Ведущий специалист по анализу защищенности (Pentester)

Мы ищем сильных пентестеров в крупную компанию — технологическое ядро одного из ритейлеров России. Компания разрабатывает высоконагруженные цифровые продукты, собственное частное облако, Kubernetes-платформу и активно использует ИИ.

Внутри выстроена зрелая ИБ-экосистема: DevSec, AppSec, команды пентеста, SOC и внутренняя Bug Bounty-программа. Компания с ИТ-аккредитацией.

Мы ищем специалистов в двух направлении Инфраструктуры (Cloud/Kubernetes/OpenStack)

Ключевые задачи (в зависимости от направления):

• Ручное и автоматизированное тестирование на проникновение (black / grey / white box)
• Поиск и подтверждение уязвимостей в ML-моделях, IoT-устройствах или инфраструктуре (на выбор)
• Аудит безопасности Kubernetes-кластеров, OpenStack, контейнеров и облачной платформы
• Разработка PoC-эксплойтов
• Подготовка качественных отчётов с рекомендациями по remediation
• Взаимодействие с разработчиками и архитекторами по устранению уязвимостей
• Контроль исправлений и ретестирование
• Участие в Red Team exercises

Обязательные требования:

• Опыт пентеста от 3 лет
• Уверенное владение Burp Suite, а также стандартным набором инструментов (nmap, nuclei, metasploit, Kali Linux и др.)
• Глубокое понимание OWASP Top 10, CWE/SANS Top 25
• Умение писать понятные технические отчёты и объяснять уязвимости разработчикам
• Знание английского языка на уровне чтения технической документации

Будет большим преимуществом:

+ Опыт на Bug Bounty платформах

+ Опыт пентеста ML/нейронных сетей или IoT/роботизации

+ Автоматизация безопасности (Python, Bash, Go)

+ Участие в CTF

Условия:

• Полностью удалённая работа по всей России (без командировок)
• Оформление по ТК РФ, полная занятость
• Расширенный ДМС (включая стоматологию) + страхование жизни и здоровья
• Обучение, курсы, конференции и сертификации за счёт компании

Если у вас есть сильный практический опыт пентеста — мы готовы рассмотреть вас.

Напишите в сопроводительном письме:

1. В каком направлении у вас наибольший опыт (Web/Mobile, ML, IoT или Инфраструктура/Cloud/K8s),

2. Какие типы проектов и уязвимостей вы успешно тестировали и какие наиболее сложные атаки проводили.