Специалист по пентесту и DFIR (Offensive Security / Digital Forensics & Incident Response)

Что предстоит делать

Мы ищем специалиста на стыке Offensive Security и Digital Forensics & Incident Response (DFIR). Предстоит не только искать и подтверждать уязвимости, но и участвовать в расследовании инцидентов информационной безопасности, анализировать скомпрометированные системы, проверять следы атак, работать с журналами, сетевым трафиком и цифровыми артефактами. Практический фокус позиции — корпоративная инфраструктура, веб-приложения, Active Directory, серверные среды Windows/Linux, внешние и внутренние периметры, ретесты после устранения уязвимостей, а также подготовка понятной и доказательной отчетности для технических специалистов, руководителей и заказчиков с повышенными требованиями к формализации результатов.

• Проводить тесты на проникновение Black/Grey/White box для веб-приложений, сетевой инфраструктуры, внешнего и внутреннего периметра.
• Выполнять внутренний пентест корпоративной инфраструктуры: Active Directory, серверная инфраструктура Windows/Linux, терминальные серверы, VPN, сетевые сервисы, файловые ресурсы, административные интерфейсы, сегментация сети и межсетевое взаимодействие.
• Проверять безопасность Active Directory: избыточные привилегии, небезопасные делегирования, Kerberoasting/AS-REP Roasting, Pass-the-Hash/Pass-the-Ticket, NTLM, GPO, локальные администраторы, сервисные учетные записи, LAPS/gMSA и возможные сценарии lateral movement.
• Организовывать и участвовать в регулярных сканированиях на уязвимости с последующим анализом результатов, приоритизацией рисков и контролем устранения.
• Проводить ретесты после устранения выявленных уязвимостей: подтверждать факт исправления, фиксировать остаточные риски, готовить заключения и рекомендации по дальнейшему снижению рисков.
• Развивать внутреннюю программу Bug Bounty и взаимодействовать с внешними исследователями: верифицировать отчеты, уточнять воспроизводимость, оценивать риск и контролировать устранение.
• Расследовать инциденты ИБ: анализировать скомпрометированные хосты, серверы, учетные записи, сетевой трафик, журналы событий и возможные следы закрепления злоумышленника.
• Проводить компьютерно-технический анализ: сбор и анализ образов дисков, оперативной памяти, артефактов Windows/Linux, реестра Windows, файловых систем, журналов и временных файлов.
• Анализировать события SIEM/EDR/AV/KSC/Wazuh: проверять полноту логирования, искать признаки компрометации, формировать гипотезы расследования и помогать в создании правил детектирования.
• Восстанавливать удаленные файлы и выполнять первичный анализ вредоносного ПО: статический анализ, запуск в песочнице, базовый reverse engineering в пределах компетенции Middle-специалиста.
• Работать в продуктивных средах заказчиков с соблюдением согласованного scope, временных окон и правил проведения работ. Вести журнал действий, фиксировать ограничения, недоступность систем, изменения в инфраструктуре и иные обстоятельства, влияющие на результат проверки.
• Готовить отчеты разного уровня детализации: технические отчеты для ИТ- и ИБ-специалистов, управленческие справки для руководства, итоговые заключения по результатам пентеста, ретеста и расследования инцидентов.
• Наши ожидания
• От 2 лет коммерческого опыта в информационной безопасности с уверенной практикой в пентесте, инфраструктурной безопасности и/или расследовании инцидентов.
• Глубокое понимание модели OSI, стека TCP/IP, сетевых протоколов, маршрутизации, VLAN, ACL, VPN, DNS, HTTP/HTTPS, SMTP, SMB, RDP, WinRM, LDAP/Kerberos.
• Уверенное знание архитектуры Windows и Linux на уровне анализа процессов, служб, реестра, файловых систем, прав доступа, журналов событий и механизмов аутентификации.
• Понимание OWASP Top 10 и методов эксплуатации уязвимостей: SQLi, XSS, SSRF, IDOR, XXE, RCE, insecure deserialization, auth bypass, business logic flaws.
• Практический опыт работы с Active Directory и понимание основных векторов атак на доменную инфраструктуру.
• Уверенное владение инструментарием: Burp Suite, Nmap, Wireshark, Metasploit, Impacket, BloodHound/SharpHound, SQLmap, nuclei, ffuf/gobuster, CrackMapExec/NetExec или аналогами.
• Опыт работы с инструментами компьютерной криминалистики: Volatility, Autopsy, FTK Imager, Sleuth Kit, KAPE, Eric Zimmerman Tools или open-source аналогами.
• Навыки анализа журналов событий Windows Event Logs, Sysmon, Linux auditd/auth.log/syslog, SIEM-событий и сетевого трафика PCAP для поиска следов присутствия злоумышленника.
• Умение писать скрипты для автоматизации рутинных задач на Python, Bash или PowerShell.
• Умение аккуратно работать в инфраструктуре заказчика, соблюдать границы работ, фиксировать действия и не создавать необоснованных рисков для продуктивных сервисов.
• Способность понятно объяснять технические риски нетехническим специалистам и формулировать рекомендации в виде конкретных, проверяемых и реализуемых мероприятий.
• Английский язык на уровне чтения и понимания технической документации, advisory, exploit write-up и отчетов по уязвимостям.
• Готовность к командировкам.
• Будет плюсом
• Наличие профилей на Bug Bounty-платформах, публичных отчетов об уязвимостях, CVE, write-up или технических публикаций.
• Сертификаты или подготовка к сертификациям: OSCP, OSWP, PNPT, eJPT, CHFI, GCFA, GCIH, PT-специалист, PT Expert Security Center, PT BlackBox, PT Web или аналоги.
• Опыт проведения пентестов и аудитов для корпоративной инфраструктуры, государственных заказчиков, промышленных предприятий или объектов КИИ.
• Понимание требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК/ФСБ и практики подготовки отчетных материалов для заказчиков с повышенными требованиями к формализации результатов.
• Опыт работы с Wazuh, Kaspersky Security Center, SIEM/IRP/SOAR-системами, EDR/XDR-решениями и инструментами анализа событий безопасности.
• Опыт анализа инцидентов, связанных с компрометацией Active Directory, серверной инфраструктуры, VPN, почтовых систем, веб-приложений и внешнего периметра.
• Опыт malware analysis и базового reverse engineering: Ghidra, IDA Free, x64dbg, strings, yara, capa, sandbox-среды.
• Опыт подготовки доказательных отчетов: описание вектора атаки, подтверждающие артефакты, оценка риска, рекомендации, план устранения и результаты ретеста.

Что предлагаем