Senior/Lead Специалист по защите информации

#аутстаф

Ищем 1 Senior/Lead Специалист по защите информации
(ID 76152)

Требования:
- Опыт практической работы в области информационной безопасности не менее 6 лет;
- Глубокое понимание методологий анализа защищенности и проведения Penetration Testing (PTES, OWASP Testing Guide);
- Практический опыт тестирования безопасности веб-приложений, API и мобильных приложений;
- Уверенное знание OWASP Top 10 (Web, API, Mobile) и современных векторов атак;
- Опыт проведения Black Box, Grey Box и White Box тестирования;
- Владение инструментами Burp Suite Professional, OWASP ZAP, Metasploit, Wireshark, tcpdump;
- Опыт анализа исходного кода и проведения Security Code Review;
- Навыки оценки рисков и подготовки отчетности с использованием CVSS и отраслевых стандартов;
- Опыт проведения Security Review архитектуры и участия в процессах Secure SDLC;
- Практические навыки автоматизации проверок и разработки скриптов на Python и Bash;
- Опыт анализа зависимостей и сторонних компонентов (SCA), поиска известных уязвимостей и рисков цепочки поставок ПО;
- Английский язык на уровне чтения технической документации и отчетов по безопасности;
- Опыт реверс-инжиниринга с использованием IDA Pro, Ghidra или аналогичных инструментов;
- Опыт анализа мобильных приложений Android, включая статический и динамический анализ;
- Опыт исследования бинарных файлов, драйверов и прошивок;
- Понимание принципов эксплуатации памяти (ROP, Buffer Overflow, Use-After-Free и др.);
- Знание методов моделирования угроз (STRIDE, PASTA);
- Знание криптографии и распространенных ошибок ее реализации.

Задачи:
- Проведение анализа защищенности веб-приложений, API и CMS-систем, выявление уязвимостей и недостатков реализации механизмов безопасности;
- Выполнение тестирования безопасности десктопных, мобильных приложений, драйверов и прошивок, включая статический, динамический анализ и реверс-инжиниринг;
- Анализ сторонних библиотек, компонентов и зависимостей на наличие известных уязвимостей и рисков цепочки поставки ПО (Supply Chain Security);
- Аудит конфигураций серверов, баз данных, Kubernetes-кластеров, очередей сообщений и иных инфраструктурных компонентов на предмет небезопасных настроек и ошибок конфигурации;
- Оценка защищенности облачных платформ, внешних сервисов, API и интеграционных взаимодействий с третьими сторонами;
- Проведение Black Box, Grey Box и White Box тестирования безопасности;
- Автоматизация процессов анализа защищенности и интеграция проверок безопасности в CI/CD-процессы;
- Подготовка отчетов по результатам тестирования с оценкой рисков, описанием векторов атак и рекомендациями по устранению выявленных уязвимостей;
- Проведение Security Code Review, Threat Modeling и архитектурного Security Review;
- Консультирование команд разработки по вопросам Secure SDLC и внедрения практик безопасной разработки.

О проекте:
Крупный металлургический холдинг

Локация: Россия и дружественные страны
Время работы: UTC+3
Гражданство: РФ и дружественные страны
Формат: Удаленно
Срок привлечения: от 3х месяцев с возможностью пролонгации

📨 Регистрируйтесь, загружайте резюме на https://skillstaff.ru и оставляйте отклик на запрос
❗️Все актуальные запросы — здесь