Эксперт по тестированию на проникновение (pentest)

Дата: 29.03.2021. Город: Москва. Компания: Инфосистемы Джет. Отклинуться.
Эксперт по тестированию на проникновение (pentest)
  • Требуемый опыт: От 3 до 6 лет
  • График: Полный день
  • Тип занятости: Полная занятость

Центр информационной безопасности компании «Инфосистемы Джет» – это профессиональное сообщество специалистов по ИБ. Мы защищаем бизнес наших заказчиков от киберугроз уже более 20 лет. Сегодня наша команда – это более 200 экспертов, реализующих 300 комплексных проектов в год на базе 150 решений российских и зарубежных вендоров. Наша главная задача – создание и внедрение систем, обеспечивающих реальную безопасность бизнеса.

Чем предстоит заниматься

  • Координирование деятельности проектной команды.
  • Осуществление менторства над менее опытными коллегами.
  • Участие в пресейловых встречах.
  • Разработка отчетов и проведения презентаций по результатам проекта.
  • Проведение разнообразных видов анализа защищенности:
    • внешние и внутренние тестирования на проникновение;
    • анализ защищенности веб-приложений;
    • анализ защищенности WiFi;
    • тестирования методом социальной инженерии;
    • анализ мобильных приложений;
    • проведение нагрузочного (DDOS) тестирования;
    • проведение RedTeam работ;
  • Подготовка рекомендаций по повышению уровня защищенности инфраструктуры Заказчиков.
  • Собственное развитие и развитие компетенций отдела в области ИБ (участие в исследовательской деятельности).

Требования

  • Опыт работы от трех лет в качестве пентестера.
  • Опыт проведения практического анализа защищенности, как минимум в трех из направлений (внутренний, веб, мобильный, АСУ ТП, анализ исходного кода, социальная инженерия), в команде от 3 человек
  • Высшее образование ИБ/ИТ.
  • Знание законодательных документов в области ИБ, включая документы, связанные с практическим анализом защищенности.
  • Знание методологий и стандартов, связанных с практическим анализом защищенности (OWASP, OSSTMM, PTES, PCI DSS);
  • Умение читать и анализировать исходный код на распространенных языках программирования (Python, bash, C, Powershell, PHP), опыт аудита исходного кода на безопасность.
  • Опыт администрирования *nix и Windows-систем, web-серверов.
  • Знание принципов построения корпоративной сети, включая Active Directory и атаки на них.
  • Знание принципов работы беспроводных технологий и атаки на них.
  • Уверенное понимание принципов сетевой безопасности, безопасности ОС и СУБД.
  • Уверенное понимание принципов работы различных классов средств защиты информации (802.1x, AV, DLP, SIEM, WAF, IDS/IPS, EDR, NAC, NAD, PAM, UEBA, IRP/SOAR, Deception Tool, BAS).
  • Углубленное знание сетевых протоколов (TCP/IP), а также уязвимостей и атак на сетевые протоколы (arp-spoofing, ntlm-relay, slaac attack и тп.)
  • Углубленное знание работы веб-протоколов и технологий (http, https, soap, ajax, json, rest, hsts и тп.), а также основных (OWASP TOP-10) и не типовых веб-уязвимостей;
  • Понимание принципов и основных техник социальной инженерии;
  • Знание техник обхода средств защиты (bypass AntiVirus и тп);
  • Знание техник пост-эксплуатации, pivoting и закрепления на windows и *nix-системах;
  • Понимание принципов RedTeam;
  • Уверенное владение распространёнными программами и фреймворками для проведения тестирования (Burp Suite Fiddler, ZAP Proxy, Metasploit, PowerSploit, NessusNexpouse, BloodHound, Cobalt, impacket, responder, mimikatz)
  • Уверенная работа с эксплойтами, их модификация и выполнение

Как преимущество:

  • Опыт проведения аудитов ИБ.
  • Опыт эксплуатации бинарных уязвимостей, опыт анализа вредоносного кода.
  • Участие в профессиональных соревнованиях (CTF, hackathon).
  • Участие в программах Bug Bounty.
  • Наличие своих CVE
  • наличие, как минимум одного сертификата, связанного с практическим анализом защищенности (CEH, OSCP, OSCE и тп)
  • Знание технологий виртуализации Docker, Kubernetes, ESXi

Мы предлагаем

  • Офис в пешей доступности от м. Савеловская
  • Работу в команде экспертов по информационной безопасности
  • Профессиональное обучение и сертификации за счёт компании
  • Возможность карьерного роста внутри команды
  • Оформление по ТК РФ
  • Заработную плату по результатам собеседования + премии по итогам работы
  • Социальный пакет с возможностью выбора между ДМС, изучением иностранных языков и абонементом в фитнес-центр
  • Буфеты на территории компании, бесплатные завтраки для тех, кто любит приехать в офис пораньше
  • Возможность принять участие в ключевых конференциях по ИБ в качестве спикеров и участников, сразиться с хакерами на PHD и поучаствовать в CTF
  • Совместный досуг на выбор: бег, дайвинг, велоспорт, борд, лыжи, пинг-понг, страйкбол или просто PlayStation
Инфосистемы Джет

Об авторе Инфосистемы Джет

«Инфосистемы Джет» — инновационная ИТ-компания, работающая на рынке более 28 лет. Надежный технологический партнер крупнейших компаний в России, который создает вместе с ними комплексные цифровые проекты. Входит в ТОП-10 крупнейших поставщиков ИТ-услуг России, №1 на рынке ИТ-аутсорсинга в России, №2 среди крупнейших поставщиков в области комплексных проектов построения инфраструктуры ЦОД, ТОП-3 крупнейших интеграторов России в сфере защиты информации.
Читать все записи автора Инфосистемы Джет