Аналитик уязвимостей

Компания "A&D Mortgage"

Мы строим технологичную финтех-компанию ИТ Контакт: с 2019 года мы создаем современные цифровые платформы, которые позволяют упростить процессы, снизить затраты и повысить безопасность сделок, связанных с приобретением жилья.

Благодаря нашей работе множество людей по всему миру смогли воплотить в жизнь мечту о собственном доме. Нас уже более 600 человек, и, в связи с активным ростом компании, мы находимся в поисках Аналитика уязвимостей (со знанием пентеста) в нашу команду.

Вы станете ключевым специалистом в процессе управления уязвимостями (Vulnerability Management). Ваша задача - не просто находить "слабые места", а оценивать реальные риски для бизнеса, моделируя возможные атаки. Вы будете связующим звеном между сканерами безопасности, командой безопасности и IT-командами, помогая эффективно и приоритетно устранять самые опасные угрозы.

Кого мы ищем?

• Опыт работы в сфере информационной безопасности от 2 лет, из них 1 год - на позиции аналитика (SOC, VM) или пентестера;

• Глубокий практический опыт работы с системами сканирования уязвимостей (Qualys, Tenable.io / Nessus, Rapid7 Insight VM) и базами уязвимостей (CVE, NVD);

• Навыки пентестера для верификации уязвимостей:

  • Понимание и практический опыт эксплуатации уязвимостей из OWASP Top 10, SANS Top 25;

  • Умение работать с инструментами: Burp Suite (для веб), Nmap, Metasploit, sqlmap, средствами для эксплуатации сетевых уязвимостей;

  • Способность написать простой proof-of-concept (PoC) для демонстрации риска.

• Отличные знания сетевых технологий, стеков TCP/IP, веб-архитектур и операционных систем (Windows, Linux);

• Навыки программирования / скриптования для автоматизации (Python - обязательно, Bash/PowerShell);

• Умение четко доносить техническую информацию как до технических специалистов, так и до менеджмента;

• Знание английского языка (уровень B1).

Будет плюсом:

• Опыт работы в крупной распределенной инфраструктуре (500+ хостов);

• Опыт работы с MITRe ATT&CK для маппинга уязвимостей на тактики атакующих;

• Наличие отраслевых сертификатов: OSCP (golden standard), PNPT, CVD;

• Понимание жизненного цикла разработки ПО (SDLC) и принципов DevSecOps;

• Знание облачных платформ (AWS, Azure and GCP) и их сервисов безопасности.

Чем вы будете заниматься:

• Полный цикл управления уязвимостями: от сканирования и обнаружения до верификации, приоритизации и контроля устранения;

• Углубленный анализ и верификация результатов сканирования (от Qulys, Tenable, MaxPatrol, Rapid7, OpenVas) с использованием методов пентеста для оценки реальной эксплуатируемости уязвимостей;

• Приоритизация уязвимостей на основе контекста бизнеса, данных об угрозах (Threat Intelligence), оценок CVSS/EPSS и потенциального воздействия;

• Техническая консультация и коммуникация с командами разработки, системными администраторами и сетевыми инженерами по вопросам устранения уязвимостей;

• Подготовка понятных отчетов и метрик для руководства и технических специалистов (патч-треки, KPI, риск-аппетиты);

• Автоматизации рутинных процессов (парсинг отчетов, создание тикетов, сбор контекстной информации);

• Участие в проектах по повышению безопасности (консультирование на этапе дизайна, review конфигураций).

Что мы предлагаем:

• Аккредитованная IT-компания;

• Комфортный офис в центре Санкт-Петербурга;

• Предсказуемый график работы 5/2;

• Мультикультурная амбициозная команда;

• Общение на иностранных языках с коллегами и клиентами;

• Внутреннее комьюнити для сотрудников: кафетерий льгот для сотрудников, сообщества по интересам, участие в спортивных турнирах, благотворительные программы и т.д.