Staffwell

Пентестер / Аналитик защищенности

Не указана
  • Москва
  • Полная занятость
  • Полный день
  • От 1 года до 3 лет

Привет! :)
Мы НИИ Интеграл, специализируемся на обнаружении, предупреждении и ликвидации последствий компьютерных угроз на информационные ресурсы РФ, а также на обеспечении защищенности субъектов единой цифровой платформы «ГосТех» и систем, жизненный цикл которых реализуется с использованием этой платформы.

Сейчас мы в поиске аналитика защищенности/пентерстера.
Формат работы: офис.

Задачи:

  • Проведение обследования уровня защищенности информационных ресурсов в зоне ответственности путем анализа технической документации, НПА, сканирования информационных ресурсов на уязвимости;
  • Подготовка итоговых отчетов;
  • Проведение инвентаризации активов ИР в зоне ответственности ОЦ;
  • Мониторинг открытых информационных ресурсов на предмет информации о появлении новых уязвимостей;
  • Подготовка предложений по усовершенствованию мер защиты ИБ;
  • Подготовка материалов для информирования (обучения) по вопросам обнаружения, предупреждения и ликвидации последствий компьютерных атак;
  • Взаимодействие с технической поддержкой производителей сканирующего ПО
  • Взаимодействие с НКЦКИ ГосСОПКА

Требования (важно не знание всех требований, а желание быстро освоить и развиваться в данной области):

  • Высшее профильное образование ИБ или курсы профессиональной переподготовки по ИБ не менее 500 часов;
  • Знание сетевых технологий (модель OSI);
  • Понимание принципов работы основных СЗИ (антивирусное ПО, IDS/IPS, Firewall, SIEM, сканеры безопасности, Sandbox);
  • Знание методологий проведения исследований и анализа защищенности по следующим направлениям: Redteam, инфраструктурные тесты на проникновение (внешний и внутренний периметры);
  • Знание законодательства и подзаконных нормативных актов в области ИБ, в частности по защите КИИ, ГИС и ИСПДн, а также методических рекомендаций ФСТЭК по оценке угроз ИБ;
  • Опыт работы со средами и системами анализа защищенности: Positive MP8 и MP VM, Nessus, Nexpose, Accunetix и т.п.;
  • Знание типовых угроз и уязвимостей, их классификаций и метрик, а также баз знаний, где они публикуются;
  • Знание современных тактик и техник атакующих, основных векторов атак, способов их обнаружения (MITRE ATT&CK);

Преимуществом будет:

  • Опыт использования RedCheck, OWASP ZAP, OpenVAS будет плюсом;
  • Cертификат от Offensive Security, участие в CTF и Bug Bounty программах, самостоятельные исследование/написание POC эксплоитов;
  • Open Source Security Testing Methodology Manual (OSSTMM);
  • Penetration Testing Execution Standard Technical (PTES) Guideline;
  • The Open Веб Application Security Project (OWASP) Testing Guide.