Руководитель группы технического анализа защищенности | Team Lead Pentest

STEP LOGIC — один из крупнейших системных интеграторов в России и СНГ с 31-летним опытом реализации сложных комплексных ИТ-проектов

Основные задачи

Руководство командой, а также непосредственное участие в пентестах и исследованию уязвимостей информационных систем

1. Управление проектами по тестированию на проникновение и анализу защищенности ИТ-инфраструктуры и информационных систем:

• Развитие и координация работы команды Red Team
• Участие в пресейле и формировании коммерческих предложений для Заказчиков
• Постановка задач команде по сопровождению пентестов и анализу защищенности инфраструктуры на всех уровнях (сети, операционные системы, приложения, СУБД) и контроль их исполнения
• Анализ архитектуры ИТ-систем с точки зрения безопасности, участие в проектах по тестированию на проникновение в качестве ведущего эксперта
• Взаимодействие с командами эксплуатации Заказчиков по вопросам устранения уязвимостей
• Подготовка отчетной документации по результатам выполнения проектов
• Участие в смежных проектах по защите ИТ-инфраструктуры: формирование требований информационной безопасности на этапе проектирования систем и контроль их реализации при вводе в эксплуатацию или изменении архитектуры

2. Участие в развитии экспертизы направления анализа защищенности:

• Тестирование и анализ различных решений и технологий с точки зрения информационной безопасности
• Участие в развитии платформы SOC
• Развитие сервиса оценки соответствия по ОУД
• Взаимодействие с вендорами по вопросам устранения уязвимостей в исходном коде продуктов

3. Участие в развитии направления анализа защищенности:

• Конкурентный анализ рынка исследований уязвимостей и подготовка предложений по формированию новых услуг для Заказчиков
• Разработка сценариев проведения тестирования, в т.ч. с использованием методов социальной инженерии
• Участие в формировании и контроль показателей эффективности направления
• Участие в подготовке плана развития компетенций направления анализа защищенности и контроль его выполнения

4. Участие в формировании и продвижении бренда компании на рынке услуг анализа защищенности:

• Участие в профильных маркетинговых мероприятиях и технологических конференциях в качестве эксперта
• Подготовка материалов для публикаций на профильных информационных площадках

Наши ожидания

• Опыт руководства командой Red Team: опыт выстраивания процессов управления командой, постановки и контроля исполнения задач, развития компетенций
• Уверенные знания в области проведения тестирования на проникновение и анализа защищенности ИС: знание основных угроз информационной безопасности ИС, типов уязвимостей и их эксплуатации, способов проведения атак и постэксплуатации, методик и технологий противодействия; уверенные знания OWASP Top 10, OWASP Top 10 Mobile; Владение основными инструментами для проведения тестов на проникновение и анализа защищённости ИС
• Знание методологий проведения исследований и анализа защищенности по направлениям: инфраструктурные тесты на проникновение (внешний и внутренний периметры); web-приложения и системы ДБО; беспроводные сети; социальная инженерия
• Опыт проведения анализа защищенности инфраструктуры, в т.ч. проведения аудита безопасности web и мобильных приложений
• Опыт подготовки отчетной документации по результатам исследований безопасности
• Опыт ручного тестирования и работы с инструментами поиска, эксплуатации и закрепления (BurpSuite, Accunetix, nmap, Nikto, sqlmap, John the Ripper, Metasploit, CobaltStrike, Brute Ratel)
• Навыки программирования и опыт автоматизации задач с помощью скриптовых языков
• Базовые знания SQL (СУБД Oracle, MS SQL Server, Postgres), умение составлять SQL-запросы
• В качестве преимущества рассматриваем: опыт работы с SAST; знание методологии безопасной разработки; опыт сертификации по требованиям ОУД, УД; опыт проверок финтех проектов; участие в CTF или наличие репортов BugBounty; наличие профильных сертификатов (OSCP, OSCE, OSWE) и зарегистрированных CVE

Мы предлагаем

• Работу в крупной стабильной компании
• Возможность профессионального и карьерного роста
• Соц. пакет: компания оплачивает обучение и сертификацию, ДМС, корпоративные скидки от партнеров
• Конкурентную заработную плату
• Удобный график работы (возможность работать удаленно)