Инженер ИБ (пентестер/исследователь)

БЕТСИТИ – высокотехнологичная букмекерская компания федерального уровня. С 2003 года разрабатываем IT-продукт и развиваем сферу спортивных развлечений. За 20 лет мы вошли в топ-5 компаний отрасли, открыли 100 клубов по всей России и собрали команду из более 1000 профессионалов. БЕТСИТИ – надежный работодатель. Мы инвестируем в здоровье и обучение наших сотрудников. Предлагаем работу в динамично развивающейся отрасли, интересную команду, насыщенную корпоративную жизнь, гибкий график и возможность удаленной работы. Мы поддерживаем российский спорт – к примеру, за последний год мы выплатили спортивным федерациям более 554 000 000 рублей. Мы стремительно растем и ставим перед собой амбициозные цели. Поэтому ищем Специалиста по тестированию на проникновение для реализации планов. Обязанности: Проведение сканирований, анализов защищённости и пентестов (различными методами, blackbox/graybox/whitebox) ИТ-ландшафта Компании - внутреннего и внешнего. Создание новых и улучшение имеющихся вспомогательных инструментов (скрипты, оснастки, полезные нагрузки, эксплойты/PoC) для проведения пентестов и анализов защищённости. Формирование отчётов и рекомендаций по устранению выявленных уязвимостей и слабостей. Участие в развитии имеющихся политик и процессов информационной безопасности Компании - Vulnerability Assessment, Patch Management, Security Awareness, Security Champions, Bug Bounty и др. Работа с внутренними тикет-системами Компании при выполнении рабочих задач (системы класса Atlassian/Jira). Развитие базы знаний Компании по своему профилю в рамках выполняемых задач (системы класса Atlassian/Confluence). Требования: Теоретические и практические знания в работе с сетевыми анализаторами и сканерами уязвимостей, например, Wireshark, Fiddler, Nmap, OpenVAS/GSA, NeXpose, XSpider, GFI LANguard, Retina Network Security Scanner, Saint, Nikto и др. Понимание и навыки работы с DAST/IAST/RASP-инструментами (динамический/интерактивный/рантайм анализ кода), например: Burp Suite, OWASP ZAP, Checkmarx, PVS-Studio, Fortify DAST (MicroFocus), WhiteHat Dynamic (Synopsys), Veracode Dynamic Analysis (Veracode) и др. Понимание процессов разработки безопасного ПО (РБПО, SDL, SSDLC, SCA, OSA) и навыки работы с SAST-инструментами (статический анализ кода), например: OWASP Dependency Check, SonarQube, SpotBugs, Semgrep, CodeQL и др. Навыки работы с SAST-инструментами поиска секретов в коде, например, Gitleaks, GitGuardian и им подобные. Опыт работы с инструментами анализа контейнерных сборок, например, Trivy, Clair, Falco, Dagda, Anchor, Docker Bench и др. Понимание принципов работы и технологий веб-приложений, например, websocket, REST, SOAP, OpenID, OAuth2, Security Headers: CORS (Cross-Origin Resource Sharing), HSTS (HTTP Strict Transport Security), SOP (Same-origin policy), CSP (Content Security Policy) и др. Понимание принципов построения атак (и защиты от них) на веб-приложения, мобильные приложения и информационные системы в целом, опыт использования проектов, фреймворков, рекомендаций, техник, тактик и процедур от (и/или) OWASP (безопасность web и мобильных приложений), PTES, MITRE ATT&CK, Lockheed Martin’s Cyber Kill Chain). Понимание и навыки применения методов социальной инженерии, OSINT-операций и других разведок, поиска, сбора и верификации информации в сети Интернете и теневых сетях (TOR, ZeroNet, I2P, IPFS, Freenet и др. p2p/i2p-реализации). Понимание принципов построения безопасных информационных систем и технологий защиты информации, например, WAF, VPN, VLAN, IPS/IDS, DLP, DPI и т.д Условия: Оформление в соответствии с ТК РФ ДМС со стоматологией Работа в аккредитованной Компании. Отсутствие бюрократии, здравый смысл и прозрачность процессов, насыщенная корпоративная жизнь Система адаптации – за новичком закрепляется ментор (куратор) и в части HR, и в части ИБ/ИТ Гибкое начало рабочего дня с 9 до 11 (по согласованию с руководителем и командой) Компания обеспечивает современным рабочим оборудованием Выбор удобного формата работы – офис, гибрид. Для Компании важны качество и сроки выполнения задач. Важно быть на одной волне с командой (по согласованию с руководителем и командой). Комфортный офис класса А в 5 мин пешком от м. Сокол. Команда крутых специалистов ждет тебя!