Пакет Вакансий | Кибербезопасность

AppSec, 230k-420k рублей, Удаленка

У нас новенькая! Пополняем ваш пакет вакансий.
И так, один небезызвестный российский вендор на букву R ищет себе Application Security Еngineer. Приятно то, что вы можете выбрать формат работы: удаленку с возможностью поспать подольше, уютный офис в стеклянной башне около метро или даже совместить эти два варианта в гибрид 🆗

Не оставляет равнодушным и то, что это тот самый случай, когда не будет необходимости объяснять коллегам, почему им нужно задумываться об уязвимостях при написании кода и проходить проверки перед выпуском релиза. Ведь все продукты компании являются частью эко-системы для построения и развития SOC.

Если вы (вдыхаем) обладаете знанием методов защиты при выявлении бинарных уязвимостей; опытом разметки статического анализа кода (C/C++/Golang/Rust) и написания патчей; творческой жилкой для написания фаззинг-обёрток (sfuzz, python-afl, afl++, libfazzer и cargo-fuzz). А также, готовы обучать разработчиков и выстраивать процесс анализа кода при разработке продуктов; достаточно уверенны в себе, чтобы автоматизировать процессы скриптами на Python – тогда мы идём к вам это ваша вакансия (выдыхаем) 😵

Как вы поняли по описанию выше, это не попсовый АппСек, который садится с лавандовым рафом за SAST и триажит уязвимости, это достаточно хардкорный инженер, который готов засунуть свои руки поглубже и, например, доработать инструменты или поковырять патчи. Тем более, что ребята ищут от крепкого миддла до опытного сеньора 😐

Ну а если вы сможете проявить все свои лучшие профессиональные качества, то, помимо зарплаты, компания в ответ отблагодарит вас еще и достойной премией. Готовы попробовать? @darriaershova ждёт ваше резюме (будет круто, если укажете, что вы нашли эту вакансию в @package_job).

#Удаленка #от200к #от300к #от400к #AppSec

Твой Пакет Вакансий

TechLead AppSec, 250k-400k рублей, DeteAct

А вот и еще одна вакансия в DeteAct 🙄. В этот раз ребята ищут уже техлида для другого своего направления – Application Security. Суть и специфика роли технического лидера тут примерно такая же, поэтому просто внимательнее перечитываем первые абзацы прошлой вакансии.

В команде здесь уже 10 хакеров, которые занимаются анализом защищённости веб-приложений, всевозможных фронтов, API и исходного кода. Соответственно, вам точно также, как и вашей команде, нужно уверенно и свободно ориентироваться во всех необходимых безопасных инструментах, тактиках и техниках. Оценивать уязвимости и правильно писать отчеты (а это навык, да) тоже надо уметь.

Одновременно в работе у ребят в среднем по 3-4 проекта, поэтому будет точно интересно. Ну а руководит всем этим направлением сейчас один, небезизвестный в кругах безопасников, лидер багбаунти, поэтому вам точно будет чему поучиться и о чем поболтать в курилках (курение осуждаем ☝).

Ну а работать вам придётся всё в той же быстрорастущей компании, где минимум бюрократии и максимум души. Платить за эту позицию готовы до 400к рублей на руки с теми же ежеквартальными премиями (в среднем 25%). Удаленка, гибкое начало рабочего дня, поддержка на выступлениях и в написании статей всё еще прикладываются.

И да, по вакансии идем к той самой @Varvara_hrbp (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job).

#Удаленка #AppSec #от300к #от400к

Твой Пакет Вакансий

DevOps, 250k-400k рублей, Санкт-Петербург

Внедряли когда-нибудь Git? Значит пора учиться. В городе на Неве не так давно открылась Интеллектуальная лаборатория цифровых сетей (да, я тоже сначала ничего не понял), которая, по сути, является исследовательским центром «Россети». Занимается этот Инновационный центр высокоточными исследованиями и сертификацией оборудования для электросетевого комплекса 💪

Ну а у вас есть возможность стать частью абсолютно новой команды, которая занимается внедрением «с нуля» полноценной GIT-платформ с всеми возможными безопасными наворотами и инструментами. В коем-то веке появилась возможность сделать пайплайны безопасными прямо с самого начала, а не городить что-то поверх легаси.

По сути, мы имеем вакансию на твёрдого и закаленного жизнью DevSecOps-а, но заказчик называет это ДевОпс-ом (таков путь ☺). В компании кстати уже есть АппСеки, которые составят вам компанию и покажут, как тут всё устроено.

Уметь нужно много чего – от оркестрации и виртуализации до контейниризации и мониторинга с алертами. Про софты для общения с разработчиками и бизнесом тоже не забываем. Получить за такой скилл-сет вы можете до 400к рублей на руки + годовую премию. Ах да, сначала нужно будет походить в офис (пссс...не расстраивайся, там есть кулер с водой игровая зона и спортзал) и вас могут даже релоцировать в Питер. Ну а потом обещают гибрид.

В общем, стряхиваем пыль со своего резюме, вспоминаем, как поднимать целину Git и направляемся @k_stoly (будет круто, если укажете, что вы нашли эту вакансию в @package_job)

#Гибрид #Офис #от300к #от400к #DevOps #DevSecOps

Твой Пакет Вакансий

TechLead Pentest, 300k-400k рублей, DeteAct

Во главе или у истоков большинства компаний на рынке IT часто стоят матёрые бизнесмены, которые хорошо считают прибыль, но не факт, что осознают, что происходит внутри производственного механизма. Но что вы скажете о компании, основателем которой является хакер (хоть и этичный)? Так вот, сегодняшний гость нашего канала – вакансия как раз в такую компанию – Deteact.

Компания масштабируется, команда, а точнее команды пентестеров разрастаются, поэтому настало время найти Техлида для одной из них – команды, состоящей из 6 матёрых специалистов. Но ждет вас не типичный менеджмент с организацией работы внутри проектов, распределением задач и определением приоритетов (нет, это тоже будет), а полноценное включение в проекты в роли полноценного технаря и лидера пентестеров. Увидели, что корабль плывёт не туда – направляем, заметили, что кто-то из команды зашёл в тупик – помогаем выбраться из него.

Нужно уметь вести одновременно несколько проектов, а работать придется не только с отечественными заказчиками, но и зарубежными (ну мёд 😋). Ну а для того, чтобы осознавать, чем занимается команда, и полноценно включаться в работу, вам нужно хорошо понимать весь red-team killchain, владеть инструментарием пентестера и знать, как работают WAF, IPS, IDS, EDR, NAC и прочие (не только трёхбуквенные) СЗИ, которые порой будут мешать вам работать.

Опыт проведения фишинговых атак тоже лишним не будет кстати – социальную инженерию никто не отменял. Ну а если у вас есть еще и опыт проведения физического пентеста (СКУД, BadUSB/ETH, WiFi и т.д.), написания статей (солидарен с тем, что пора оживлять Хабр ребят) и публичных выступлений, то вас вообще с руками оторвут 🤩

Взамен за хорошо проделанную работу вы получите достойное вознаграждение до 400к рублей на руки, ежеквартальные премии (примерно 25%) и возможность работать из практически любой точки мира (но желательно РФ конечно же). Сама компания достаточно молодая, поэтому полна амбиций, не усложняет себе жизнь бюрократией, а любые ваши идеи и инициативы будет скорее всего только поощряться и поддерживаться.

По вакансии идем к прекрасной @Varvara_hrbp (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job).

#Удаленка #Pentest #от300к #от400к

Твой Пакет Вакансий

АppSec, от 200k рублей, Альфа-банк

Ну что, хотели когда-нибудь поработать в крупной компании ❤, которая не так давно заняла первое место среди лучших работодателей в IT-сфере? Ну тогда читаем вакансию как раз в такую компанию 👇

Ребята из Альфа-банка ищут себе опытного АппСека, который будет закреплен за пачкой команд, работающих на одной платформе. Команд много, кода много, бэклог большой, поэтому наш специалист будет работать плечом к плечу с другими 5ю коллегами (а всего в управлении 30+ человек).

Делать нужно будет примерно то, что и обычно делает AppSec – анализировать планы и бэклог команд разработки, предъявлять требования и рекомендации к новым фичам; проводить анализ архитектуры решений на безопасность; оказывать экспертную поддержку командам разработки по вопросам ИБ и практикам написания безопасного кода; проводить code review и динамический анализ для выявления уязвимостей; присматривать за бэклогом уязвимостей ⌨

Финтех большой, безопасников много (архитекторы ИБ, DevSecOps-ы, пентестеры, аудиторы ИБ), инструменты настроены (самописная платформа для анализа кода и компонентов, в которую интегрированы коммерческие и опенсорсные решения), ассортимент направлений, сервисов, языков и фреймворков широкий, так что скучно быть не должно.

Платить готовы вкусной едой в соответствие с вашими навыками и опытом – от 200 тысяч на руки (нижняя граница вилки) + премия 15%. Всё это приправляем удалёнкой, ДМС и прочими прелестями современных финтехов, которые вкладывают достаточное количество сил и денег в комфорт своих сотрудников 🥰

Резюмируем – хорошая взвешенная вакансия правильного АппСека (да, сейчас много кто каверкает эту роль как кому удобно) в хорошей имиджевой компании (и дело не в рейтингах, надеюсь вы понимаете), еще и в уютной молодой команде, которая иногда даже собирается оффлайн в Мск/Спб, чтобы потимбилдиться.

Если заинтересовало – пишем прекрасной @Anastasya_HR_IT и отправляем ей своё мощное резюме (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job)

#Удаленка #AppSec #от200к

Твой Пакет Вакансий

DevOps/SRE в SOC, 200k-400k рублей., Wildberries

Суперсила всем известного маркетплейса в том, что можно приобрести любой товар сидя с кружкой чая дома. Так вот, команда инженерного сопровождения SOC WB ищет человека, который обладает способностью автоматизировать процессы и улучшать систему мониторинга событий на удаленке (наличие кружки чая необязательно), чтобы усилить себя 🤝

Интересно тут то, что здесь не придется работать с коробочными вендоровскими решениями, так как весь SOC построен/собран полностью из OpenSource. Поэтому вам пригодятся опыт работы с logstash, vector и умение организовать подачу логов с *nix-based ОС. Однако вы должны понимать, что даже самый надежный (как швейцарские часы) план может провалиться, поэтому всегда нужно быть готовым в траблшутинговым обрядам (auditd, osquery, tetragon) 😀

SOC TeamLead и 4 потенциальных коллеги (не аналитики, а именно инженеры, которые строят и развивают SOC) будут счастливы, когда ваш опыт работы с ELK стеком и знание Python/Go/Bash, помогут автоматизировать обработку алертов с момента их появления в SIEM до реагирования и формирования отчётности (IRP/SOAR).

💳 За достижение определенных результатов и спасение человечества выполнение сложных челленджей возможны премии, но лучше опираться только на цифры в окладе. Своё резюме вы можете направлять сразу @avdonkina (будет круто, если укажете, что вы нашли эту вакансию в @package_job)

#Удаленка #от400к #SOC #DevOps

Твой Пакет Вакансий

Cloud Security Architect, от 300k рублей, удалёнка

Одни хорошие ребята (кто именно – говорить нельзя 🤫, но дам намёк, что это один крупный ритейл) ищут к себе безопасного архитектора, которому предстоит защищать их личные облака. Облако собственной разработки, а это значит, что на расстоянии вытянутой руки у вас будут те люди, которые этим облаком занимаются каждый день – админы, DevOps-ы и разработчики.

Облако это было создано сугубо для своих нужд и у него даже есть своя команда безопасников, состоящая из двух человек. Всего в компании несколько сотен ИБшников, так что посоветоваться будет с кем, да и процессы все уже явно отлажены.

От будущего архитектора требуется всего-лишь "сделать красиво" 💪 Нужно будет проводить аудиты того, что есть сейчас, понимать, чего не хватает и делать так, чтобы было "как надо". В общем, типичный архитектурный челлендж, но с полным арсеналом того, что вам может пригодиться. Нужно внедрить СЗИ – питчим и внедряем. Нужно перекрыть кислород разграничить доступы – согласуем и делаем. Нужно зарефакторить то, что уже построено – плачем описываем риски и рефакторим.

😳 Важный дисклеймер – на эту вакансию готовы брать человека без опыта с облаками. Но, само собой, у вас должно быть немало других достоинств – широта знаний (необходимо хорошо разбираться как в СЗИ, так и в безопасной разработке), также нужно понимание сетей, виртуальных машин, OpenStack (опционально), k8s+Docker (не только со стороны безопасной разработки, но и со стороны инфраструктуры). Безопасностью облака нужно будет заниматься комплексно и со всех сторон – выявлять угрозы на всех возможных уровнях.

Интересных вызовов и задач будет более, чем достаточно – внедрение инструментов для соответствия 152ФЗ (с передачей методологам информации для составления документации), балансировка облака между различными дата центрами, проработка выхода из интернета в облака, корректировка со стороны ИБ при API интеграциях.

Условия достаточно интересные, но что самое главное – гибкие. От 300к на руки, удалёнка по РФ, ежегодный Performance Review с пересмотром ЗП + годовая премия по результатам работы. Ну мёд!

Суммируя и подводя некий итог – отличная вакансия для того, чтобы попробовать себя в облаках и их безопасной архитектуре. Еще и сидя на диване у себя дома с любимой кошкой на коленках 😒

По вакансии можно связаться с @Ivan_IT_HR (будет круто, если укажете, что вы нашли эту вакансию в @package_job)

#Удаленка #SecurityArchitect #от300к

Твой Пакет Вакансий

Cybersecurity Unit Lead, 520k-630k рублей, Купер

А вот и вторая звезда нашего нового формата – очень интересный случай экосистемы Сбера. А интересен он тем, что, во-первых, ребята ищут лида не внутри, а снаружи (когда еще тебе предоставится такой шанс залететь в крупнокалиберный энтерпрайз?), а во-вторых, с полной удалёнкой 🤬

Для тех, кто не в курсе, бывший СберМаркет занимается доставкой всего, что только можно из магазинов и ресторанов. Так что, с точки зрения кибербезопасности, тут не должно быть усложнений из-за банковской тайны, например. То есть, по сути, отвечать вам нужно будет за безопасность e-commerce сайта, мобильного приложения, партнерских API и инфраструктуры, на которой крутится всё это добро.

Ну а помогать вам с этим будут 2 команды под вашим руководством, состоящие (суммарно) из 10 супергероев – администраторов СЗИ и инженеров мониторинга ИБ. Из технологического стека вас будет ждать коктейль из Go, Ruby, Python, React, TypeScript и React Native, живущий на нескольких облаках с k8s, линуксами и Bare Metal на борту.

Кибербезопасность у ребят, судя по всему, на достаточно высоком уровне зрелости – они и на Bug Bounty выставляются, и статьи про Secure SDLC пишут. Своя выделенная команда мониторинга тоже о многом говорит. Ну а судя по тому, что для этой вакансии есть удалёнка (хоть и по РФ), Купер является достаточно обособленной боевой единицей этой экосистемы, что также может влиять на вашу свободу внутри компании 😀

Человек, к слову, ищется на замену бывшему руководителю (нет, это не красный флаг, но на интервью можно поболтать на тему того, почему так произошло), а подчиняться он будет напрямую CISO Купера. Ну вот, собственно, и всё, что я хотел вам рассказать об этой интересной вакансии. Если она вам приглянулась, то вэлкам со своим крутым резюме к @daria_lagodyuk (будет круто, если укажете, что вы нашли эту вакансию в @package_job)

#Удаленка #от600к #SecurityLead

Твой Пакет Вакансий

Продолжаем 👍

Твой Пакет Вакансий

Security Engineer (DevSecOps), 28k–35k AED, Dubai

Вот и наш первенец в новом и живом формате. Много, где уже можно найти эту вакансию, но не в таком формате и не с такими деталями, так что погнали 😡

ENFINT – международная компания с офисами в нескольких странах, не отстающая от трендов – топит за ML/AI/LLM, занимается не только разработкой собственных платформ, но и предоставляет специалистов на аутстаф в другие компании. И это тот самый случай.

Ищут они ДевСекОпс-а на аутстаф (в один крупный дубайский банк), который умеет всё – от аудита и построения правильного CI/CD-конвейера с настроенными инструментами безопасности до обеспечения безопасности инфраструктуры и разработки документации по всему проделанному.

Из того, что нужно будет делать безопасным – код, компоненты, API, микросервисы, облачная инфраструктура (не без Cloud Native) и сеть. Известный стек – Jenkins, Argo CD, GitHub (не без GitHub Actions), k8s. Специфика заключается в том, что на борту скорее всего будет не попсовый k8s, а OpenShift, который, хоть и является надстройкой над первым, но хлопот доставить точно сможет 👍

Помимо техники от кандидата просят еще и софты, включая соблюдение баланса между безопасностью и функциональностью, умение самостоятельно скоммуницировать всех, кого нужно со стороны разработки и эксплуатации и ту самую упёртость уверенность безопасника.

В общем, ребятам нужен терминатор под ключ, который сможет сделать всё безопасным. Платить за такого человека готовы достойно – до 35 000 дирхам или около 900 000 🪙 Релоцировать не готовы, но могут проспонсировать открытие рабочей визы в ОАЭ. Премий и удалёнки тоже нет, но это норма для арабских стран 😀

Если вам интересна такая вакансия и вы уже в Дубае (ну или готовы оперативно там оказаться), то вэлкам со своим крутым CV к @Liz_Kostina (будет круто, если укажете, что вы нашли эту вакансию в @package_job)

#Офис #DevSecOps #от900к

Твой Пакет Вакансий

Ну что, дорогие читатели, смотрители и пересылатели вакансий этого канала. Я тут задумался над тем, чтобы немного изменить формат публикаций в сторону какой-то эксклюзивности и уникальности каждой из них.

Несмотря на то, что на рынке ИБ сотни (а то и тысячи) вакансий, написаны они просто как под копирку и всем кажется, что они одинаковые, под каждой из них скрывается нечто бОльшее, чем то, что можно передать через общие и привычные нам поля "ЗП", "Требования", или даже "Обязанности".

Да, бывает такое, что людей с рынка набирают пачкой (например, когда в какой-то компании открывается новое подразделение ИБ), но на моей практике чаще всего ищут человека, который должен закрыть конкретные боли, имеет специфичный опыт и обладает определенными мягкими/твердыми навыками. И даже если рекрутер и нанимающий менеджер решат указать в вакансии что-то интересное и уникальное (преклоняю колено перед этими людьми), то этой изюминки попросту никто не заметит, так как у всех уже давно замылен глаз, и никто не особо не вчитывается. Все просто смотрят на название роли, имя компании, размер зарплаты и что там будут спрашивать на собесе (спойлер, чаще всего это не то, что написано в разделе "Требования" или "Обязанности") 🤪

Если с рассинхроном в описании вакансии и самим техническим собеседованием всё и так более менее понятно, то вот с местом, в которое ищется человек – не совсем. Да, в вакансии указано, что человек ищется в какую-то конкретную компанию, например, в Газпром. И что это значит для кандидата? Да по сути ничего, кроме того, что знакомым он будет говорить, что работает в Газпроме, а сам скорее всего будет как-то связан с обеспечением безопасности чего-то нефтеперерабатывающего. При этом, название "Газпром" в заголовке вакансии вообще ничего не говорит о том, в какой команде будет работать человек, сколько там человек, какие есть особенности и процессы, как выглядит обычный рабочий день, на каком этапе развития находится команда и какая там вообще атмосфера. Да, это можно выяснить частично у рекрутера (но вообще далеко не всегда) или на финальном собесе с командой и руководителем (до туда еще дойти нужно).

И вот таких нюансов и дыр в типовой вакансии хоть отбавляй. Что же я предлагаю? Я предлагаю сделать эту историю с вакансиями интереснее и понятнее для соискателей – добавить сторителлига, подсветить важные особенности роли, компании и самой команды, куда ищется специалист. Выделить какие-то определенные искомые навыки у кандидатов или специфичный опыт, чтобы никто не тратил лишнего времени на интервью и скрининги как со стороны специалистов, так и рекрутеров.

Лично я готов потратить своё время, чтобы пообщаться с каждым из рекрутеров и вместе из каждой шаблонной вакансии приготовить вкуснейший шедевр. Взамен я попрошу лишь искренности от работодателей, чтобы никто никого не обманывал через посты в этом канале 😎

Так вот, мне нужен ваш совет 👇

И да, если у вас есть знакомые рекрутеры из мира кибербезопасности, то не сдерживайте себя и перешлите им этот пост, пожалуйста, нам же всем нужно больше крутых и инетересных вакансий.

Твой Пакет Вакансий

🏚 Контур.Банк
👤 CISO

🗂 Подробности:
Вилка – 500 000 рублей (gross)
Уровень – Senior
Формат работы – Гибрид/Офис
Локация – Екатеринбург
Премия – Ежегодная
Аккредитация IT – ✅
ДМС – ❌

🧳 Обязанности:
- Проектирование архитектуры системы информационной безопасности банка в условиях новых вызовов
- Экспертиза бизнес-инициатив на соответствие требованиям ИБ
- Выявление уязвимостей, рисков ИБ в новых бизнес-процессах
- Анализ информационной безопасности архитектурных IT-решений. Формирование требований ИБ при реализации IT-решений
- Адаптация внутренних политик, процессов и процедур безопасности к требованиям законодательства и регуляторов
- Разработка положений, политик, инструкций и других документов по информационной безопасности

👥 Контакты – @Valentina_HRD (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job)

#Гибрид #Офис #CISO #от500к

Твой Пакет Вакансий

Ну всё, пятница, поэтому расслабляемся 🏌️

Твой Пакет Вакансий

🏚 RuStore, VK
👤 AppWebSec

🗂 Подробности:
Вилка – от 250 000 до 350 000 рублей (net)
Уровень – Middle
Формат работы – Гибрид
Локация – РФ
Премия – Ежегодная
Аккредитация IT – ✅
ДМС – ✅

🧳 Обязанности:
- выявление уязвимостей в информационных системах
- анализ защищенности веб и мобильных приложений
- анализ исходного кода
- отслеживание уязвимостей «in the wild», анализ их релевантности и проверка их наличия в продукте
- формирование отчетной документации

👥 Контакты – @KrisTina_2397
(при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job)

#гибрид #AppSec #от200к

Твой Пакет Вакансий

🏚 Альфа-банк
👤 AppSec Business Partner

🗂 Подробности:
Оклад/вилка – 200 000 рублей (gross)
Уровень – Middle
Формат работы – Удаленка
Локация – РФ
Премия – Ежеквартальная
Аккредитация IT – ❌
ДМС – ✅

🧳 Обязанности:
- анализировать планы и бэклог команд разработки, предъявлять требования и рекомендации к новым фичам
- проводить анализ архитектуры решений на безопасность
- оказывать экспертную поддержку командам разработки по вопросам ИБ и практикам написания безопасного кода
- проводить code review и динамический анализ для выявления уязвимостей
- приоритизировать бэклог уязвимостей и контролировать их исправление

👥 Контакты – @Anastasya_HR_IT 89053399957 (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job)

#Удаленка #AppSec #BusinessPartner #от200к

Твой Пакет Вакансий

🏚 Т-банк
👤 Data Security Specialist

🗂 Подробности:
Оклад/вилка – 200 000 рублей (gross)
Уровень – Middle
Формат работы – Гибрид
Локация – Москва
Премия – Ежегодная
Аккредитация IT – ✅
ДМС – ✅

🧳 Обязанности:
- взаимодействие с командами сопровождения on-premise хранилищ от ИБ
- подбор, внедрение и сопровождение средств защиты СУБД (PAM, DAM и т.п.)
- разработка требований к харденингу и безопасности хранилищ, разработка и внедрение контролей
- разработка плейбуков, интегрирование с общими решениями ИБ

👥 Контакты – @alex17domino (при отклике укажите, пожалуйста, что вы нашли вакансию в @package_job)

#Гибрид #DataSecurity #от200к

Твой Пакет Вакансий