Специалист по пентесту и расследованию инцидентов ИБ / Offensive Security & DFIR Specialist

Мы ищем специалиста на стыке Offensive Security и Digital Forensics & Incident Response (DFIR). Предстоит не только искать и подтверждать уязвимости, но и участвовать в расследовании инцидентов информационной безопасности, анализировать скомпрометированные системы, проверять следы атак, работать с журналами, сетевым трафиком и цифровыми артефактами.

Практический фокус позиции — корпоративная инфраструктура, веб-приложения, Active Directory, серверные среды Windows/Linux, внешние и внутренние периметры, ретесты после устранения уязвимостей, а также подготовка понятной и доказательной отчетности для технических специалистов, руководителей и заказчиков с повышенными требованиями к формализации результатов.

Чем предстоит заниматься

· Проводить тесты на проникновение Black/Grey/White box для веб-приложений, сетевой инфраструктуры, внешнего и внутреннего периметра.

· Выполнять внутренний пентест корпоративной инфраструктуры: Active Directory, серверная инфраструктура Windows/Linux, терминальные серверы, VPN, сетевые сервисы, файловые ресурсы, административные интерфейсы, сегментация сети и межсетевое взаимодействие.

· Проверять безопасность Active Directory: избыточные привилегии, небезопасные делегирования, Kerberoasting/AS-REP Roasting, Pass-the-Hash/Pass-the-Ticket, NTLM, GPO, локальные администраторы, сервисные учетные записи, LAPS/gMSA и возможные сценарии lateral movement.

· Организовывать и участвовать в регулярных сканированиях на уязвимости с последующим анализом результатов, приоритизацией рисков и контролем устранения.

· Проводить ретесты после устранения выявленных уязвимостей: подтверждать факт исправления, фиксировать остаточные риски, готовить заключения и рекомендации по дальнейшему снижению рисков.

· Развивать внутреннюю программу Bug Bounty и взаимодействовать с внешними исследователями: верифицировать отчеты, уточнять воспроизводимость, оценивать риск и контролировать устранение.

· Расследовать инциденты ИБ: анализировать скомпрометированные хосты, серверы, учетные записи, сетевой трафик, журналы событий и возможные следы закрепления злоумышленника.

· Проводить компьютерно-технический анализ: сбор и анализ образов дисков, оперативной памяти, артефактов Windows/Linux, реестра Windows, файловых систем, журналов и временных файлов.

· Анализировать события SIEM/EDR/AV/KSC/Wazuh: проверять полноту логирования, искать признаки компрометации, формировать гипотезы расследования и помогать в создании правил детектирования.

· Восстанавливать удаленные файлы и выполнять первичный анализ вредоносного ПО: статический анализ, запуск в песочнице, базовый reverse engineering в пределах компетенции Middle-специалиста.

· Работать в продуктивных средах заказчиков с соблюдением согласованного scope, временных окон и правил проведения работ. Вести журнал действий, фиксировать ограничения, недоступность систем, изменения в инфраструктуре и иные обстоятельства, влияющие на результат проверки.

· Готовить отчеты разного уровня детализации: технические отчеты для ИТ- и ИБ-специалистов, управленческие справки для руководства, итоговые заключения по результатам пентеста, ретеста и расследования инцидентов.

Наши ожидания

· От 2 лет коммерческого опыта в информационной безопасности с уверенной практикой в пентесте, инфраструктурной безопасности и/или расследовании инцидентов.

· Глубокое понимание модели OSI, стека TCP/IP, сетевых протоколов, маршрутизации, VLAN, ACL, VPN, DNS, HTTP/HTTPS, SMTP, SMB, RDP, WinRM, LDAP/Kerberos.

· Уверенное знание архитектуры Windows и Linux на уровне анализа процессов, служб, реестра, файловых систем, прав доступа, журналов событий и механизмов аутентификации.

· Понимание OWASP Top 10 и методов эксплуатации уязвимостей: SQLi, XSS, SSRF, IDOR, XXE, RCE, insecure deserialization, auth bypass, business logic flaws.

· Практический опыт работы с Active Directory и понимание основных векторов атак на доменную инфраструктуру.

· Уверенное владение инструментарием: Burp Suite, Nmap, Wireshark, Metasploit, Impacket, BloodHound/SharpHound, SQLmap, nuclei, ffuf/gobuster, CrackMapExec/NetExec или аналогами.

· Опыт работы с инструментами компьютерной криминалистики: Volatility, Autopsy, FTK Imager, Sleuth Kit, KAPE, Eric Zimmerman Tools или open-source аналогами.

· Навыки анализа журналов событий Windows Event Logs, Sysmon, Linux auditd/auth.log/syslog, SIEM-событий и сетевого трафика PCAP для поиска следов присутствия злоумышленника.

· Умение писать скрипты для автоматизации рутинных задач на Python, Bash или PowerShell.

· Умение аккуратно работать в инфраструктуре заказчика, соблюдать границы работ, фиксировать действия и не создавать необоснованных рисков для продуктивных сервисов.

· Способность понятно объяснять технические риски нетехническим специалистам и формулировать рекомендации в виде конкретных, проверяемых и реализуемых мероприятий.

· Английский язык на уровне чтения и понимания технической документации, advisory, exploit write-up и отчетов по уязвимостям.

​​​​​​​· Готовность к командировкам.

Будет плюсом

· Наличие профилей на Bug Bounty-платформах, публичных отчетов об уязвимостях, CVE, write-up или технических публикаций.

· Сертификаты или подготовка к сертификациям: OSCP, OSWP, PNPT, eJPT, CHFI, GCFA, GCIH, PT-специалист, PT Expert Security Center, PT BlackBox, PT Web или аналоги.

· Опыт проведения пентестов и аудитов для корпоративной инфраструктуры, государственных заказчиков, промышленных предприятий или объектов КИИ.

· Понимание требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК/ФСБ и практики подготовки отчетных материалов для заказчиков с повышенными требованиями к формализации результатов.

· Опыт работы с Wazuh, Kaspersky Security Center, SIEM/IRP/SOAR-системами, EDR/XDR-решениями и инструментами анализа событий безопасности.

· Опыт анализа инцидентов, связанных с компрометацией Active Directory, серверной инфраструктуры, VPN, почтовых систем, веб-приложений и внешнего периметра.

· Опыт malware analysis и базового reverse engineering: Ghidra, IDA Free, x64dbg, strings, yara, capa, sandbox-среды.

· Опыт подготовки доказательных отчетов: описание вектора атаки, подтверждающие артефакты, оценка риска, рекомендации, план устранения и результаты ретеста.

Мы предлагаем

· Гибридный, удаленный или офисный формат работы — по договоренности.

· Гибкое начало рабочего дня.

· Официальное трудоустройство по ТК РФ.

· Сложные и интересные задачи по выстраиванию безопасности с нуля или развитию текущей архитектуры у заказчиков.

· Практику на реальных инфраструктурных проектах: пентест, аудит, DFIR, ретесты, анализ защищенности, отчетность для бизнеса и технических команд.

· Возможность обучения и сертификации за счет компании.

· Профессиональный и карьерный рост в команде технических экспертов.