Аналитик по кибербезопасности
Nomadic Soft
- Москва
- Постоянная работа
- Полная занятость
Собирать и проверять список компаний по открытым источникам, находить типовые проблемы в безопасности публичных сайтов и CRM (только безопасные, ненавязчивые проверки) и готовить краткие карточки с рисками и рекомендациями. В первое время мы будем концентироваться на известных уязвимостях популярных CMS (WordPress, Joomla, Bitrix24)Работа будет идти в тесной связи с командой продаж.Что делатьСобирать целевой список компаний по отраслям и регионам, фиксировать основные данные (сайт, контакты, размер, используемые технологии на сайте).Проводить базовую проверку публичной части сайтов/порталов: устаревшие компоненты, неверные настройки, отсутствие защищённого протокола, открытые технические страницы и т. п.Оценивать уровень риска (низкий/средний/высокий) и приоритизировать список.Готовить «карточки находок» на 1-2 страницы: что нашли, чем это опасно для бизнеса, что можно сделать первым шагом без вмешательства в систему.Обновлять и поддерживать чек-лист проверки, вести учёт в CRM (или таблице) - статус компании, дата проверки, комментарии инженера.Границы и этика работыТолько публичная информация и пассивные методы наблюдения.Без попыток входа, подбора паролей, выполнения скриптов или нагрузочного тестирования.Глубокие проверки - только по договору и с письменным разрешением клиента.ТребованияБазовая грамотность в ИБ и веб-технологиях: чем отличается http от https, зачем нужны обновления, какие бывают типовые уязвимости на уровне описания.Умение разбираться в структуре сайта и понимать, какие элементы могут нести риск.Навык понятного письма: кратко и по делу, без жаргона.Аккуратность в работе со списками и таблицами, дисциплина в фиксации результатов.Плюсом будетОпыт участия в CTF/bug bounty (на уровне понимания процесса), знакомство с базовыми инструментами для просмотра технологий и заголовков безопасности.Опыт ресёрча по открытым источникам (OSINT).Понимание типовых рекомендаций «первого шага» (включить https, обновить компонент, закрыть индексирование служебных страниц и т. п.).Как оценим результат (KPI)Количество проверенных компаний и оформленных «карточек находок» в неделю/месяц.Доля качественных находок (подтверждено инженером, без «ложных тревог»).Скорость: время от добавления компании в список до готовой карточки.Приоритизация: доля компаний с высоким/средним риском в верхней части спискаКак откликнутьсяПришлите резюме и 1-2 примера (можно обезличенных):краткая «карточка находки» по публичному сайту (что, почему риск, первый шаг);фрагмент списка компаний с вашими полями и приоритизацией.
Хабр Карьера