Wymagania

Technologie wymagane

Python

Bash

AWS

Burp Suite Pro

Metasploit

Nmap

Nessus

Rapid7/ Nexpose

Ping Castle

Nuclei

Nikto

Wireshark

BloodHound

frameworki automatyzujące testy

Nasze wymagania

• Min. 4 lata doświadczenia w obszarze cyberbezpieczeństwa, bezpieczeństwa infrastruktury IT lub bezpieczeństwa aplikacji
• Min. 3 lata doświadczenia w przeprowadzaniu automatycznych i manualnych testów penetracyjnych
• Znajomość narzędzi: Burp Suite Pro, Metasploit, Nmap, Nessus, Rapid7/ Nexpose, Ping Castle, Nuclei, Nikto, Wireshark, BloodHound, oraz frameworków automatyzujących testy
• Umiejętność pisania własnych exploitów i skryptów (Python, Bash, PowerShell lub inny język skryptowy)
• Doświadczenie w przeprowadzaniu testów bezpieczeństwa względem środowisk on-premises oraz chmurowych (Azure i/lub AWS)
• Wiedza z zakresu bezpieczeństwa aplikacji i infrastruktury IT
• Posiadanie co najmniej dwóch z poniższych certyfikatów branżowych:
• OSCP (Offensive Security Certified Professional)
• CPTS (HTB Certified Penetration Testing Specialist)
• OSWE / OSEP / OSED (Offensive Security Expert-level)
• CREST CRT / CCT
• GPEN (GIAC Penetration Tester)
• GXPN (GIAC Exploit Researcher and Advanced Penetration Tester)
• BSCP (Burp Suite Certified Practitioner)
• Znajomość języka angielskiego na poziomie umożliwiającym bieżącą komunikację
• Umiejętność organizacji pracy własnej oraz terminowość realizacji powierzonych zadań
• Umiejętność samodzielnej pracy w dynamicznym środowisku

Twój zakres obowiązków

• Opracowywanie i nadzorowanie realizacji kompleksowego planu testów bezpieczeństwa dla środowisk i systemów IT wykorzystywanych w Banku
• Przeprowadzanie testów penetracyjnych aplikacji web, mobilnych, API oraz sieci (mile widziane doświadczenie w testowaniu infrastruktury chmurowej) w zgodzie z najlepszymi praktykami i metodykami m.in. OWASP, PTES
• Współpraca z zespołami developerskimi i operacyjnymi w zakresie wdrażania najlepszych praktyk bezpieczeństwa
• Raportowanie wyników testów bezpieczeństwa, połączone z odpowiednim klasyfikowaniem zidentyfikowanych podatności i błędów konfiguracyjnych (OWASP, CWE, CVSS, itp.)
• Dokumentowanie i dystrybuowanie rekomendacji i zaleceń uzyskanych w wyniku testów, a także nadzór nad terminowością i jakością ich realizacji
• Mentoring młodszych pentesterów oraz współtworzenie wewnętrznych standardów testowania
• Optymalizacja i racjonalizacja zadań realizowanych w obszarze testów bezpieczeństwa