Пентестер

Описание вакансии

О компании и команде

Мы в SolidLab занимаемся защитой приложений, тестами на проникновение и предлагаем весь спектр услуг в области application security. Мы делаем умный SolidWall WAF и сканер SolidPoint DAST, внедряем процессы по управлению уязвимостями и реагированию на инциденты.

Одно из ключевых направлений работы SolidLab — проведение анализа защищённости ИТ-инфраструктур путём имитации действий реального злоумышленника. Мы выполняем проекты по пентесту (в том числе в режиме Red Team vs Blueteam) для крупных ИТ-ориентированных компаний, помогая выявлять критические уязвимости, проверять устойчивость защитных механизмов и повышать уровень зрелости процессов информационной безопасности.

Ищем коллег-единомышленников с практическим опытом проведения инфраструктурных пентестов, способных самостоятельно находить и эксплуатировать уязвимости в сложных корпоративных средах.

Ожидания от кандидата

• Проведение полного цикла работ по тестированию на проникновение (внешнее, внутреннее), в том числе в режиме red team vs. blue team.
• Анализ веб-приложений методом черного и белого ящика в ходе комплексных проектов по тестированию на проникновение в целях продвижения/развития векторов атаки.
• Анализ защищённости беспроводных сетей.
• Разработка креативных сценариев и проведение работ с использованием методов социальной инженерии.
• Подготовка отчётов по результатам проделанных работ.
• Выполнение R&D задач в направлении infrastructure&web security, в том числе по мотивам реальных проектов.

Требования:

• Опыт в Offensive Security от 3+ лет (сейчас мы ищем в команду специалистов уровня Senior).
• Системные знания и подтвержденные практикой навыки в области анализа защищённости инфраструктур на базе Windows (Active Directory) и *nix.
• Системные знания и подтвержденные практикой навыки в области анализа защищённости веб-приложений (в части обнаружения критичных недостатков с целью «пробива» внешнего периметра и расширения площади атаки).
• Умение чётко и грамотно формулировать свои мысли в письменном виде.
• Английский язык - на уровне понимания профессиональной технической литературы.

Преимуществом будут:

• Опыт проведения пентестов в режиме red team vs. blue team, обхода антивирусов и EDR.
• Опыт анализа защищённости облачных инфраструктур.
• Опыт анализа защищённости CI/CD инфраструктур.
• Опыт разработки социотехнических сценариев, соответствующих полезных нагрузок и способов их доставки.
• Опыт анализа защищённости беспроводных сетей.
• Опыт администрирования Windows/*nix-систем, сетевого оборудования или CI/CD инфраструктур.
• Опыт разработки веб-приложений.
• Опыт участия в программах поиска уязвимостей (bug bounty), написания эксплойтов, наличие CVE.
• Опыт участия в CTF, наличие самостоятельных исследований.

Мы предлагаем

• Работа в аккредитованной ИТ-компании.
• Конкурентный уровень заработной платы и возможность карьерного роста.
• Гибкий рабочий график, возможность работать удаленно.
• Возможность прохождения профессиональных сертификаций, тренингов.
• Доступ к корпоративным ресурсам для "прокачки" скиллов.
• По итогам сложных проектов предусмотрены бонусы за обнаружение критичных уязвимостей (в т. ч. 0-day и получение CVE), за выступления на конференциях, по итогам года.
• Комфортное офисное пространство и современное рабочее оборудование.
• Работа в компании ярких и умных людей.
• Развитая система наставничества, в том числе после онбординга.
• Атмосфера взаимного уважения, позитивный коллектив, свобода слова.
• Демократичные руководители, отсутствие дресс-кода.
• Внутренние митапы, неформальные встречи для обмена опытом.
• ДМС + система приятных и полезных поощрений.
• Корпоративный мёрч на ваш выбор.
• Активности вне рабочего времени и корпоративные мероприятия.
• Комьюнити по интересам.