AppSec аналитик [кибербезопасность]

"МТС RED" — ки­бер­без­опас­ность, ко­то­рая действу­ет быст­рее, чем зло­у­мыш­лен­ни­ки. Мы не за­щи­ща­ем ва­ши ком­пью­те­ры или се­ти, мы за­щи­ща­ем биз­нес наших заказчиков и об­раз жиз­ни 24/7.

Чем предстоит заниматься:

• Обеспечивать и развивать процессы безопасной разработки (AppSec/DevSecOps best practices, ГОСТ Р 58412-2019);

• Разрабатывать требования по безопасности для команд разработки, требований к процессам безопасной разработки;

• Интегрировать инструменты безопасной разработки в процессы DevSecOps (вендорское ПО/OpenSource);

• Дорабатывать и настраивать инструменты безопасной разработки (OpenSource);

• Проводить аудиты безопасности разрабатываемых продуктов (White/Gray Box Pentesting, security architecture review, анализ результатов инструментов безопасной разработки).

Что мы от тебя ждем:

• Опыт проведения аудитов безопасности продуктов применительно к AppSec-процессам (compliance checks, security risks, vulnerability testing, penetration testing);

• Практический опыт использования и интеграции инструментов статического анализа (Secrets Detection, SCA, SAST, IaC SAST);

• Практический опыт использования и интеграции инструментов динамического анализа - DAST (burpsuite, owasp zap, nuclei и т.п.), Fuzzing (AFL++, libfuzzer, gofuzz, syzkaller, restler-fuzzer и т.п.);

• Умение разбираться в чужом коде и находить уязвимости (C/C++, Golang, Python, JavaScript);

• Базовые навыки DevOps (Gitlab jobs, GitOps (Argo/Flux), деплой в k8s и его администрирование);

• Навыки автоматизации задач и разработки на одном из языков - Python, Golang;

• Уверенные знания Linux (сетевой стек, механизмы изоляции и контейнеризации, принципы работы ядра ОС);

• Общее понимание принципов работы современных решений для обеспечения безопасности (UTM/NGFW, IDS/IPS, WAF, Container Security);

• Знания принципов работы и аспектов безопасности современных веб-приложений (микросервисы, REST API, GraphQL, gRPC, WebSocket, OAuth2.0, OpenID Connect).

Будет плюсом:

• Опыт проведения сертификационных испытаний СЗИ по требованиям ФСТЭК/ФСБ;
• Опыт написания фаззинг-целей, реализации подхода Continuous Fuzzing;
• Опыт разработки собственных инструментов безопасной разработки под нужды команды;
• Опыт составления и использования моделей угроз для разрабатываемых продуктов (STRIDE, TARA, ASF, базовая модель угроз ФСТЭК или аналогичных);
• Опыт проведения оценки зрелости процессов безопасной разработки, понимание концепций современных стандартов - BSIMM, OWASP SAMM или аналогичных;
• Опыт внедрения подходов в рамках обеспечения продуктовой безопасности - security by design, security champions, security awareness;
• Опыт харденинга и обеспечения безопасности процессов CI/CD.

Что мы предлагаем:

• Профессиональные гильдии инженеров по направлениям, чтобы поддерживать друг друга и обмениваться опытом;
• Внутреннюю площадку TechTalks для обмена опытом, дискуссий, развития навыков самопрезентации;
• Участие во внешних IT конференциях. Мы выступаем на HighLoad++, DataFest, Mobius, Test Driven Conf, Joker, DevOps, Матемаркетинг и даже проводим собственную конференцию по архитектуре Hello, conference!;
• Полезные курсы и вебинары в корпоративном университете и электронные библиотеки.

А еще:

• Медицинскую страховку с 1 месяца со 100% покрытием расходов, включая стоматологию, страхование жизни и здоровья в поездках за рубеж. А еще можно застраховать родственников с корпоративной скидкой;
• Компенсацию мобильной связи с первого дня;
• Доступ к сервису «Понимаю»: онлайн-консультации с психологом, юристом, экспертом по финансам или ЗОЖ;
• Корпоративный и командный психолог в офисе и массажный кабинет;
• Единую подписку МТС Premium — KION light в онлайн-кинотеатре KION, сервис МТС Music, 30 дней бесплатного пользования подпиской OZON Premium;
• Скидки и предложения от партнеров на фитнес, занятия английским и прочее;
• Удобный формат работы - офис или гибридный (удаленно + периодические приезды в офис).