Специалист по анализу защищенности (Infrastructure Security)

Компания — крупная технологическая экосистема с собственной облачной платформой, highload-инфраструктурой и зрелой командой ИБ. Проект связан с безопасностью внутренней инфраструктуры, Kubernetes и cloud-native среды. 🔥 Ищем специалиста с offensive security бэкграундом: важно уметь не только находить уязвимости, но и реально эксплуатировать их, писать PoC и автоматизировать процессы безопасности.

• Проведение автоматизированного и ручного тестирования на проникновение внутренних и внешних сервисов (внутренний контур/инфраструктурные уязвимости, Web, API, сетевые сегменты);
• Аудиты безопасности облачной платформы (OpenStack) и контейнерных сред (Kubernetes);
• Разработка proof-of-concept (PoC) эксплуатации уязвимостей для демонстрации рисков бизнес-подразделениям;
• Участие в red team exercises;
• Разработка и поддержка скриптов автоматизации (Python, Go, Bash) для оркестрации сканеров безопасности (Burp Suite Enterprise, Nessus, Trivy, Semgrep) и обработки их результатов;
• DevSecOps и безопасность Kubernetes;
• Аудит и hardening Kubernetes-кластеров: настройка RBAC, Network Policies, Pod Security Standards/OPA Gatekeeper, ограничение привилегированных контейнеров;
• Сканирование образов контейнеров на уязвимости (CVE) и небезопасные конфигурации до развертывания в production; настройка политик admission controllers;
• Внутренний консалтинг: предоставление детализированных рекомендаций по устранению уязвимостей командам разработки и инфраструктуры.

• Практический опыт в offensive security / pentest от 2 лет;
• Опыт ручного и автоматизированного тестирования инфраструктуры, внутренних и внешних сервисов;
• Хорошее понимание Kubernetes: аудит, hardening, RBAC, Network Policies, admission controllers;
• Опыт аудита облачных платформ и контейнерной виртуализации;
• Навыки автоматизации на Python / Go / Bash;
• Практический опыт работы с Burp Suite, Nessus, Trivy, Semgrep и аналогичными security tools;
• Понимание DevSecOps подхода и безопасности контейнерных сред;
• Опыт написания PoC и участия в Red Team активностях будет большим плюсом;
• CTF / Bug Bounty / AI security — как дополнительный плюс 🙂.

• Очень сильная ИБ-команда и зрелые процессы безопасности;
• Реально масштабная инфраструктура: Kubernetes, OpenStack, highload, cloud-native;
• Возможность влиять на процессы безопасности и автоматизацию;
• Полностью удаленный формат работы;
• Оформление по ТК РФ, все в белую;
• ДМС со стоматологией, обучение, сертификации и конференции за счет компании.