений, чутко реагирующая на потребности рынка и людей. А ещё Билайн — это команда, объединённая общими ценностями и общей целью — быть лидером телеком и digital рынков, предоставляя нашим клиентам новейшие продукты и услуги, а также сервис самого высокого уровня.

Сейчас у вас есть возможность присоединиться к лучшей команде в качестве Эксперта по анализу защищенности!

Итак, вам предстоит:

• Проведение пентестов:

- Тестирование Веб-приложений, REST API, мобильных приложений, client-side и server-side;

- Тестирование внешнего периметра;

- Тестирование облачных решений и сред исполнения (k8s, openshift, openstack);

• Сканирование и анализ:

- Сканирование инструментами динамического анализа (DAST);

- Поиск уязвимостей с помощью автоматизированных сканеров и ручной доработкой результатов;

- Анализ сетевых топологий и базовых ошибок конфигурации;

• Ручная эксплуатация:

- Использование типовых техник эксплуатации уязвимостей (OWASP Top 10);

- При необходимости — написание простых PoC-эксплойтов;

- Анализ исходного кода приложений, поиск векторов эксплуатации методом "белого ящика" (в т.ч с использованием автоматизированных сканеров);

• Автоматизация

- написание вспомогательных скриптов и утилит;

- работа с CI/CD, докер образами;

• Отчетность:

- Подготовка технических отчетов о результатах тестирования;

- Ведение документации по методам и кейсам тестирования;

- Формулирование рекомендаций по устранению уязвимостей для ИТ и ИБ-команд;

• Командное взаимодействие:

- Совместное участие в проектах по тестированию;

- Совместная работа с разработчиками и инженерами для внедрения практик secure-by-design;

- Совместная работа с командами SOC и Red Team;

• Расширение компетенций:

- Отслеживание новых CVE, техник атак и инструментов;
- Анализ новых уязвимостей, написание Proof-of-Concept;

- Участие во внутренних обучениях, конференциях или митапах.

Мы будем рады рассмотреть вашу кандидатуру, если у вас есть:

• Опыт от 3-х - 4-х лет в сфере информационной безопасности, включая практический опыт проведения пентестов Веб-приложений - как обязательное условие;
• Уверенные знания в области сетевых технологий: TCP/IP, DNS, HTTP/S, протоколы аутентификации (LDAP, Kerberos, OAuth2);
• Опыт тестирования веб-приложений, API, мобильных приложений, внешнего периметра, облачных решений;
• Владение инструментами: Burp Suite, Nmap, Metasploit, SQLmap, Dirbuster, утилиты ProjectDiscovery;
• Знание методологий: OWASP Top 10, MITRE ATT&CK, PTES;
• Навыки написания скриптов для автоматизации задач или создания новых инструментов;
• Способность составлять технические отчеты и рекомендации по устранению уязвимостей.

Будет преимуществом:

• Участие в Bug Bounty-программах, CTF, собственные проекты или репозиторий с утилитами;
• Понимание микросервисных архитектур, опыт работы с k8s/Openshift;
• Знание азов AD-атаки (Kerberoasting, Pass-the-Hash и пр.);
• Знакомство с Red Team практиками (C2-фреймворки, OPSEC);
• Знакомство с OSINT техниками и инструментами;
• Сертификаты уровня OSWE, BSCP, eJPT, CEH, CRTP — плюс, но не обязательны;
• Базовое понимание требований российского законодательства в области ИБ.

Что мы предлагаем:

• Сплоченную команду профессионалов, в которой можно не только успешно реализовывать проекты, но и перенимать опыт и развиваться.
• Обучение, участие в интересных проектах и расширение профессиональной экспертизы: мы участвуем в конференциях, митапах, публикуемся на Хабр и т.д.
• Конструктивную и открытую рабочую атмосферу.
• Полис добровольного медицинского страхования, обслуживаемый в лучших клиниках, а также чек-ап для сотрудников 40+.
• Страхование жизни, страхование от несчастных случаев и критических заболеваний, страхование выезжающих за рубеж.
• Материальную помощь.
• Детские подарки.
• Доплату по листу нетрудоспособности
• Корпоративные скидки на товары и услуги от партнеров компании.
• Служебную сотовую связь.
• Кафетерий льгот — возможность самостоятельно выбрать дополнительные корпоративные льготы и бонусы (спорт, здоровье, обучение, путешествия, транспорт и др.). Доступно после испытательного срока.