Мы строим технологичную финтех-компанию ИТ Контакт: с 2019 года мы создаем современные цифровые платформы, которые позволяют упростить процессы, снизить затраты и повысить безопасность сделок, связанных с приобретением жилья.
Благодаря нашей работе множество людей по всему миру смогли воплотить в жизнь мечту о собственном доме. Нас уже более 600 человек, и, в связи с активным ростом компании, мы находимся в поисках Аналитика уязвимостей в нашу команду.
Кого мы ищем?
- Опыт работы в сфере информационной безопасности от 2 лет, из них 1 год - на позиции аналитика (SOC, VM) или пентестера;
- Глубокий практический опыт работы с системами сканирования уязвимостей (Qualys, Tenable.io / Nessus, Rapid7 Insight VM) и базами уязвимостей (CVE, NVD);
- Навыки пентестера для верификации уязвимостей:
- Понимание и практический опыт эксплуатации уязвимостей из OWASP Top 10, SANS Top 25;
- Умение работать с инструментами: Burp Suite (для веб), Nmap, Metasploit, sqlmap, средствами для эксплуатации сетевых уязвимостей;
- Способность написать простой proof-of-concept (PoC) для демонстрации риска.
- Отличные знания сетевых технологий, стеков TCP/IP, веб-архитектур и операционных систем (Windows, Linux);
- Навыки программирования / скриптования для автоматизации (Python - обязательно, Bash/PowerShell);
- Умение четко доносить техническую информацию как до технических специалистов, так и до менеджмента;
- Знание английского языка (уровень B1).
Будет плюсом:
- Опыт работы в крупной распределенной инфраструктуре (500+ хостов);
- Опыт работы с MITRe ATT&CK для маппинга уязвимостей на тактики атакующих;
- Наличие отраслевых сертификатов: OSCP (golden standard), PNPT, CVD;
- Понимание жизненного цикла разработки ПО (SDLC) и принципов DevSecOps;
- Знание облачных платформ (AWS, Azure and GCP) и их сервисов безопасности.
Чем вы будете заниматься:
- Полный цикл управления уязвимостями: от сканирования и обнаружения до верификации, приоритизации и контроля устранения;
- Углубленный анализ и верификация результатов сканирования (от Qulys, Tenable, MaxPatrol, Rapid7, OpenVas) с использованием методов пентеста для оценки реальной эксплуатируемости уязвимостей;
- Приоритизация уязвимостей на основе контекста бизнеса, данных об угрозах (Threat Intelligence), оценок CVSS/EPSS и потенциального воздействия;
- Техническая консультация и коммуникация с командами разработки, системными администраторами и сетевыми инженерами по вопросам устранения уязвимостей;
- Подготовка понятных отчетов и метрик для руководства и технических специалистов (патч-треки, KPI, риск-аппетиты);
- Автоматизации рутинных процессов (парсинг отчетов, создание тикетов, сбор контекстной информации);
- Участие в проектах по повышению безопасности (консультирование на этапе дизайна, review конфигураций).
Что мы предлагаем:
- Аккредитованная IT-компания;
- Комфортный офис в центре Санкт-Петербурга;
- Предсказуемый график работы 5/2;
- Мультикультурная амбициозная команда;
- Общение на иностранных языках с коллегами и клиентами;
- Внутреннее комьюнити для сотрудников: кафетерий льгот для сотрудников, сообщества по интересам, участие в спортивных турнирах, благотворительные программы и т.д.
