Senior специалист по информационной безопасности (IT Security)

Senior специалист по информационной безопасности

(IT Security)

FreedomAuto - AI-powered микросервисная экосистема по продаже автозапчастей (VIN, каталоги, логистика, real-time).

Платформа включает:

• 15+ микросервисов
• публичные API
• web + mobile клиенты
• интеграции с внешними партнёрами
• AI-модули

Мы строим систему, где безопасность - часть архитектуры, а не “надстройка после”.

Кого мы ищем

Практического инженера по информационной безопасности, который:

• умеет ломать системы в голове и руками
• находит и устраняет уязвимости на уровне конфигураций, инфраструктуры и процессов
• не ограничивается аудитами и отчётами

Это роль AppSec + DevSecOps + Security Testing (QA mindset)

Критичные аспекты безопасности проекта

• Персональные данные клиентов
• Интеграции с внешними API (каталоги, логистика)
• AI-first платформа
• Высокая нагрузка и требования к отказоустойчивости

Роль и зона ответственности

Вы отвечаете за реальный уровень безопасности, а не формальные регламенты:

• приложения
• инфраструктура
• сети
• процессы

Формат: Senior hands-on → рост до Lead / Head of Security

Чем предстоит заниматься

Архитектура безопасности

• Проектирование security-архитектуры системы
• Threat modeling (на уровне сервисов и продукта)
• Security review новых сервисов и интеграций

Безопасность API и микросервисов

• Аутентификация / авторизация
• JWT / OAuth2 / роли / доступы
• Защита REST API
• Контроль API abuse (rate limit, replay, brute force и др.)

Инфраструктурная безопасность

• Network security (VPN, firewall, сегментация)
• Secrets management (Vault и аналоги)
• Контроль SSL/TLS, сертификатов, ключей
• Hardening окружения (Linux, контейнеры, Kubernetes)

Практическая реализация (hands-on)

• Самостоятельно устраняет уязвимости на уровне:
  • конфигураций
  • инфраструктуры
  • API-шлюзов
  • security-политик
• Настраивает защитные механизмы:
  • WAF
  • rate limiting
  • security headers
  • access policies
• Работает с логированием и аудитом безопасности

Security Testing (как QA, но глубже)

• Проводит security-тестирование API (manual + automated)
• Пишет негативные сценарии (abuse cases)
• Проверяет:
  • race conditions
  • replay атаки
  • privilege escalation
• Формирует security test cases

Offensive mindset (мышление атакующего)

• Моделирует реальные атаки на систему
• Пытается ломать:
  • авторизацию
  • API
  • бизнес-логику
• Выявляет нестандартные уязвимости (не только OWASP)

Безопасность бизнес-логики

• Защита от:
  • манипуляции ценами
  • обхода логики заказов
  • злоупотребления API
  • аномального поведения клиентов

DevSecOps

• Интеграция security в CI/CD:
  • SAST
  • DAST
  • dependency scanning
• Автоматизация security-проверок
• Контроль безопасности на этапе разработки

Процессы безопасности

• Vulnerability management
• Incident response
• Security monitoring
• Взаимодействие с DevOps и backend командами
• Формирование security best practices

Технологический контур

• Linux
• Docker / Kubernetes
• REST API
• JWT / OAuth2
• Vault / Secrets
• Network security (VPN, Firewall)
• CI/CD security
• PostgreSQL / Redis
• Monitoring / logging
• .Net Core
• ReactJS

Обязательные навыки

• 5+ лет в информационной безопасности
• Практический опыт защиты:
  • backend-систем
  • API
  • микросервисной архитектуры
• Понимание:
  • OWASP Top 10
  • secure SDLC
  • threat modeling
• Опыт:
  • аутентификация / авторизация
  • secrets management
  • SSL/TLS
• Сетевая безопасность:
  • TCP/IP
  • firewall
  • VPN
• Опыт расследования инцидентов
• Умение объяснять инженерам

Будет плюсом

• Опыт AppSec / DevSecOps
• Pentest (на уровне постановки и анализа)
• SIEM / SOC
• Cloud security
• PCI DSS / ISO 27001
• Построение security с нуля

Мы предлагаем

• Ключевую роль в архитектуре продукта
• Реальное влияние на безопасность всей экосистемы
• Рост до Head of Information Security
• Сильную инженерную команду
• Продукт, где безопасность встроена в систему

Важно

Мы не ищем формального ИБ-специалиста.

Нам нужен инженер, который:

• понимает, как системы ломаются
• умеет это воспроизводить
• умеет проводить нагрузочное тестирование и выявлять баги
• и умеет если необходимо закрыть все дыры самому или