Security Researcher (ERP) / Специалист по анализу защищенности и поиску уязвимостей
Зарплата: от 180000 RUB
Компания: Digital Security
Санкт-Петербург
Полная занятость
Команда-разработчик ПО - признанный мировой эксперт в области безопасности решений SAP и Oracle. Мы занимаемся глубокими исследованиями (R&D) и разработкой флагманского продукта, который помогает крупнейшим мировым компаниям защищать свои бизнес-системы. В связи с усилением R&D-направления мы ищем Исследователя Безопасности / Security Researcher (Middle), который хочет сфокусироваться на поиске уязвимостей в сложных бизнес-приложениях и ERP-системах.
Чем предстоит заниматься:
Исследования (Research): Поиск уязвимостей (0-day и 1-day) в продуктах и протоколах ERP решений (в т.ч. SAP).
Exploit Development: Написание рабочих PoC для подтверждения найденных недостатков.
Анализ: Реверс-инжиниринг обновлений вендора (SAP Security Notes) и разбор исследований других мировых исследовательских компаний.
Взаимодействие с разработкой: Подготовка детальных технических требований и логики проверок для команды Java-разработчиков, которые внедряют твои находки в продукт.
Консалтинг: Участие в качестве эксперта в сложных проектах по тестированию на проникновение (в перспективе).
Что мы ожидаем от тебя:
Опыт в OffSec: Уверенный опыт поиска уязвимостей и понимание векторов атак (Web, Network, OS).
White-box / Black-box: Опыт анализа исходного кода и навыки работы с отладчиками/дизассемблерами (IDA Pro, Ghidra, x64dbg или аналоги).
Навыки разработки: Умение писать чистый и понятный код на Python (для автоматизации и эксплоитов).
Сетевая экспертиза: Глубокое понимание стека TCP/IP, устройства корпоративных сетей и популярных протоколов.
Аналитическое мышление: Способность разобраться в сложной, закрытой системе и структурировано описать ее слабые места.
Английский язык: Уровень, достаточный для свободного чтения сложной технической документации и зарубежных исследований.
Будет большим плюсом:
Наличие публичных достижений: свои статьи, выступления на конференциях, отчеты на Bug Bounty или CVE.
Знакомство с синтаксисом языка ABAP.
Опыт работы с корпоративными бизнес-приложениями и ПО (SAP, Oracle, 1C).
Что мы предлагаем:
Реальный R&D: Мы не занимаемся «бумажной» безопасностью. Твоя задача — реальные взломы и исследования.
Профессиональный рост: Возможность выстроить процессы R&D с нуля, но при этом возможность обмениваться опытом с огромным штабом пентестеров и аудиторов компании Digital Secruity и Solar.
Имя в сообществе: Мы поддерживаем участие в конференциях и публикацию результатов твоих исследований.
Гибкость: Полностью удаленная работа или гибридный формат (офис в центре СПб).
Стабильность: Оформление по ТК РФ, конкурентная заработная плата (обсуждается индивидуально по результатам интервью), ДМС со стоматологией.
Digital Security – ведущая российская консалтинговая компания в области информационной безопасности. Компания основана в 2003 году. За 20 лет активной деятельности мы завоевали признание профессионального сообщества как в России, так и за рубежом, и помогли повысить уровень защищенности сотням компаний по всему миру.
С 2007 года в структуре компании действует собственный Исследовательский центр. Его сотрудники регулярно получают благодарности за найденные уязвимости от таких мировых лидеров IT- индустрии, как SAP, Oracle, Cisco, Apache, Adobe, HP, ASUS, Apple, Lenovo, IBM, Microsoft, а также представляют результаты своих исследований на крупнейших профильных конференциях (Infosec in the City, BlackHat, RSA, CONFidence и других).
Компетенции и опыт команды Digital Security позволяют реализовывать проекты для любой индустрии. Среди наших клиентов: QIWI, Mail.Ru Group, Сбербанк, Банк ВТБ 24, ЮниКредитБанк, Уралсиббанк, Новые облачные технологии, JetBrains, Tele2, Пивоваренная компания «Балтика», промышленные холдинги Металлоинвест, СИБУР.
С 2011 года Digital Security участвует в организации ZeroNights – международной конференции, посвященной практическим аспектам информационной безопасности. ZeroNights входит в десятку самых значимых профессиональных форумов и ежегодно объединяет на своей площадке экспертов, специалистов-практиков и аналитиков, со всего мира.
Главная ценность и движущая сила Digital Security – люди. У нас большая команда пентестеров и собственный исследовательский центр. Мы инвестируем в развитие сотрудников, поощряем их таланты и творческий подход к задачам, выступления на конференциях, публикации, обучение.
Мы – команда фанатов своего дела, увлеченных, молодых, желающих постоянно расти и развиваться. У нас тяжело, – бывает, даже очень, потому что мы всегда ставим себе цели выше возможностей. У нас весело, – бывает, даже чересчур, особенно когда мы добиваемся тех целей, которые считались невозможными. У нас нет жесткого графика, но мы хотим видеть результат в срок. У нас можно заниматься очень разными задачами, пробуя себя в абсолютно новых областях, не забывая о прямых обязанностях. Мы быстро растем, и это требует от наших людей постоянной работы над собой. У нас можно очень быстро занять руководящую должность, и мы ищем людей, способных не только закрыть текущие вакансии, но и вырасти в руководителя группы или направления, создав свою собственную команду мечты.