Инженер Информационной безопасности (AppSec)

IT Холдинг Kazdream

Нур-Султан
Постоянная работа
Полная занятость

17 д. назад

Чем предстоит заниматься:

Обеспечение безопасности приложений и сервисов на всех этапах жизненного цикла разработки.
Реализация процессов Application Security: анализ SAST, DAST, SCA, контейнерных и dependency-сканов.
Интеграция проверок безопасности в CI/CD пайплайны.
Формирование и поддержка SBOM, анализ зависимостей и связанных уязвимостей.
Проверка сторонних библиотек, зависимостей и Docker-образов на предмет рисков.
Проведение threat modeling и участие в проектировании безопасной архитектуры.
Участие в полном процессе Vulnerability Management: обнаружение, triage, оценка риска, приоритизация и контроль устранения уязвимостей.
Проведение инфраструктурных сканирований (Rapid7, OpenVAS или аналогичные решения).
Анализ CVE, оценка критичности по CVSS и подготовка рекомендаций по устранению.
Взаимодействие с Dev, DevOps и инфраструктурными командами по вопросам remediation.
Участие в расследовании инцидентов, связанных с эксплуатацией уязвимостей.
Подготовка документации, отчётов, методологий и рекомендаций по безопасности.

Требования:

Высшее образование в области информационных технологий или информационной безопасности.
Опыт работы в AppSec и/или Vulnerability Management не менее 3 лет.
Отличное понимание OWASP Top 10, OWASP ASVS, CWE и механизмов эксплуатации веб-уязвимостей.
Понимание принципов реализации атак: XSS, SQLi, SSRF, IDOR, XXE, Path Traversal, RCE и других распространённых векторов.
Практический опыт работы с инструментами AppSec: Semgrep CE, Bandit, Gitleaks, Trivy, Syft/Grype, OWASP ZAP, Nuclei.
Опыт интеграции SAST/SCA/DAST в CI/CD (GitLab CI, GitHub Actions, Jenkins).
Опыт работы с инфраструктурными сканерами уязвимостей (Rapid7, OpenVAS).
Умение проводить triage уязвимостей, определять приоритеты и оценивать риски.
Знание CVE, CVSS, MITRE ATT&CK и умение применять их при анализе угроз.
Опыт формирования и использования SBOM (CycloneDX, SPDX).
Опыт анализа результатов SAST/DAST/SCA и инфраструктурных отчётов.

Навыки проведения threat modeling и анализа архитектуры приложений.Дополнительные требования

Понимание сетевого стека: TCP/IP, HTTP/HTTPS, DNS, DHCP, TLS, основы маршрутизации.
Знание принципов сетевой безопасности: ACL, NAT, VPN, firewalls, proxy, IDS/IPS.
Опыт работы с Docker и понимание основ Kubernetes и угроз контейнерной безопасности.
Базовые навыки чтения и понимания кода (желательно Python, Java, JavaScript/TypeScript).
Понимание принципов работы API: REST, JSON, JWT, OAuth2.
Понимание подходов Secure SDLC
Умение работать с Git, pull requests, пайплайнами и артефактами сборки.
Приветствуются сертификаты: Security+, CEH, OSCP, OSWE, GWAPT, CSSLP.
Уверенное чтение технической документации на английском языке.

Мы предлагаем:

Английский и Казахский языки: бесплатно и удобно, прямо внутри компании;
Заботимся о форме и здоровье: компенсируем фитнес и медицинские услуги;
Мы за активный отдых: футбол, баскетбол, яркие летний и зимний корпоративы;
Корпоративная библиотека для поиска идей и решения рабочих задач;
Настольный теннис в офисе для коротких перерывов и заряда энергией.

Корпоративная экосистема Butterfly Effect(ранее Kazdream) - это группа компаний объединенная общей миссией, ценностями и корпоративной культурой, но осуществляющих независимую деятельность в бизнес направлениях.Butterfly Effect объединяет 7 групп компаний: Kazdream Group, 7G Group, MSSP.Global, Kompra Group, Aimap Group, Keden Group, ProPeople и благотворительный фонд @plus1elonmask.kzProPeople-сервисная компания по эффективному управлению операционной деятельностью.

HeadHunter

Откликнуться