Обязанности:
Мы компания Servicepipe - команда айтишников, которая работает на рынке ИБ более 7 лет. Наша компания разрабатывает решения, обеспечивающие доступность и безопасность онлайн-ресурсов и оказываем услуги на базе собственной распределённой инфраструктуры. Сегодня нам доверяют свою безопасность такие компании как Okko, Сбермаркет, Самокат, Точка банк, Tutu.ru и др. Мы быстро растём, и поэтому в команду эксплуатации мы ищем коллегу: Инженера WAF, который будет отвечать за управление системами WAF, а также их администрирование и принимать участие в развитии собственных решений по защите веб-приложений. Что нужно делать: Разработка и внедрение стратегии защиты веб-приложений с использованием WAF; Настройка и оптимизация правил WAF; Анализ логов WAF и выявление атак; Исследование новых уязвимостей и угроз; Проведение стресс-тестов и аудита безопасности веб-ресурсов заказчиков; Создание документации и инструкций по работе с WAF; Участие в разработке и развитии собственных решений по защите веб-приложений. Требования: Опыт работы 2+ лет в области информационной безопасности, с фокусом на веб-безопасности; Глубокие знания WAF опыт работы с различными WAF-решениями (ModSecurity, F5 BIG-IP ASM, PTAF, Solidwall и пр.), глубокое понимание их архитектуры и принципов работы; Глубокие знания сетевых и веб-технологий: стек TCP/IP, HTTP, HTTPS, WebSocket, различные методы аутентификации и авторизации; Знание и понимание уязвимостей OWASP Top 10: XSS, CSRF, SQLi, RCE и др; Опыт работы с инструментами: nmap, Burp Suite, OWASP ZAP, Nessus, Metasploit и другие; Большой опыт конфигурирования правил WAF, тонкая настройка для минимизации ложных срабатываний и закрытия zero-day уязвимостей; Умнение глубоко анализировать логи WAF и веб-сервера для выявления атак, falsepositive и пропущенных аномалий; Навыки автоматизации рутинных задач на предпочитаемом языке программирования (perl, python, etc.); Отслеживание последних тенденций в области веб-безопасности, анализ новых угроз и уязвимостей; Опыт анализа веб-приложений на уязвимости, умение анализировать отчеты систем автоматического пентестинга, выявление потенциальных векторов атак; Опыт проведения стресс-тестирования веб-приложений: определение максимальной производительности системы, выявление узких мест и оптимизация производительности под высокой нагрузкой. Условия: Свобода в выборе способов реализации новой задачи; Гибкая структура компании, прямое влияние на принятие решений; Свобода в формате работы: офис на Чеховской, удаленка, гибрид; Гибкий старт рабочего дня; Оформление по ТК; ДМС после испытательного срока; Частичная компенсация затрат на фитнес; Обучения, корпоративная библиотека за счет компании.