Специалист по тестированию на проникновение

Что предстоит делать

Andersen hiring a Penetration Tester для усиления безопасности приложений и инфраструктуры в международных цифровых проектах. Andersen — это pre-IPO компания по разработке программного обеспечения, предоставляющая полный цикл услуг. На протяжении более 19 лет мы помогаем предприятиям и компаниям среднего бизнеса по всему миру трансформировать свой бизнес, создавая эффективные цифровые решения с использованием инновационных технологий. Сегодня мы работаем с организациями из разных уголков мира, включая Северную Америку, Западную Европу, Израиль, Австралию и ОАЭ. Наша экспертиза охватывает FinTech, Healthcare, Retail, Telecom, Media & Entertainment, Logistics, Travel & Hospitality, eCommerce и другие отрасли.

• Проведение и фасилитация воркшопов с заказчиками.
• Коммуникация с лидами и стейкхолдерами во время pre-sales звонков.
• Сбор и анализ бизнес- и технических требований.
• Подготовка оценки объема работ для коммерческих предложений, включая приблизительные и детальные оценки.
• Выполнение тестов на проникновение веб-серверов, веб-приложений и внутренней инфраструктуры.
• Управление программой безопасности приложений, включая внедрение SSDLC для высокодинамичной и обширной команды инженеров.
• Управление внутренней программой bug bounty, валидация и триаж найденных уязвимостей, контроль выполнения рекомендаций по их устранению.
• Проверка кодовых баз IaC на предмет ошибок конфигурации безопасности и уязвимостей, а также обеспечение безопасности CI/CD пайплайнов GitOps.
• Интеграция и настройка инструментов SAST/DAST (CodeQL, SonarQube, Burp Enterprise) для оптимизации производительности сборки и обнаружения уязвимостей.
• Обеспечение безопасности cloud-native инфраструктуры (Azure, AWS) и кластеров Kubernetes с помощью пользовательских политик и runtime-защиты.
• Внедрение лучших практик безопасности для серверов Linux и Windows в рамках процесса hardening.
• Администрирование сетевого оборудования и межсетевых экранов (Cisco ASA, pfSense) с учетом лучших практик безопасности.
• Поддержка разработки и внедрения политик информационной безопасности в обширной, охватывающей несколько стран цифровой инфраструктуре.
• Содействие во внедрении решений безопасности, таких как NGFW, EDR, IDS/IPS.
• Участие в тестах на проникновение, проводимых старшими тестировщиками (shadowing).
• Выполнение задач, таких как сбор информации, анализ уязвимостей и написание отчетов.
• Проведение аудитов безопасности сетевых устройств для обеспечения соответствия лучшим практикам безопасности.
• Обязательные требования:
• Уверенный практический опыт в области безопасности приложений / тестирования на проникновение от 2+ лет.
• Глубокая экспертиза в тестировании веб-приложений на проникновение и оценке уязвимостей.
• Опыт обеспечения безопасности cloud-native сред (AWS и/или Azure).
• Практические знания по внедрению SSDLC и практик безопасной разработки.
• Опыт проверки и обеспечения безопасности CI/CD и GitOps пайплайнов.
• Сильное понимание безопасности IaC (Terraform, Ansible, проверка кода инфраструктуры).
• Опыт работы с безопасностью Kubernetes/контейнеров.
• Практический опыт работы с инструментами безопасности, такими как Burp Suite, Metasploit, Trivy, Falco, SAST/DAST инструменты.
• Глубокие знания в области сетей и безопасности инфраструктуры (TCP/IP, межсетевые экраны, маршрутизация, коммутация).
• Опыт тестирования на проникновение инфраструктуры/сетей.
• Глубокие знания по hardening безопасности Linux и Windows.
• Навыки написания скриптов (Python, Bash, PowerShell).
• Опыт написания технических отчетов по безопасности и донесения результатов до инженерных/бизнес-стейкхолдеров.
• Опыт непосредственной работы с разработчиками для устранения уязвимостей.
• Понимание стандартов безопасности / фреймворков соответствия (SOC2, ISO27001 и т.д.).
• Способность самостоятельно работать в среде с самоуправлением.
• Уровень английского языка – Upper-Intermediate и выше.
• Желательно:
• Сертификация OSCP.
• Опыт участия в программах bug bounty.
• Опыт проведения упражнений по моделированию угроз (threat modeling).
• Знание безопасности Active Directory и распространенных техник эксплуатации.
• Опыт работы с VMware/vSphere или технологиями виртуализации.
• Опыт создания или улучшения инфраструктуры логирования/мониторинга безопасности.
• Опыт определения или внедрения корпоративных политик безопасности.
• Опыт работы в blue team / защитных мероприятиях по безопасности.
• Опыт работы в крупных корпоративных средах.
• Опыт работы в продуктовых компаниях, а не только в аутсорсинге/консалтинге.
• Опыт обеспечения безопасности высоконагруженных или интенсивно использующих данные приложений.
• Знакомство с практиками DevSecOps и автоматизацией безопасности.
• Предыдущий опыт менторства или технического лидерства.
• Опыт координации работы с кросc-функциональными стейкхолдерами и инженерными командами.
• Почему эта работа будет вам интересна:
• Andersen сотрудничает с такими компаниями, как Siemens, Johnson & Johnson, AstraZeneca, BNP Paribas, Allianz, Ryanair, TUI, Verivox, Media Markt и другими.
• За последние четыре года наша компания ежегодно росла на 60–100%, и мы постоянно привлекаем в команду высококлассных специалистов.
• В Andersen действуют системы менторства и адаптации для новых сотрудников, а прозрачные системы оценки эффективности и результатов позволят вам определить свой путь развития и спланировать свой рост.
• Самое главное, что мы ценим в наших сотрудниках, — это стремление к непрерывному обучению. Компания поддерживает их в этом и предоставляет доступ к лучшим образовательным платформам, семинарам и практикам. Кроме того, за более чем 19 лет Andersen собрал огромную базу знаний и создал надежный институт управления ресурсами.
• Мы укрепляем свою экспертизу с 2007 года. За это время мы сформировали отличные команды с отлаженными процессами, где вы можете каждый день узнавать что-то новое от коллег и получать удовольствие от работы.
• Мы — классный молодой коллектив единомышленников, общающийся неформально.
• У вас будет стабильная и конкурентоспособная заработная плата и обширный социальный пакет.
• В Andersen есть много разных способов расти. Вы можете совершенствоваться как специалист или как менеджер, и вся ваша деятельность будет достойно вознаграждена.
• Присоединяйтесь к нам!