Старший инженер по безопасности продуктов / Менеджер по безопасности продуктов

4+ года опыта в области безопасности приложений, безопасности продуктов или тестирования на проникновение. Практический опыт атак на Active Directory, включая Kerberoasting, Pass-the-Hash, DCSync, перечисление LDAP и пути повышения привилегий; знание таких инструментов, как BloodHound, Impacket, Mimikatz, CrackMapExec и Rubeus. Глубокое знакомство с OWASP API Security Top 10 и OWASP Mobile Security Testing Guide (MSTG) и сильный практический опыт тестирования на проникновение веб-приложений, мобильных (iOS/Android) и API, включая сложные векторы атак. Практический опыт оценки безопасности облачных систем на основе AWS, Azure и/или GCP, включая IAM-политики, KMS, сетевые управления и обнаружение ошибок конфигурации. Способность просматривать архитектуры систем и приложений и предоставлять реализуемые рекомендации по безопасности; опыт выполнения моделирования угроз с использованием STRIDE, PASTA или аналогичных методологий. Понимание рисков безопасности ИИ/МЛ и знакомство с фреймворком MITRE ATLAS и его применением к моделированию угроз для систем ИИ. Опыт работы с кампаниями Red Team и Purple Team и знакомство с MITRE ATT&CK и Cyber Kill Chain. Владение инструментами безопасности, включая Burp Suite Pro, OWASP ZAP, Nmap, Metasploit, Frida, objection и MobSF. Умение писать скрипты на Python, Bash или PowerShell для задач автоматизации безопасности. Понимание концепций безопасности контейнеров и Kubernetes. Предпочтительные сертификации: OSWE, OSEP, CAPE, OSCP, BSCP, CRTE, CRTO, AWS Security Specialty или эквивалент.