Аналитик информационной безопасности в VK ID

Инфобезопасность — всё, что помогает нам защищать пользователей, продукты и серверы. А ещё это непрерывное взаимодействие с командами, которые разрабатывают и поддерживают наши проекты. У нас крупнейшая среди российских компаний программа Bug Bounty. Также мы проводим митапы по безопасности и берём в команду инфобеза только классных специалистов. Задачи Моделировать угрозы, формировать требования и рекомендации по устранению уязвимостей инфобезопасности — приоритет у Application Security Проводить аудиты безопасности сервисов Исследовать код с точки зрения ИБ и выявлять недостатки (Secure Code Review) Консультировать разработчиков и контролировать устранение уязвимостей Требования Вы представляете себе вектор атаки на интернет-сервисы — их клиентскую и серверную сторону Знаете, как устранять дефекты и причины их появления, можете планировать необходимые работы Работали в команде и со смежными направлениями IT Работали с микросервисной архитектурой и знаете, как обеспечить безопасность в продуктах на её основе Анализировали защищённость веб-приложений, в том числе fuzzing — Black Box, White Box, Grey Box Понимаете концепцию DevSecOps и циклы SSDLC Читаете код хотя бы на одном языке программирования, в идеале — Go или C Знаете Bash, Python или другие средства скриптовой автоматизации Будет плюсом Знаете векторы атак на мобильные приложения Android и iOS, а также необходимые способы защиты Понимаете, как злоумышленники атакуют цепочки поставки (Supply Chain) и как этому противодействовать Проектировали защиту пользователей — управление аккаунтом, уведомления безопасности, защиту от фишинга Находили уязвимости как участник программ Bug Bounty или регистрировали CVE Участвовали в соревнованиях по инфобезопасности (CTF) Выступали на профильных конференциях, публиковали статьи по темам ИБ Имеете профильные сертификаты — OSCP, OSWE