Старший инженер по безопасности продуктов / менеджер по безопасности продуктов

4+ лет опыта работы в области безопасности приложений, безопасности продуктов или ролях проведения тестирования на проникновение. Практический опыт атак на Active Directory, включая Kerberoasting, Pass-the-Hash, DCSync, перечисление LDAP и пути повышения привилегий; знание инструментов, таких как BloodHound, Impacket, Mimikatz, CrackMapExec и Rubeus. Глубокое знакомство с OWASP API Security Top 10 и OWASP Mobile Security Testing Guide (MSTG) и сильный практический опыт проведения тестирования на проникновение веб-приложений, мобильных приложений (iOS/Android) и API, включая сложные векторы атак. Практический опыт оценки безопасности облака в AWS, Azure и/или GCP, включая IAM-политики, KMS, сетевые контроллеры и обнаружение неправильной конфигурации. Умение просматривать системы и архитектуры приложений и предоставлять практические рекомендации по безопасности; опыт моделирования угроз с использованием STRIDE, PASTA или аналогичных методологий. Понимание рисков безопасности ИИ/МЛ и знакомство с фреймворком MITRE ATLAS и его применением к моделированию угроз ИИ-систем. Опыт работы с Red Team и Purple Team, а также знакомство с MITRE ATT&CK и Cyber Kill Chain. Знание инструментов безопасности, включая Burp Suite Pro, OWASP ZAP, Nmap, Metasploit, Frida, objection и MobSF. Умение скриптовать на Python, Bash или PowerShell для автоматизации задач безопасности. Понимание концепций безопасности контейнеров и Kubernetes. Предпочтительные сертификаты: OSWE, OSEP, CAPE, OSCP, BSCP, CRTE, CRTO, AWS Security Specialty или эквивалент.