Работа в России, вакансия - Аналитик уязвимостей • Санкт-Петербург - id378

Мы строим технологичную финтех-компанию ИТ Контакт: с 2019 года мы создаем современные цифровые платформы, которые позволяют упростить процессы, снизить затраты и повысить безопасность сделок, связанных с приобретением жилья.

Благодаря нашей работе множество людей по всему миру смогли воплотить в жизнь мечту о собственном доме. Нас уже более 600 человек, и, в связи с активным ростом компании, мы находимся в поисках Аналитика уязвимостей (со знанием пентеста) в нашу команду.

Вы станете ключевым специалистом в процессе управления уязвимостями (Vulnerability Management). Ваша задача - не просто находить слабые места , а оценивать реальные риски для бизнеса, моделируя возможные атаки. Вы будете связующим звеном между сканерами безопасности, командой безопасности и IT-командами, помогая эффективно и приоритетно устранять самые опасные угрозы.

Кого мы ищем?

• Опыт работы в сфере информационной безопасности от 2 лет, из них 1 год - на позиции аналитика (SOC, VM) или пентестера

• Глубокий практический опыт работы с системами сканирования уязвимостей (Qualys, Tenable.io / Nessus, Rapid7 Insight VM) и базами уязвимостей (CVE, NVD)

• Навыки пентестера для верификации уязвимостей:

  • Понимание и практический опыт эксплуатации уязвимостей из OWASP Top 10, SANS Top 25

  • Умение работать с инструментами: Burp Suite (для веб), Nmap, Metasploit, sqlmap, средствами для эксплуатации сетевых уязвимостей

  • Способность написать простой proof-of-concept (PoC) для демонстрации риска.

• Отличные знания сетевых технологий, стеков TCP/IP, веб-архитектур и операционных систем (Windows, Linux)

• Навыки программирования / скриптования для автоматизации (Python - обязательно, Bash/PowerShell)

• Умение четко доносить техническую информацию как до технических специалистов, так и до менеджмента

• Знание английского языка (уровень B1).

Будет плюсом:

• Опыт работы в крупной распределенной инфраструктуре (500+ хостов)

• Опыт работы с MITRe ATT& CK для маппинга уязвимостей на тактики атакующих

• Наличие отраслевых сертификатов: OSCP (golden standard), PNPT, CVD

• Понимание жизненного цикла разработки ПО (SDLC) и принципов DevSecOps

• Знание облачных платформ (AWS, Azure and GCP) и их сервисов безопасности.

Чем вы будете заниматься:

• Полный цикл управления уязвимостями: от сканирования и обнаружения до верификации, приоритизации и контроля устранения

• Углубленный анализ и верификация результатов сканирования (от Qulys, Tenable, MaxPatrol, Rapid7, OpenVas) с использованием методов пентеста для оценки реальной эксплуатируемости уязвимостей

• Приоритизация уязвимостей на основе контекста бизнеса, данных об угрозах (Threat Intelligence), оценок CVSS/EPSS и потенциального воздействия

• Техническая консультация и коммуникация с командами разработки, системными администраторами и сетевыми инженерами по вопросам устранения уязвимостей

• Подготовка понятных отчетов и метрик для руководства и технических специалистов (патч-треки, KPI, риск-аппетиты)

• Автоматизации рутинных процессов (парсинг отчетов, создание тикетов, сбор контекстной информации)

• Участие в проектах по повышению безопасности (консультирование на этапе дизайна, review конфигураций).

Что мы предлагаем:

• Аккредитованная IT-компания

• Комфортный офис в центре Санкт-Петербурга

• Предсказуемый график работы 5/2

• Мультикультурная амбициозная команда

• Общение на иностранных языках с коллегами и клиентами

• Внутреннее комьюнити для сотрудников: кафетерий льгот для сотрудников, сообщества по интересам, участие в спортивных турнирах, благотворительные программы и т.д.