Пентестер\Специалист по тестированию на проникновение\Администратор ИБ

Мы — разработчик облачного сканера для поиска уязвимостей "Метаскан". Это сканирующее облако из >100 серверов использующих 28 различных инструментов (amass, zap, nuclei, dirsearch, NSE, hydra, patator, etc) для поиска уязвимостей. Мы участвуем в разработке известных инструментов с открытым исходным кодом и публикуем эксплойты и инструменты для поиска уязвимостей.

Для клиентов мы оказываем услугу по контролю защищенности их периметра. Среди наших клиентов Сбербанк, ВТБ, Ростелеком, Альфабанк, РСХБ, Ланит, Феско, СПБ Биржа. Помимо "классических" компаний, мы работаем с web3-организациями - NFT-маркетплейсами, майнинг-пулами и DeFI.

Вашей задачей будет контроль защищенности внешних периметров наших клиентов с помощью Метаскан (и инструментов на ваше усмотрение) и помогать ИБ-командам клиентов разобраться в уязвимостях и способах их устранения. Для клиентов мы проводим еженедельные планёрки по ИБ, на которых разбираем изменения сетевой инфраструктуры, прикладные вектора атак и помогаем сформировать план устранения уязвимостей.

Результат вашей работы непосредственно влияет на ваше вознаграждение, вы получаете % от суммы договора с каждым из клиентов, которых вы сопровождаете.

Ваши задачи:

• Обнаруживать уязвимости в сетевом периметра клиентов с помощью Метаскан и инструментов на ваше усмотрение
• Тестировать выходящие эксплойты и инструменты поиска уязвимостей
• Анализировать обнаруженные уязвимости и проводить их эксплуатацию
• Проводить встречи с ИБ-отделами клиентов
• Управлять критичностью уязвимостей и выявлять ложные срабатывания
• Помогать клиентам при эксплуатации, диагностировать и устранять проблемы при сканировании

Вам понадобится:

• Понимание Linux на уровне уверенного использования (bash, systemd, iptables)
• Понимание сетевых технологий (Модель OSI, понимание принципов IP маршрутизации, понимание принципов работы прикладных протоколов (DNS, HTTP и д.р.)
• Понимание эксплуатации и умение рассказать про уязвимости из OWASP TOP 10
• Английский язык B1

Преимуществом будет:

• Опыт проведения тестирований на проникновение или работы с результатами таких тестов
• Опыт реализации проектов по внедрению систем защиты (NGFW, IPS, WAF, DPI)
• Опыт работы со сканерами уязвимостей Qualys, Acunetix, Nessus, Invicti, MaxPatrol или другими
• Опыт программирования на Python \ Javascript \ C++ \ Go
• Опыт работы с BurpSuite или ZAP
• Опыт работы администратором Linux или администратором сетевого оборудования
• Умение работать с продуктовыми гипотезами, понимание циклов HADI, процесса Customer Development, опыт проведения проблемных интервью

Условия:

• % от суммы контракта с каждым из клиентов, которых вы сопровождаете
• 32 оплачиваемых дня отдыха в году
• Обучение на курсах по Linux | Сетям | ИБ, за счет организации
• Компенсация занятий спортом, обучения английскому языку, работы с психологом