Senior специалист по информационной безопасности (IT Security)

Что предстоит делать

Senior специалист по информационной безопасности (IT Security) FreedomAuto - AI-powered микросервисная экосистема по продаже автозапчастей (VIN, каталоги, логистика, real-time). Платформа включает: • 15+ микросервисов • публичные API • web + mobile клиенты • интеграции с внешними партнёрами • AI-модули Мы строим систему, где безопасность - часть архитектуры, а не “надстройка после”. Кого мы ищем Практического инженера по информационной безопасности, который: • умеет ломать системы в голове и руками • находит и устраняет уязвимости на уровне конфигураций, инфраструктуры и процессов • не ограничивается аудитами и отчётами Это роль AppSec + DevSecOps + Security Testing (QA mindset) Критичные аспекты безопасности проекта • Персональные данные клиентов • Интеграции с внешними API (каталоги, логистика) • AI-first платформа • Высокая нагрузка и требования к отказоустойчивости Роль и зона ответственности Вы отвечаете за реальный уровень безопасности, а не формальные регламенты: • приложения • инфраструктура • сети • процессы Формат: Senior hands-on → рост до Lead / Head of Security

• Архитектура безопасности
• Проектирование security-архитектуры системы
• Threat modeling (на уровне сервисов и продукта)
• Security review новых сервисов и интеграций
• Безопасность API и микросервисов
• Аутентификация / авторизация
• JWT / OAuth2 / роли / доступы
• Защита REST API
• Контроль API abuse (rate limit, replay, brute force и др.)
• Инфраструктурная безопасность
• Network security (VPN, firewall, сегментация)
• Secrets management (Vault и аналоги)
• Контроль SSL/TLS, сертификатов, ключей
• Hardening окружения (Linux, контейнеры, Kubernetes)
• Практическая реализация (hands-on)
• Самостоятельно устраняет уязвимости на уровне:
• конфигураций
• инфраструктуры
• API-шлюзов
• security-политик
• Настраивает защитные механизмы:
• WAF
• rate limiting
• security headers
• access policies
• Работает с логированием и аудитом безопасности
• Security Testing (как QA, но глубже)
• Проводит security-тестирование API (manual + automated)
• Пишет негативные сценарии (abuse cases)
• Проверяет:
• race conditions
• replay атаки
• privilege escalation
• Формирует security test cases
• Offensive mindset (мышление атакующего)
• Моделирует реальные атаки на систему
• Пытается ломать:
• авторизацию
• API
• бизнес-логику
• Выявляет нестандартные уязвимости (не только OWASP)
• Безопасность бизнес-логики
• Защита от:
• манипуляции ценами
• обхода логики заказов
• злоупотребления API
• аномального поведения клиентов
• DevSecOps
• Интеграция security в CI/CD:
• SAST
• DAST
• dependency scanning
• Автоматизация security-проверок
• Контроль безопасности на этапе разработки
• Процессы безопасности
• Vulnerability management
• Incident response
• Security monitoring
• Взаимодействие с DevOps и backend командами
• Формирование security best practices
• Технологический контур
• Linux
• Docker / Kubernetes
• REST API
• JWT / OAuth2
• Vault / Secrets
• Network security (VPN, Firewall)
• CI/CD security
• PostgreSQL / Redis
• Monitoring / logging
• .Net Core
• ReactJS
• Обязательные навыки
• 5+ лет в информационной безопасности
• Практический опыт защиты:
• backend-систем
• API
• микросервисной архитектуры
• Понимание:
• OWASP Top 10
• secure SDLC
• threat modeling
• Опыт:
• аутентификация / авторизация
• secrets management
• SSL/TLS
• Сетевая безопасность:
• TCP/IP
• firewall
• VPN
• Опыт расследования инцидентов
• Умение объяснять инженерам
• Будет плюсом
• Опыт AppSec / DevSecOps
• Pentest (на уровне постановки и анализа)
• SIEM / SOC
• Cloud security
• PCI DSS / ISO 27001
• Построение security с нуля

Что предлагаем