Обязанности:
Мы ищем специалиста на стыке Offensive Security и Digital Forensics & Incident Response (DFIR). Предстоит не только искать и подтверждать уязвимости, но и участвовать в расследовании инцидентов информационной безопасности, анализировать скомпрометированные системы, проверять следы атак, работать с журналами, сетевым трафиком и цифровыми артефактами. Практический фокус позиции — корпоративная инфраструктура, веб-приложения, Active Directory, серверные среды Windows/Linux, внешние и внутренние периметры, ретесты после устранения уязвимостей, а также подготовка понятной и доказательной отчетности для технических специалистов, руководителей и заказчиков с повышенными требованиями к формализации результатов. Чем предстоит заниматься · Проводить тесты на проникновение Black/Grey/White box для веб-приложений, сетевой инфраструктуры, внешнего и внутреннего периметра. · Выполнять внутренний пентест корпоративной инфраструктуры: Active Directory, серверная инфраструктура Windows/Linux, терминальные серверы, VPN, сетевые сервисы, файловые ресурсы, административные интерфейсы, сегментация сети и межсетевое взаимодействие. · Проверять безопасность Active Directory: избыточные привилегии, небезопасные делегирования, Kerberoasting/AS-REP Roasting, Pass-the-Hash/Pass-the-Ticket, NTLM, GPO, локальные администраторы, сервисные учетные записи, LAPS/gMSA и возможные сценарии lateral movement. · Организовывать и участвовать в регулярных сканированиях на уязвимости с последующим анализом результатов, приоритизацией рисков и контролем устранения. · Проводить ретесты после устранения выявленных уязвимостей: подтверждать факт исправления, фиксировать остаточные риски, готовить заключения и рекомендации по дальнейшему снижению рисков. · Развивать внутреннюю программу Bug Bounty и взаимодействовать с внешними исследователями: верифицировать отчеты, уточнять воспроизводимость, оценивать риск и контролировать устранение. · Расследовать инциденты ИБ: анализировать скомпрометированные хосты, серверы, учетные записи, сетевой трафик, журналы событий и возможные следы закрепления злоумышленника. · Проводить компьютерно-технический анализ: сбор и анализ образов дисков, оперативной памяти, артефактов Windows/Linux, реестра Windows, файловых систем, журналов и временных файлов. · Анализировать события SIEM/EDR/AV/KSC/Wazuh: проверять полноту логирования, искать признаки компрометации, формировать гипотезы расследования и помогать в создании правил детектирования. · Восстанавливать удаленные файлы и выполнять первичный анализ вредоносного ПО: статический анализ, запуск в песочнице, базовый reverse engineering в пределах компетенции Middle-специалиста. · Работать в продуктивных средах заказчиков с соблюдением согласованного scope, временных окон и правил проведения работ. Вести журнал действий, фиксировать ограничения, недоступность систем, изменения в инфраструктуре и иные обстоятельства, влияющие на результат проверки. · Готовить отчеты разного уровня детализации: технические отчеты для ИТ- и ИБ-специалистов, управленческие справки для руководства, итоговые заключения по результатам пентеста, ретеста и расследования инцидентов. Наши ожидания · От 2 лет коммерческого опыта в информационной безопасности с уверенной практикой в пентесте, инфраструктурной безопасности и/или расследовании инцидентов. · Глубокое понимание модели OSI, стека TCP/IP, сетевых протоколов, маршрутизации, VLAN, ACL, VPN, DNS, HTTP/HTTPS, SMTP, SMB, RDP, WinRM, LDAP/Kerberos. · Уверенное знание архитектуры Windows и Linux на уровне анализа процессов, служб, реестра, файловых систем, прав доступа, журналов событий и механизмов аутентификации. · Понимание OWASP Top 10 и методов эксплуатации уязвимостей: SQLi, XSS, SSRF, IDOR, XXE, RCE, insecure deserialization, auth bypass, business logic flaws. · Практический опыт работы с Active Directory и понимание основных векторов атак на доменную инфраструктуру. · Уверенное владение инструментарием: Burp Suite, Nmap, Wireshark, Metasploit, Impacket, BloodHound/SharpHound, SQLmap, nuclei, ffuf/gobuster, CrackMapExec/NetExec или аналогами. · Опыт работы с инструментами компьютерной криминалистики: Volatility, Autopsy, FTK Imager, Sleuth Kit, KAPE, Eric Zimmerman Tools или open-source аналогами. · Навыки анализа журналов событий Windows Event Logs, Sysmon, Linux auditd/auth.log/syslog, SIEM-событий и сетевого трафика PCAP для поиска следов присутствия злоумышленника. · Умение писать скрипты для автоматизации рутинных задач на Python, Bash или PowerShell. · Умение аккуратно работать в инфраструктуре заказчика, соблюдать границы работ, фиксировать действия и не создавать необоснованных рисков для продуктивных сервисов. · Способность понятно объяснять технические риски нетехническим специалистам и формулировать рекомендации в виде конкретных, проверяемых и реализуемых мероприятий. · Английский язык на уровне чтения и понимания технической документации, advisory, exploit write-up и отчетов по уязвимостям.· Готовность к командировкам. Будет плюсом · Наличие профилей на Bug Bounty-платформах, публичных отчетов об уязвимостях, CVE, write-up или технических публикаций. · Сертификаты или подготовка к сертификациям: OSCP, OSWP, PNPT, eJPT, CHFI, GCFA, GCIH, PT-специалист, PT Expert Security Center, PT BlackBox, PT Web или аналоги. · Опыт проведения пентестов и аудитов для корпоративной инфраструктуры, государственных заказчиков, промышленных предприятий или объектов КИИ. · Понимание требований 152-ФЗ, 187-ФЗ, приказов ФСТЭК/ФСБ и практики подготовки отчетных материалов для заказчиков с повышенными требованиями к формализации результатов. · Опыт работы с Wazuh, Kaspersky Security Center, SIEM/IRP/SOAR-системами, EDR/XDR-решениями и инструментами анализа событий безопасности. · Опыт анализа инцидентов, связанных с компрометацией Active Directory, серверной инфраструктуры, VPN, почтовых систем, веб-приложений и внешнего периметра. · Опыт malware analysis и базового reverse engineering: Ghidra, IDA Free, x64dbg, strings, yara, capa, sandbox-среды. · Опыт подготовки доказательных отчетов: описание вектора атаки, подтверждающие артефакты, оценка риска, рекомендации, план устранения и результаты ретеста. Мы предлагаем · Гибридный, удаленный или офисный формат работы — по договоренности. · Гибкое начало рабочего дня. · Официальное трудоустройство по ТК РФ. · Сложные и интересные задачи по выстраиванию безопасности с нуля или развитию текущей архитектуры у заказчиков. · Практику на реальных инфраструктурных проектах: пентест, аудит, DFIR, ретесты, анализ защищенности, отчетность для бизнеса и технических команд. · Возможность обучения и сертификации за счет компании. · Профессиональный и карьерный рост в команде технических экспертов.Похожие вакансии
Инженер по расследованию инцидентов ИБ
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
Cloud.ru
Главный специалист по менеджменту инцидентов ИБ
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
Газпромнефть-Региональные продажи
Специалист по расследованию и реагированию на угрозы ИБ
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
DatsTeam
Специалист по расследованию и реагированию на угрозы ИБ
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
Positive Technologies
Security Assessment Specialist (Web pentest)
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
Лаборатория Касперского
Специалист по пентесту (pentester) / мидл+ / синьор
Договорная
Москва. Станции метро: Чистые пруды, Тургеневская, Китай-город
РТ-Информационная безопасность