Старший инженер по наступательной безопасности веб-приложений

Что предстоит делать

Штаб-квартира: США, удаленно URL: http://horizon3.ai Познакомьтесь с нами Horizon3.ai — это быстрорастущая удаленная компания в сфере кибербезопасности, посвященная миссии предоставления организациям возможности активно находить, устранять и проверять эксплуатируемые векторы атак до того, как преступники смогут их использовать. Наш флагманский продукт, платформа NodeZero™, предоставляет безопасные для производства автономные пентесты и другие ключевые оценочные операции, которые масштабируются в самых крупных внутренних, внешних, облачных и гибридных облачных средах. NodeZero принят организациями всех размеров, от небольших учебных заведений до государственных учреждений и предприятий из списка Global 100. Он используется командами ITOps/SecOps, консалтинговыми пентестерами, а также MSSP и MSP. Мы представляем собой сплав бывших операционных специалистов по кибербезопасности Сил специальных операций США, инженеров стартапов и ранее разочарованных практиков кибербезопасности. Мы стремимся помочь решить наши общие проблемы безопасности: неэффективные инструменты безопасности, ложные срабатывания, приводящие к усталости от оповещений, слепые зоны, культура безопасности «для галочки», нехватка навыков в области кибербезопасности, а также длительные сроки и высокая стоимость найма внешних консультантов. В совокупности мы — команда тех, кто постоянно учится, приверженная культуре уважения, сотрудничества, ответственности и результатов. Краткое описание Мы ищем инженера-программиста по наступательной безопасности с обширным опытом тестирования на проникновение веб-приложений и растущим интересом к методам безопасности с использованием ИИ. Вы будете оказывать значительное влияние на то, как мы приносим пользу нашим клиентам, проектируя, разрабатывая и интегрируя контент для тестирования на проникновение веб-приложений в платформу NodeZero. Эта должность требует практического опыта в полномасштабном тестировании веб-приложений, подтвержденных навыков разработки программного обеспечения и энтузиазма в использовании новых технологий ИИ для расширения возможностей наступательной безопасности. Основные функции * Проектировать, разрабатывать и интегрировать контент для наступательной безопасности веб-приложений в платформу NodeZero. * Проектировать, разрабатывать и интегрировать новые атакующие возможности в платформу NodeZero, включая инструменты наступательной безопасности и методы с использованием ИИ. * Исследовать и внедрять методы на основе ИИ для обнаружения уязвимостей, эксплуатации и автоматизации рабочих процессов. * Расширять и поддерживать архитектуру платформы, модели данных и системный дизайн для поддержки новых функций продукта. * Отслеживать продуктивную среду на предмет проблем или упущенных возможностей, а также создавать или решать тикеты в Jira по мере необходимости. * Интегрировать инструменты с открытым исходным кодом и внутренние инструменты, обеспечивая качество с помощью тестирования, проверок кода и мониторинга продуктивной среды. * Исследовать, брать на себя ответственность и устранять ошибки в разработанном контенте. * Взаимодействовать с другими отделами для решения вопросов клиентов и потенциальных клиентов, связанных с атакующим контентом. * Писать технические статьи в блог, демонстрирующие новые исследования, эксплойты или методологии атак. * Наставлять младших инженеров и вносить вклад в непрерывное улучшение командных процессов и стандартов. Компетенции/Требования * Опыт проведения полномасштабных пентестов веб-приложений. * Опыт работы с прокси-инструментами, такими как Burp, и с инструментами разработчика браузера. * Владение объектно-ориентированным программированием и разработкой через тестирование, с сильными аналитическими способностями и навыками решения проблем. * Опыт применения инструментов разработки с помощью ИИ для задач исследования безопасности и автоматизации. * Любопытство к новым технологиям ИИ. * Навыки проектирования, оценки и коммуникации технических решений в контексте систем, API, алгоритмов и структур данных. * Знакомство с реляционными и графовыми базами данных, особенно Postgres и Neo4j. * Отличные навыки письменного и устного общения, включая составление технической документации. * Способность управлять несколькими приоритетами, работать самостоятельно и наставлять коллег с разным уровнем опыта. * Быстрое обучение и внедрение новых технологий по мере необходимости. * Подтвержденная история признанных исследований в области безопасности, включая задокументированные открытия CVE и ответственное раскрытие информации. * Подтвержденный опыт успешных взносов в программы bug bounty. Желательно/Плюсом * Опыт разработки программного обеспечения и автоматизации для помощи в пентестинге веб-приложений. * Опыт работы над крупномасштабными проектами разработки программного обеспечения. * Опыт тонкой настройки языковых моделей или внедрения генерации с дополненной выборкой (RAG) для приложений, ориентированных на безопасность. * Опыт работы с инструментами AI/LLM для построения агентных рабочих процессов (например, LangChain, LangFlow) и интеграции контекстных данных с использованием протоколов, таких как Model Context Protocol (MCP).

Что ждём от вас

• Выдающиеся способности к решению проблем.
• Быть самомотивированным и очень энергичным, чтобы иметь возможность эффективно работать при ограниченном контроле и руководстве.
• Работать с нашими исследователями безопасности, чтобы понимать технические аспекты реверс-инжиниринга эксплойтов и превращения этих эксплойтов в продукт.
• Сильные навыки технической документации и коммуникации.
• Документировать результаты, методологии и рекомендации как для технических, так и для нетехнических заинтересованных сторон.
• Уметь проектировать, представлять и оценивать технические решения.
• Что выделит вас среди других:
• Продемонстрированные примеры использования ИИ для улучшения или автоматизации разработки эксплойтов.
• Сертификация OSCP (Offensive Security Certified Professional).
• Необходимые поездки
• Мы полностью удаленная компания, и для успешной работы на этой должности могут потребоваться командировки до 15% рабочего времени. Расходы, связанные с командировками, проверяются и должны быть одобрены вашим руководителем.
• Преимущества работы в Horizon3.ai
• Инклюзивная команда: Мы ценим разнообразие и продвигаем инклюзивную культуру, где каждый может процветать.
• Возможности для роста: Будьте частью динамичной и растущей команды с многочисленными возможностями для карьерного развития.
• Инновационная культура: Работайте в среде сотрудничества, которая поощряет творчество и нестандартное мышление.
• Удаленная работа: Мы компания со 100% удаленной работой. Наслаждайтесь удобством и балансом между работой и личной жизнью, которые дает удаленная работа.
• Конкурентоспособная компенсация: Мы предлагаем конкурентоспособную заработную плату, опционы на акции и льготы. Наши льготы включают медицинскую, офтальмологическую и стоматологическую страховку для вас и вашей семьи, гибкую политику отпусков и щедрый отпуск по уходу за ребенком.
• Компенсация и ценности
• В Horizon мы считаем, что наши люди — это наш самый большой актив, и наша философия компенсации отражает эту основную ценность. Мы стремимся создавать среду, в которой все сотрудники чувствуют себя ценными, уважаемыми и вознагражденными за свой вклад. Наша структура компенсации разработана так, чтобы быть справедливой, конкурентоспособной и прозрачной, гарантируя, что каждый член команды признан и получает справедливую компенсацию в зависимости от роли, уровня и местоположения.
• В соответствии с законами о прозрачности различных штатов, мы предоставляем следующую информацию о диапазоне заработной платы для этой должности:
• Диапазон базовой заработной платы: 185 000 - 240 000 долларов США в год. Точная заработная плата будет определена на основе местоположения, квалификации, опыта и соответствующих навыков выбранного кандидата.
• Дополнительная компенсация: Все сотрудники, работающие полный рабочий день, имеют право на пакет опционов на акции в форме фондовых опционов.
• Вы принадлежите этому месту
• Horizon — это не просто работодатель, предоставляющий равные возможности — мы сообщество, которое ценит разнообразие, справедливость и инклюзивность как основополагающие принципы нашей культуры и успеха. Мы стремимся создавать рабочее место, где каждый чувствует себя желанным и уважаемым, независимо от расы, цвета кожи, религии, пола, национального происхождения, возраста, инвалидности, статуса ветерана, сексуальной ориентации, гендерной идентичности или самовыражения, генетической информации, семейного положения или любого другого статуса, защищенного законом.
• Наша приверженность разнообразию и инклюзивности означает, что мы стремимся привлекать, развивать и удерживать рабочую силу, которая отражает разнообразие сообществ, которым мы служим. Мы верим, что разнообразие точек зрения стимулирует инновации и укрепляет нашу способность создавать передовые решения в области кибербезопасности. В Horizon каждый член команды ценится и поддерживается в среде, которая поощряет личный и профессиональный рост.
• Мы приветствуем кандидатов из всех слоев общества и с любым опытом, и мы призываем всех квалифицированных лиц подавать заявки. Присоединяйтесь к Horizon, где ваш уникальный вклад признается, а ваш потенциал безграничен.
• Прочие обязанности
• Обратите внимание, что это описание должности не предназначено для охвата или содержания исчерпывающего перечня видов деятельности, обязанностей или ответственности, которые требуются от сотрудника. Обязанности, ответственность и виды деятельности могут быть изменены в любое время с уведомлением или без него.
• Для подачи заявки: https://weworkremotely.com/remote-jobs/horizon3-ai-webapp-offensive-security-software-engineer