Эксперт по анализу угроз безопасности

Основные обязанности:

  • Разведка теневых ресурсов: сообщения и действия различных категорий злоумышленников, выявление утечек информации, мошеннических действий, криминальной активности, поиск программ/фреймворков используемых атакующими, оценка стоимости той или иной незаконной деятельности с целью оценки рисков.
  • Исследование и анализ целевых атак, разбор и документирование возможных сценариев противодействия.
  • Проведение анализа открытых источников с целью моделирования угроз.
  • Разработка и поддержание в актуальном состоянии библиотеки типовых поисковых запросов и корреляционных правил в рамках практики threat hunting.
  • Проактивный поиск и обнаружение угроз (Threat Hunting) выявление целевых атак, не детектируемого вредоносного ПО антивирусами у клиентов компании.
  • Выявление скомпрометированных хостов, отслеживание перемещений злоумышленником между хостами скомпрометированной сети, проверка выявляемых в ходе расследования индикаторов по имеющемуся пулу событий у клиентов компании.
  • Написание аналитических отчетов и статей.
  • Участие в конференциях, CTF, выступление с докладами по темам Threat Hunting и Threat Intelligence.

Требования:

  • Опыт дизассемблирования, отладки и анализа логики работы ПО (реверс-инжиниринг).
  • Опыт в проведении расследований – анализ логов, сетевого трафика, образов дисков и памяти.
  • Опыт работы с современными системами защиты – Антивирусы, IDS/IPS, NGFW, SIEM, WAF.
  • Знание архитектуры и принципов работы ОС (Windows, Linux).
  • Знание стека сетевых протоколов TCP/IP.
  • Знание языков Python (Scapy, dpkt) и/или C/C++ (libpcap) в части работы с сетевым трафиком.

Желательно:

  • Знание Bro, Suricata, Security Onion.
  • Знание Encase, AccessData, Volatility.
  • Навыки написания YARA правил.
  • Навыки написания APT отчётов.
  • Участие в программах bug bounty.