Senior специалист по информационной безопасности (IT Security)

Senior специалист по информационной безопасности
(IT Security)
FreedomAuto - AI-powered микросервисная экосистема по продаже автозапчастей (VIN, каталоги, логистика, real-time).
Платформа включает:
• 15+ микросервисов
• публичные API
• web + mobile клиенты
• интеграции с внешними партнёрами
• AI-модули
Мы строим систему, где безопасность - часть архитектуры, а не “надстройка после”.
Кого мы ищем
Практического инженера по информационной безопасности, который:
• умеет ломать системы в голове и руками
• находит и устраняет уязвимости на уровне конфигураций, инфраструктуры и процессов
• не ограничивается аудитами и отчётами
Это роль AppSec + DevSecOps + Security Testing (QA mindset)
Критичные аспекты безопасности проекта
• Персональные данные клиентов
• Интеграции с внешними API (каталоги, логистика)
• AI-first платформа
• Высокая нагрузка и требования к отказоустойчивости
Роль и зона ответственности
Вы отвечаете за реальный уровень безопасности , а не формальные регламенты:
• приложения
• инфраструктура
• сети
• процессы
Формат: Senior hands-on → рост до Lead / Head of Security
Чем предстоит заниматься
Архитектура безопасности
• Проектирование security-архитектуры системы
• Threat modeling (на уровне сервисов и продукта)
• Security review новых сервисов и интеграций
Безопасность API и микросервисов
• Аутентификация / авторизация
• JWT / OAuth2 / роли / доступы
• Защита REST API
• Контроль API abuse (rate limit, replay, brute force и др.)
Инфраструктурная безопасность
• Network security (VPN, firewall, сегментация)
• Secrets management (Vault и аналоги)
• Контроль SSL/TLS, сертификатов, ключей
• Hardening окружения (Linux, контейнеры, Kubernetes)
Практическая реализация (hands-on)
• Самостоятельно устраняет уязвимости на уровне:
• конфигураций
• инфраструктуры
• API-шлюзов
• security-политик
• Настраивает защитные механизмы:
• WAF
• rate limiting
• security headers
• access policies
• Работает с логированием и аудитом безопасности
Security Testing (как QA, но глубже)
• Проводит security-тестирование API (manual + automated)
• Пишет негативные сценарии (abuse cases)
• Проверяет:
• race conditions
• replay атаки
• privilege escalation
• Формирует security test cases
Offensive mindset (мышление атакующего)
• Моделирует реальные атаки на систему
• Пытается ломать:
• авторизацию
• API
• бизнес-логику
• Выявляет нестандартные уязвимости (не только OWASP)
Безопасность бизнес-логики
• Защита от:
• манипуляции ценами
• обхода логики заказов
• злоупотребления API
• аномального поведения клиентов
DevSecOps
• Интеграция security в CI/CD:
• SAST
• DAST
• dependency scanning
• Автоматизация security-проверок
• Контроль безопасности на этапе разработки
Процессы безопасности
• Vulnerability management
• Incident response
• Security monitoring
• Взаимодействие с DevOps и backend командами
• Формирование security best practices
Технологический контур
• Linux
• Docker / Kubernetes
• REST API
• JWT / OAuth2
• Vault / Secrets
• Network security (VPN, Firewall)
• CI/CD security
• PostgreSQL / Redis
• Monitoring / logging
• .Net Core
• ReactJS
Обязательные навыки
• 5+ лет в информационной безопасности
• Практический опыт защиты:
• backend-систем
• API
• микросервисной архитектуры
• Понимание:
• OWASP Top 10
• secure SDLC
• threat modeling
• Опыт:
• аутентификация / авторизация
• secrets management
• SSL/TLS
• Сетевая безопасность:
• TCP/IP
• firewall
• VPN
• Опыт расследования инцидентов
• Умение объяснять инженерам
Будет плюсом
• Опыт AppSec / DevSecOps
• Pentest (на уровне постановки и анализа)
• SIEM / SOC
• Cloud security
• PCI DSS / ISO 27001
• Построение security с нуля
Мы предлагаем
• Ключевую роль в архитектуре продукта
• Реальное влияние на безопасность всей экосистемы
• Рост до Head of Information Security
• Сильную инженерную команду
• Продукт, где безопасность встроена в систему
Важно
Мы не ищем формального ИБ-специалиста.
Нам нужен инженер, который:
• понимает, как системы ломаются
• умеет это воспроизводить
• умеет проводить нагрузочное тестирование и выявлять баги
• и умеет если необходимо закрыть все дыры самому или