Компания "СТЭП ЛОДЖИК (Step Logic)"
STEP LOGIC — один из крупнейших системных интеграторов в России и СНГ с 30-летним опытом реализации сложных комплексных ИТ-проектов
Основные задачи
Руководство командой, а также непосредственное участие в пентестах и исследованию уязвимостей информационных систем
- Управление проектами по тестированию на проникновение и анализу защищенности ИТ-инфраструктуры и информационных систем:
- Развитие и координация работы команды Red Team
- Участие в пресейле и формировании коммерческих предложений для Заказчиков
- Постановка задач команде по сопровождению пентестов и анализу защищенности инфраструктуры на всех уровнях (сети, операционные системы, приложения, СУБД) и контроль их исполнения
- Анализ архитектуры ИТ-систем с точки зрения безопасности, участие в проектах по тестированию на проникновение в качестве ведущего эксперта
- Взаимодействие с командами эксплуатации Заказчиков по вопросам устранения уязвимостей
- Подготовка отчетной документации по результатам выполнения проектов
- Участие в смежных проектах по защите ИТ-инфраструктуры: формирование требований информационной безопасности на этапе проектирования систем и контроль их реализации при вводе в эксплуатацию или изменении архитектуры
2. Участие в развитии экспертизы направления анализа защищенности:
- Тестирование и анализ различных решений и технологий с точки зрения информационной безопасности
- Участие в развитии платформы SOC
- Развитие сервиса оценки соответствия по ОУД
- Взаимодействие с вендорами по вопросам устранения уязвимостей в исходном коде продуктов
3. Участие в развитии направления анализа защищенности:
- Конкурентный анализ рынка исследований уязвимостей и подготовка предложений по формированию новых услуг для Заказчиков
- Разработка сценариев проведения тестирования, в т.ч. с использованием методов социальной инженерии
- Участие в формировании и контроль показателей эффективности направления
- Участие в подготовке плана развития компетенций направления анализа защищенности и контроль его выполнения
4. Участие в формировании и продвижении бренда компании на рынке услуг анализа защищенности:
- Участие в профильных маркетинговых мероприятиях и технологических конференциях в качестве эксперта
- Подготовка материалов для публикаций на профильных информационных площадках
Наши ожидания
- Опыт руководства командой Red Team: опыт выстраивания процессов управления командой, постановки и контроля исполнения задач, развития компетенций
- Уверенные знания в области проведения тестирования на проникновение и анализа защищенности ИС: знание основных угроз информационной безопасности ИС, типов уязвимостей и их эксплуатации, способов проведения атак и постэксплуатации, методик и технологий противодействия; уверенные знания OWASP Top 10, OWASP Top 10 Mobile; Владение основными инструментами для проведения тестов на проникновение и анализа защищённости ИС
- Знание методологий проведения исследований и анализа защищенности по направлениям: инфраструктурные тесты на проникновение (внешний и внутренний периметры); web-приложения и системы ДБО; беспроводные сети; социальная инженерия
- Опыт проведения анализа защищенности инфраструктуры, в т.ч. проведения аудита безопасности web и мобильных приложений
- Опыт подготовки отчетной документации по результатам исследований безопасности
- Опыт ручного тестирования и работы с инструментами поиска, эксплуатации и закрепления (BurpSuite, Accunetix, nmap, Nikto, sqlmap, John the Ripper, Metasploit, CobaltStrike, Brute Ratel)
- Навыки программирования и опыт автоматизации задач с помощью скриптовых языков
- Базовые знания SQL (СУБД Oracle, MS SQL Server, Postgres), умение составлять SQL-запросы
- В качестве преимущества рассматриваем: опыт работы с SAST; знание методологии безопасной разработки; опыт сертификации по требованиям ОУД, УД; опыт проверок финтех проектов; участие в CTF или наличие репортов BugBounty; наличие профильных сертификатов (OSCP, OSCE, OSWE) и зарегистрированных CVE
Мы предлагаем
- Работу в крупной стабильной компании
- Возможность профессионального и карьерного роста
- Соц. пакет: компания оплачивает обучение и сертификацию, ДМС, корпоративные скидки от партнеров
- Конкурентную заработную плату
- Удобный график работы (возможность работать удаленно)