Пентестер информационной безопасности / web-pentest/

Компания АО «АСТ» 19 лет на российском рынке, за это время мы реализовали более 300 проектов различного уровня сложности на базе самых разных технологических платформ.

Основа стабильности и развития компании АСТ – это команда профессионалов, которая растёт благодаря постоянному расширению портфеля услуг и продуктов, открытию новых направлений, запуску и реализации новых интересных проектов.

Каждый сотрудник для нас не только специалист в своей области, но и часть большого сплоченного коллектива, объединенного общими целями и ценностями.

Приглашаем к себе в команду Пентестера информационной безопасности

ЗАДАЧИ, КОТОРЫЕ ПРЕДСТОИТ РЕШАТЬ (ОДНА ИЛИ НЕСКОЛЬКО - все обсуждается):

• Исследование программного обеспечения как с наличием, так и без наличия исходных кодов (white box, black box)
• Проведение ручного и автоматизированного статического, динамического и поведенческого анализа безопасности кода программного обеспечения (web/front-end, mobile), включая внешние и внутренние тестирования на проникновение
• Выявление прикладных и архитектурных уязвимостей и проблем программного обеспечения в т.ч. в системах управления политиками ИБ и разработка средств проверки защищённости и концептов имитации атак

РЕЛЕВАНТНЫЕ НАВЫКИ и ОПЫТ :

• Понимание основ программирования и умение читать и анализ исходный код на одном или нескольких языках (Java, Python, Ruby, Bash/Powershell, PHP, GO).
• Навык или опыт в сфере анализа различных сетевых протоколов, и анализа обфусцированного кода (PHP, JS, Java, Ruby, C/C++ и др.), а также опыт понимания механизмов защиты кода, влияющих на его повышение/понижение безопасности
• Навык или опыт работы с инструментами сборки кода и продуктов, инструментами SAST, DAST, анализа кода и смежными, инструментами веб и сетевого анализа (BurpSuite, ZAP, Acunetix …), инструментами работы с БД уязвимостей CVE, CWE, MITRE
• Навык или опыт поиска прикладных и архитектурных уязвимостей,
• Навык или опыт проведения тестов на проникновение (web-приложения, мобильные приложения, ДБО, АСУ ТП)

Будет плюсом к опыту, не является обязательным:

• Знание и опыт применения OWASP и OSSTMM методологий, стандартов ИБ и индустриальных практик и рекомендаций (NIST, CSA, ФСТЭК) и баз знаний CVE, CWE, MITRE в области ИБ
• Участие в программах bug bounty, CTF, решения задач на DefCamp, HackTheBox, и других площадках.
• Понимание причинно-следственных связей возникновения атак и способность об этом рассказать
• Опыт анализа защищённости беспроводных интерфейсов и протоколов (WiFi/BT/ZigBee, OPC-UA, MQTT, CoAP, CAN, BACnet, Modbus, LoRaWAN и др.)
• Интеграция средств безопасности в процессы разработки CI/CD;
• Проф. сертификаты (CISSP, OSCP, SSCP и др.)
• Готовность разбираться в новых темах
• Взаимодействие с коллективом / участниками проекта
• Умение самостоятельно проводить исследования и находить решения поставленных задач
• Прочий опыт: OSINT, Honey Pot/Net, снифферы, MITM, DNS, SIEM, IDPS

МЫ ГОТОВЫ ПРЕДЛОЖИТЬ:

• Стабильность и надежность, наша компания работает под одним брендом на протяжении 19 лет;
• Прозрачную и понятную финансовую мотивацию;
• Офис в пешей доступности от метро Волгоградский проспект / МЦК Угрешская, при необходимости парковка возле офиса;
• Гибкий график работы (40 часов в неделю);
• Хороший компьютер или два компьютера, с подбором конфигурации по желанию;
• Много интересных проектов;
• Дружная команда профессионалов
• Полное соблюдение ТК РФ;
• ДМС