Аналитик уязвимостей (Vulnerability Management)

Аналитик уязвимостей

Компания

ИТ Контакт 4.67

Условия

Требования

Пентестер Middle Английский язык Санкт-Петербург Мы строим технологичную финтех-компанию ИТ Контакт: с 2019 года мы создаем современные цифровые платформы, которые позволяют упростить процессы, снизить затраты и повысить безопасность сделок, связанных с приобретением жилья. Благодаря нашей работе множество людей по всему миру смогли воплотить в жизнь мечту о собственном доме. Нас уже более 600 человек, и, в связи с активным ростом компании, мы находимся в поискахАналитика уязвимостей в нашу команду.

Вы станете ключевым специалистом в процессе управления уязвимостями (Vulnerability Management). Ваша задача - не просто находить "слабые места", а оценивать реальные риски для бизнеса, моделируя возможные атаки. Вы будете связующим звеном между сканерами безопасности, командой безопасности и IT-командами, помогая эффективно и приоритетно устранять самые опасные угрозы. Кого мы ищем?

• Опыт работы в сфере информационной безопасности от 2 лет, из них 1 год - на позиции аналитика (SOC, VM) или пентестера;
• Глубокий практический опыт работы с системами сканирования уязвимостей (Qualys, Tenable.io / Nessus, Rapid7 Insight VM) и базами уязвимостей (CVE, NVD);
• Навыки пентестера для верификации уязвимостей:
  • Понимание и практический опыт эксплуатации уязвимостей из OWASP Top 10, SANS Top 25;
  • Умение работать с инструментами: Burp Suite (для веб), Nmap, Metasploit, sqlmap, средствами для эксплуатации сетевых уязвимостей;
  • Способность написать простой proof-of-concept (PoC) для демонстрации риска.
• Отличные знания сетевых технологий, стеков TCP/IP, веб-архитектур и операционных систем (Windows, Linux);
• Навыки программирования / скриптования для автоматизации (Python - обязательно, Bash/PowerShell);
• Умение четко доносить техническую информацию как до технических специалистов, так и до менеджмента;
• Знание английского языка (уровень B1).

Будет плюсом:

• Опыт работы в крупной распределенной инфраструктуре (500+ хостов);
• Опыт работы с MITRe ATT&CK для маппинга уязвимостей на тактики атакующих;
• Наличие отраслевых сертификатов: OSCP (golden standard), PNPT, CVD;
• Понимание жизненного цикла разработки ПО (SDLC) и принципов DevSecOps;
• Знание облачных платформ (AWS, Azure and GCP) и их сервисов безопасности.

Чем вы будете заниматься:

• Полный цикл управления уязвимостями: от сканирования и обнаружения до верификации, приоритизации и контроля устранения;
• Углубленный анализ и верификация результатов сканирования (от Qulys, Tenable, MaxPatrol, Rapid7, OpenVas) с использованием методов пентеста для оценки реальной эксплуатируемости уязвимостей;
• Приоритизация уязвимостей на основе контекста бизнеса, данных об угрозах (Threat Intelligence), оценок CVSS/EPSS и потенциального воздействия;
• Техническая консультация и коммуникация с командами разработки, системными администраторами и сетевыми инженерами по вопросам устранения уязвимостей;
• Подготовка понятных отчетов и метрик для руководства и технических специалистов (патч-треки, KPI, риск-аппетиты);
• Автоматизации рутинных процессов (парсинг отчетов, создание тикетов, сбор контекстной информации);
• Участие в проектах по повышению безопасности (консультирование на этапе дизайна, review конфигураций).

Что мы предлагаем:

• Аккредитованная IT-компания;
• Комфортный офис в центре Санкт-Петербурга;
• Предсказуемый график работы 5/2;
• Мультикультурная амбициозная команда;
• Общение на иностранных языках с коллегами и клиентами;
• Внутреннее комьюнити для сотрудников: кафетерий льгот для сотрудников, сообщества по интересам, участие в спортивных турнирах, благотворительные программы и т.д.

Показать контакты