#вакансия #fulltime #фуллтайм #офис #Москва #middle #junior

Реверс инженер C/C++ (Windows)

Мы — Реверслаб, занимаемся разработкой решений в области кибербезопасности. В
связи с расширением команды ищем специалиста со знанием С/С++ и
реверс-инжиниринга ПО. Для нас важнее глубина знаний и умение решать задачи, чем
количество лет опыта.
Зарплата: 200-300 тыс на руки
Грейд: Jun+, middle

Обязанности:
- Разработка и оптимизация ПО на C/C++ для Windows.
- Реверс-инжиниринг программных продуктов.
- Анализ и исследование вредоносного ПО.
- Работа с дизассемблерами (IDA Pro и другие).
- Разработка инструментов для анализа файлов и трафика.

Требования:
- Уверенные знания C/C++ и Windows API.
- Опыт реверс-инжиниринга и работы с дизассемблерами (IDA Pro, Ghidra,
Radare2).
- Знания принципов работы антивирусных и защитных решений.
- Опыт с отладчиками (WinDbg, x64dbg, OllyDbg).
- Знание форматов исполняемых файлов (PE, ELF) и компиляторов.
- Базовые знания сетевых технологий и анализа трафика.
- Желательно знание технического английского.

Будет плюсом:
- Опыт работы с kernel-mode драйверами Windows.
- Знания криптографии и методов обхода защит.
- Опыт с инструментами автоматического анализа угроз.

Мы предлагаем:
- Офис в центре с удобной транспортной развязкой.
- Конкурентную заработную плату.
- Возможности для профессионального роста.
- Современные инструменты и исследовательские проекты в кибербезопасности.
- Команду опытных коллег

По более детальным вопросам вакансии писать @InfsecRL, будем рады видеть вас в
нашей команде!

Архитектор по Информационной безопасности AI/ML продуктов, билайн
ЗП: 450 000 ₽ nett.

Формат работы: гибрид/дистанционный

Локация: Вся Россия

Обязанности:

• Анализ угроз ИБ систем машинного обучения и их архитектуры.
• Анализ защищенности мобильных приложений и проведение пентеста мобильных приложений. Разработка методов защиты от атак на системы AI/ML.
• Проектирование, внедрение и управление решениями безопасности для систем машинного обучения.
• Проведение аудитов безопасности систем машинного обучения, сканирование их исходного кода и уязвимостей, проведение тестирования на проникновение.
• Предоставление экспертизы в области безопасности при внедрении новых технологий и методологий машинного обучения.
• Обнаружение уязвимостей (классификация в соответствии с БДУ ФСТЭК, OWASP, CWE/CVE) в системах использующих AI и ML.
• Оценка безопасность приложений, использующих AI\ML и их сетевой инфраструктуры на предмет соответствия требованиям регуляторов и оценка рисков ИБ.
• Улучшение инструментов тестирования ИБ и внедрение их в CI/CD процессы.

Требования:

• Опыт работы в ИБ на позициях пентестера и\или архитектора по ИБ.
• Понимание технологий построения ML-моделей и работы нейронных сетей.
• Опыт внедрения AI систем в IT ландшафт компании со стороны команды ИБ.
• Опыт работы с распространенными фреймворками машинного обучения.
• Знание принципов работы современных систем искусственного интеллекта и машинного обучения.
• Глубокое знание OWASP TOP10, SUNS 25, OWASP API Security и OWASP Mobile Security.
• Практический опыт моделирования угроз.
• Практический опыт работы со сканерами уязвимостей SAST, DAST, SCA и платформами OWASP ZAP, Burp, Nmap, Metasploit Framework, MaxPatrol, MobSF, nuclei, Jadx, Stingray.

Контакт: tg: https://t.iss.one/ekaivanova1

Penetration tester

ЗП: 200к на руки + % от стоимости
Уровень: Middle +
Формат: Удаленка

Ⓜ️ Мы — разработчик облачного сканера для поиска уязвимостей "Метаскан". Это сканирующее облако из ~200 серверов, использующих 29 различных инструментов (amass, ZAP, dirsearch, ffuf, wafw00f, hydra, patator, nuclei, etc) для поиска уязвимостей. Мы участвуем в разработке известных инструментов с открытым исходным кодом и публикуем эксплойты и инструменты для поиска уязвимостей. Сейчас мы в поисках сильного пентестера, с опытом работы в вебе и инфраструктуре.

🌐 Основная задача – Как член Offensive команды вы будете проводить проекты по тестированию на проникновение, начиная с этапа разведки и заканчивая пост-эксплуатацией. Вам будут доступны любые инструменты на ваше усмотрение и Метаскан как платформа уже реализующая 29 движков для поиска уязвимостей.

🌀 Нам важно,
Понимание Linux на уровне администратора;
Понимание сетевых технологий: Модель OSI, принципы IP маршрутизации, принцип работы прикладных протоколов (DNS, HTTP и д.р.);
Опыт работы с ZAP или BurpSuite;
Умение самостоятельно писать эксплойты или PoC под известные уязвимости;
Понимание эксплуатации уязвимостей из OWASP TOP 10

💠 Что мы предлагаем:
• Полная удаленка
• Удаленный формат работы
• Фиксированная часть дохода 200к на руки + % от стоимости каждого проекта (4-6 проекта в месяц)
• Обучение на курсах по Linux | Сетям | ИБ, за счет организации

📩 Контакты: @ShurochkaTatur

Компания Автомакон (направление Вкусвилл) ищет
Специалиста по информационной безопасности/триажера
Грейд: junior
Формат работы:
удалённая

Обязанности:
1. Ведение журналов PCI DSS (журналы инцидентов и уязвимостей) и постановка задач в корпоративные рабочие спейсы (например, Яндекс Трекер).
2. Мониторинг и анализ уязвимостей, выявленных в ходе тестирования (сканеры, пентест) и подготовка отчетов о состоянии безопасности.
3. Разработка и внедрение стратегий по устранению уязвимостей, взаимодействие с командами разработки и ИТ для повышения уровня безопасности.
4. Контроль устранения уязвимостей в активах компании и проведение мер по нейтрализации угроз, включая участие в расследовании инцидентов и разработку планов реагирования.
5. Участие в выстраивании процессов безопасной разработки при взаимодействии с методологами, архитекторами и командами разработки
6. Актуализация внутренних нормативных документов (ВНД) по ИБ и разработка технических регламентов, включая предложения по компенсационным мерам.
7. Исследование и контроль ИТ-инфраструктуры на предмет новых угроз и взаимодействие с ИТ-подразделениями для оперативного решения проблем.
8. Знание инструментов и методик пентеста (OWASP Top 10, Burp Suite/ZAP) для выявления и эксплуатации уязвимостей.

Требования:
1. Опыт работы в сфере ИБ от полугода (junior): пентестер, триажер, инженер по ИБ и т.п.
2. Навыки коммуникации и работы в команде, умение эффективно взаимодействовать с различными подразделениями.
3. Опыт работы в кибербезопасности с фокусом на анализ уязвимостей и стандарты ИБ. Опыт в пентесте приветствуется.
4. Уверенное знание основных принципов защиты информации, стандартов безопасности и методов тестирования на проникновение.
5. Опыт работы с инструментами для сканирования уязвимостей (Nessus, Qualys, Burp Suite и др.)
6. Знание OWASP Top 10 и типовых векторов атак, умение предложить меры по их митигации.
7. Высшее образование в области информационных технологий или кибербезопасности.

Мы предлагаем:
- Зарплатная вилка от 150 до 250 тыс. рублей в зависимости от опыта.
- Участие в сложных и интересных проектах по кибербезопасности и пентесту.
- Возможность влиять на безопасность крупной корпоративной инфраструктуры.
- Возможности для профессионального роста и обучения.
- Расширенный социальный пакет.
- И другие бонусы, про которые расскажем на собеседовании 🙂

Если вы готовы внести вклад в развитие кибербезопасности нашей компании и обладаете требуемыми знаниями и навыками, мы ждем ваше резюме!

Контакт:
@j_chueshova

Про покупательскую способность, бюджеты, корпорации и производные

В Турции сейчас можно приобрести самокат за 30 тыс. лир, а 15 лет назад можно было бы приобрести авто.

То же самое касается Аргентины, России и других стран.
Я не экономист, но кажется ЗП с того времени проиндексировали несопоставимо.

Я периодически слышу от работодателей, что бюджетирование — подсчет ФОТ сложный процесс, но сейчас зарплаты реально летят вверх и часть бизнеса, просто не знает как вытащить прибыль при адекватной индексации(15-20%), вынуждены выкручиваться — резать косты(сокращать и не индексировать).

Крупные игроки рынка просто перекупают сотрудников и все это еще больше становится похоже на киберпанковскую монополию(дуополию).

И получается так, что появляются какие-то темы, схемы, в которых все стремятся максимизировать прибыль. И все опять по кругу.


Кажется, нужно пытаться искать качественно новые решения, подходы которые будут содействовать развитию нашей экономике(внутри https://t.iss.one/CyberJobsRussia).

Играть по текущим правилам — идти на осознанное поражение

DevSecOps

Название компании: ITKey

ЗП: 450к гросс
Уровень: middle/ senior
Локация: РФ, удаленка или гибрид в МСК

Мы ищем талантливого инженера DevSecOps, который готов работать на стыке ИТ, программной инженерии и информационной безопасности, увлечённого открытым исходным кодом и его безопасной разработкой, а также поиском, устранением и минимизацией последствий уязвимостей в программном обеспечении.

Чем предстоит заниматься:
—Работа с уязвимостями, найденными в процессе сканирования или полученными от клиентов.
—Анализ уязвимостей, поиск способов эксплуатирования в существующих системах и поиск способов минимизации ущерба. Исправление уязвимостей (патчинг/пересборка, написание тестов).
—Разработка и поддержка Gitlab pipeline'ов.
—Подключение существующих и новых сканеров поиска уязвимостей в проектах компании.
—Доработка сканеров уязвимостей.
—Обеспечение безопасности ОС (Ubuntu, RHEL) и другого ПО, входящего в продукт.
—Создание и доработка существующих Ansible playbook'ов.
—Участие в разработке процессов информационной безопасности.
—Написание технической документации.

Мы ждем от кандидата:
—Знание и работа с методологиями DevSecOps.
—Практические навыки построения CI/CD (Jenkins, GitLab).
—Понимание процесса эксплуатации уязвимостей, проведение их оценки и переоценки, ведение их учета, контроль устранения. Мы ожидаем, что кандидат будет предлагать способы, смягчающие последствия, писать тесты, формировать бюллетени безопасности.
—Знание основных угроз веб и мобильных приложений (OWASP Top 10, CWE Top 25), методов защиты от них.
—Умение читать и писать код на Python, безопасная разработка.
—Уверенное владение Shell-скриптингом.
—Уверенное владение Ansible либо другой системой конфигурационного управления.
—Уверенное владение Docker либо другим инструментом управления контейнерами.
—Практический опыт администрирования Linux (Ubuntu, RHEL) в качестве серверной платформы. Требуется опыт работы с самой операционной системой Linux, а также с программным и аппаратным обеспечением в проде (выполнение бизнес-процессов).
—Понимание внутренних механизмов безопасности ОС Linux (Ubuntu, RHEL).
—Понимание принципов работы компьютерных сетей.
—Опыт работы с OpenStack либо другими облачными технологиями.
—Опыт работы с ПО: MariaDB, PostgreSQL, HAproxy, Nginx, Prometheus.
—Опыт работы с системами контроля версий (Git).
—Знание английского языка не ниже уровня чтения технической документации.

Условия:
—График работы 5/2 с возможностью гибридного формата или полного удалённого участия.
—Бессрочный трудовой договор.
—Бонусная система, включая проектные премии.
—ДМС, программы психологической поддержки.
—Компания оплачивает обучение и сертификацию.
—Возможность профессионального и карьерного роста.

Контакты для связи: @a_evseenkova

Сайт компании https://itkey.com
Сайт проекта https://keystack.ru/

Инженер по информационной безопасности в команду инфраструктуры

Локация: Москва
Уровень: middle/senior +
Формат: гибридный
Компания: Яндекс

Наша команда заботится о безопасности используемых умных решений, как внутренних, так и внешних. Ищем инженера, которому интересно анализировать безопасность коммерческих платформ умного офиса, видеоаналитики, датчиков, а также проектировать безопасные решения на их основе.

Задачи:
Участие в проектировании систем и архитектурного ревью безопасности решений, чтобы обеспечивать безопасность на сетевом, логическом уровне приложения, а также на уровне BMS-контроллеров. В том числе нужно будет заложить в архитектуру все необходимые требования безопасности: аутентификацию, авторизацию, ролевую модель, хранение секретов, сегментацию доступов. Необходимо составлять модели практически применимых угроз безопасности, оценивать риски на основе этих моделей, дизайнить компенсационные, защитные меры и проводить мониторинг на этапе проектирования.

Выполнение аудита безопасности разработанных систем и внедряемых решений: прикладных и сетевых протоколов взаимодействия, веб- и сетевых интерфейсов, конфигурации инфраструктуры и BMS-контроллеров — с наличием исходных кодов и без них, а также искать уязвимости, предлагать способы их устранения и меры, компенсирующие риски от потенциальных уязвимостей, помогать в их внедрении.

Вам предстоит консультировать по вопросам информационной безопасности команды эксплуатации и разработки BMS (Building Management System) с использованием сетей общего назначения и сетей LoRaWAN, содержащих различные компоненты: IoT (сенсоры, приводы), контроллеры, интерфейсы, приложения, linux-based-инфраструктуру.

Мы ждем, что вы:
- Занимались безопасностью веб-приложений, эксплуатацией уязвимостей в них
- Понимаете, как работают современные BMS-решения или готовы в это погрузиться
- Имеете опыт анализа безопасности проприетарных решений
- Понимаете важность механизмов аутентификации и авторизации при внедрении коммерческих продуктов

Контакты: @kskuzn

Yandex Cloud представит новые технологии для информационной безопасности

9 апреля в 14:00 Yandex Cloud представит решения для реагирования на угрозы и повышения безопасности инфраструктуры бизнеса.
Облачный провайдер презентует не только кейсы и сценарии применения ИБ-продуктов, но и новый сервис, который поможет усилить безопасность облачной инфраструктуры:

1. Cервис класса MDR/SOCaaS: единая система мониторинга и реагирования на инциденты ИБ

2. Yandex Security Deck (CNAPP): платформа с обновленными модулями (DSPM, CSPM, Access Transparency) для защиты данных, приложений и облачных ресурсов

3. Cloud Desktop (VDI): безопасное управление виртуальными рабочими столами в облаке

📌Кому будет актуально мероприятие?

Руководителям SOC, CISO и менеджерам по информационной безопасности

Регистрируйтесь и узнайте все про информационную безопасность.

Главный инженер по информационной безопасности
Гибридный формат работы (Москва)
Уровень дохода: до 450к gross

Factory5 — российский разработчик IT-решений для промышленности и логистики. Наши решения помогают оптимизировать бизнес-процессы и повышать показатели эффективности бизнеса с помощью алгоритмов и анализа больших данных.

Обязанности:

- Проработка архитектурных решений по направлению ИБ;
- Контроль реализации требований ИБ;
- Выявление угроз и оценка рисков ИБ для бизнес-процессов, сервисов и компонентов ИТ инфраструктуры;
- Внедрение и управление средствами безопасности (NGFW, IPS/IDS, VPN, NAC, NTA, WAF, 2FA, Antispam);
- Аудит, Hardening ИБ конфигурации;
- Анализ настроек сетевой безопасности;
- Мониторинг эксплуатируемого оборудования и систем;
- Разработка технической документации: Сетевые схемы, Профили настроек, Руководства администраторов/пользователей и пр.;
- Тестирование и внедрение новых механизмов обеспечения ИБ;
- Выявление и устранение уязвимостей, управление рисками;
- Участие в расследовании и решении инцидентов информационной безопасности;
- Участие в проектах в качестве эксперта по обеспечению безопасности ИТ-инфраструктуры;

Требования:
- Опыт работы в сфере информационной безопасности не менее 5-х лет;
- Практический опыт работы с минимум одним продуктом следующих вендоров: Код Безопасности (Континент 4), Cisco ASA, Juniper, FortiNet, CheckPoint, PaloAlto;
- Хорошее понимание сетевых технологий и протоколов;
- Навыки работы со сканерами уязвимостей;
- Опыт внедрения и администрирования AV, WAF, NGFW, DCAP;
- Базовое знание законов и нормативных правовых актов РФ в области информационной безопасности;
- Экспертное знание Linux и платформ виртуализации (Zvirt, Vmware) как преимущество;

Условия:
- Гибридный формат работы (офис недалеко от м Профсоюзная);
- Kорпоративы, спортивные мероприятия (корпоративные клубы по бегу, хоккею);
- ДМС со стоматологией;
- Бонусы аккредитованной ИТ-компании.

Для связи: @asitni

#вакансия #Okko #appsec #middle #senior #remote #удаленка #гибрид

Вакансия: Appsec/Cпециалист по веб-защищенности
Компания: Okko (okko.tv)
Формат: удалёнка fulltime, гибрид С-Пб, Москва
ЗП: 200 000-300 000 руб на руки
Требуемый опыт: от 3-х лет

Привет! Okko (крупнейший онлайн кинотеатр Okko.ru).
Мы растём и развиваемся с 2011 года. Ежемесячно нас смотрят миллионы пользователей: на смартфонах, Smart TV и компьютерах. За всем этим стоит работа большой и сильной команды.

✔️Чем предстоит заниматься:
• Участием в построении процесса безопасной разработки ПО (Security SDLC);
• тестированием безопасности и проверки кода для повышения безопасности программного продукта;
• консультированием разработчиков и тестировщиков по вопросам безопасности;
• анализом угроз и участием в аудитах безопасности веб и мобильных приложений;
• реагированием на инциденты безопасности.

✔️Для нас важно:
• Понимание принципов работы технологий CI/CD, контейнеризации и оркестрации;
• знание одного из языков программирования: Bash, Python, Go;
• понимание причин возникновения уязвимостей;
• опыт поиска и эксплуатации уязвимостей;
• понимание стека веб-приложений (backend, frontend);
• понимание принципов разработки безопасных веб/мобильных и серверных приложений, методов безопасной разработки (SSDLC, SAMM);
• знание основных видов уязвимостей, атак и техник их проведения, методик тестирования (OWASP, CWE, OSSTMM, MITRE ATT&CK, SQLi, DoS, CSRF, XSS, Code inijection и т.д.);
• понимание работы веб-протоколов и технологий (HTTP, HTTPS, SOAP, AJAX, JSON, REST), основных веб-уязвимостей (OWASP Top 10).

✔️Почему с нами классно:
• Удаленка, гибрид;
• ДМС со стоматологией, офисный врач, доплата больничного листа, корпоративные скидки;
• Льготные условия ипотеки в рамках зарплатного проекта;
• Бесплатная подписка на сервисы партнеров;
• Совместные занятия спортом: йога, футбол, волейбол;
• Насыщенная корпоративная жизнь.
☀️🏖🍹

✅Если интересно, пиши. 👉 @NChugreeva Наташа

Инженер по информационной безопасности (Junior)
ЗП: 70000-90000 руб на руки
Формат: офис, гибрид Ярославль, Уфа, Кострома, Тюмень, Казань, Екатеринбург, Калининград
Мы - Компания Тензор. Сейчас мы в поисках начинающего пентестера, который будет заниматься менеджментом уязвимостей (Vulnerability Management).
✔️Чем предстоит заниматься
• сканировать инфраструктуру компании на появление новых CVE (БДУ) в стороннем ПО. У нас уже есть поставленный процесс и развернутые инструменты;
• оценивать найденные уязвимости и контролировать их исправление;
• участвовать в пилотировании новых решений для Vulnerability Management.
✔️Для нас важно:
• понимание процессов Vulnerability Management;
• знание принципов работы сканеров безопасности;
• навыки программирования (в идеале – на Python);
• умение работать в консоли.
✔️Будет плюсом:
• опыт участия в CTF (наличие профиля на площадках tryhackme, hackthebox e.t.c);
• умение находить, дорабатывать и использовать эксплойты к CVE;
• наличие профильных сертификатов или свидетельств о прохождении курсов;
• опыт работы в Vulnerability Management;
• понимание MITRE AT&ACK.
✔️Мы предлагаем:
• гордость за развитие безопасности инфраструктуры крупнейшей IT-компании;
• финансовую безопасность: стабильная зарплата + премии по итогам работы (до 20% от оклада ежемесячно + отдельные вознаграждения за участие в проектах);
• реальный карьерный рост: как вертикальный, так и горизонтальный;
• комфорт: удобный график с гибким началом рабочего дня;
• непрерывное развитие: обучение за счет компании, участие в образовательных проектах, возможность представлять Тензор на профильных митапах или крупных конференциях;
• яркую корпоративную жизнь: конкурсы, турпоходы, соревнования.
Если интересно, пиши: https://t.iss.one/HrIlonaTensor