Привет! 👋 Центр экспертизы по кибербезопасности CyberEd продолжает поиск новых экспертов и технических писателей в свою команду.

💎 CyberEd более 5 лет создает курсы, профессиональные треки и CTF-игры как для тех, кто только начинает карьеру в кибербезопасности, так и для опытных пентестеров, специалистов по защите и безопасной разработке.

Недавний пост о поиске экспертов собрал мощный отклик, но мы не хотим останавливаться на достигнутом 🤝 Остались только две незакрытые вакансии, о которых мы спешим вам рассказать:

😎 В проект по построению киберполигона для B2B-клиентов дополнительно требуется специалист по FreeIPA. Если ты обладаешь следующими навыками:
- есть опыт в развёртывании домена на базе FreeIPA (Astra Linux) и внедрении Linux-машин в домен,
- знаешь и умеешь создавать уязвимости FreeIPA для задач,
- готов разрабатывать задачи разного уровня сложности и с нами продумывать систему оценивания для участников киберполигона,
то мы будем рады сотрудничеству с именно с тобой!

😎 Также мы ищем эксперта по анализу защищённости веб-приложений. Если у тебя есть следующие компетенции:
- опыт работы в этой области от 2-х лет в компании на позиции пентестера, АппСек инженера, специалиста по анализу защищенности,
- умеешь анализировать, писать или дорабатывать код для языков и соответствующих популярных фреймворков на Java/PHP/Python/C#,
- опыт выступлений или обучений,
- успешный опыт участия в программах БагБаунти,
то мы с нетерпением ждем тебя в нашей экспертной команде!

Если тебе откликаются эти задачи, есть необходимые навыки и опыт — напиши @i_rina_shirshova, обсудим детали и условия👌

📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы, part-time. Все усилия и активности оплачиваются.

Друзья, накануне старта OFFZONE 2023 хотим поделиться с вами недавним интервью для Cyber Media, которое дал изданию Егор Богомолов – ведущий эксперт-практик в наступательной кибербезопасности, управляющий директор и преподаватель образовательных программ CyberEd.

Егор рассказал, почему считает хакинг творческой профессией, откуда появилась профессия «Белый хакер», как эффективно учиться и учить пентесту, и еще много того, что будет интересно начинающим специалистам и тем, кто только задумывается о карьере в кибербезопасности.

Вакансия в нашу команду

Аналитик отдела аудита ИБ

Компания:
ООО “Синглтон Секьюрити” (singleton-security.ru)

Контактное лицо: @I_rina_shirshova (Присылайте резюме)

Задача: Работа с командой отдела аудита ИБ (группами по тестированию на проникновение / анализу защищенности)

Обязанности:

- Работа с результатами и отчетностью по проектам компании

- Анализ выявленных уязвимостей и формирование описания проблем безопасности под проект.
- Работа с аналитическими выводами по результатам работ.
- Подготовка аналитического заключения по результатам оказания услуг тестирования на проникновение / анализа защищенности.
- Формирование отчетных материалов из автоматизированных систем сборки отчетов.
- Подготовка аналитических отчетов для заказчиков по результатам.

- Трекинг проектов отдела аудита и загрузки исполнителей

- Согласование с командой пентеста загруженности на проектах.
- Контроль ведения графика занятости специалистов.

- Работа с системами трекинга и отчетности

- Ведение и доработка базы стандартных уязвимостей для систем автоматизированной отчетности.
- Доработка шаблонов отчетов, заключений, методик и технических заданий.
- Развитие инструментов и процессов ведения и закрытия проектов.
- Участие в разработке системы отчетности на уровне формирования требований к системе и приема результатов разработки.

Требования:

- Умение работать по процессам и выстраивать их
- Внимательность и аккуратность
- Способность работать с информацией и документами
- Аналитическое мышление и логика
- Грамотное письмо и речь
- Уверенные навыки работы в офисном ПО (Word, Excel)
- Гражданство РФ

Будет плюсом:

- Понимание процессов аудита ИБ/тестирования на проникновение/анализа защищенности
- Опыт работы на аналогичных позициях (аналитик отдела пентеста)
- Опыт работы в ИТ/ИБ (системная интеграция, консалтинг)
- Знание английского языка (B1+)
- Высшее техническое образование

Плюшки:

- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
- Гибкий график работы - работу можно выполнять в вечернее время суток (Совмещение с учебой возможно, если вы готовы к загрузке 8 часов в р.д.)
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Возможность совмещать работу с учебой
- Возможность дальнейшего роста в одном из направлений (управление проектами, пентест, пресейл, другие направления)
- Корпоративный ноутбук (MacBook 2023г.)

Оклад:
60 - 120 т.р. (на руки) по результатам собеседования.

Походки раздают;)

🧐 Вы гуру кибербезопасности? Знаете, как искать уязвимости и зарабатывать на ипотеку? Готовы делиться лайфхаками с комьюнити?

Тогда у вас есть возможность получить инвайт на предстоящий Standoff Hacks, который пройдет 26 ноября, — priv8-ивент для самых крутых багхантеров. Всего мы разыграем шесть инвайтов, пять из которых — за лучшие статьи и один бонусный.

Четыре простых условия:

1. Вам нужно написать статью о прикладной безопасности, которая помогла бы коллегам по цеху стать сильнее.

2. Вы можете выбрать любую тему, в которой максимально прошарены: сделать анализ вредоноса, 1-day-уязвимости или же рассказать о своем уникальном подходе к поиску багов.

3. Мы не ждем большого материала, главное для нас — его качество в плане технической начинки и в плане текста. Для наглядности — вот пример крутой публикации от команды PT SWARM.

4. Креатив приветствуется. Хотите сделать статью в виде комикса или чек-листа — welcome.

🎁 И бонус: еще один инвайт мы дадим участнику, который сделает видео с разбором уязвимости или описанием своего подхода к багхантингу. Оценивать будем в том числе и по визуалу, например, плюсом будет нарисованная инфографика.

Все работы будут опубликованы в нашем блоге на «Хабре»!

Ждем ваших материалов до 15 октября, отправляйте их Карине: @k41riN4

А лучших авторов — ждем на Standoff Hacks, о котором мы подробнее расскажем в ближайшее время 😉

Обязательно запланировать и потратить немного времени, чтобы посмотреть актуальщину по похекам:)

Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.

Доклады, которые были на конференции прикреплены файлами к посту выше:

«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om

«Атакуем языковые модели»
@wearetyomsmnv

«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365

«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi

«Red Purple Team»
@Sn0w7 — lead MTC RED

«DevSecOps»
@gazizovasg — Swordfish

«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix

«Offensive OSINT»
@adkkkkkkkk — Innostage

Мне лично кажется, что это благостная инициатива.

Она породит зачатки сознательности у граждан РФ в отношении своих цифровых активов (особенно если ее правильно попиарить подать, и начнет влиять на рынок и общий уровень защищенности бизнеса в РФ.

* Еще раз уточню, именно как глобальная концепция ответственности игроков и требовательности к провайдерам, которые нас обслуживают.

Я считаю, что у нас в культуре в целом все неплохо с требованиями к обслуживанию. Возможно поэтому у нас пиздатый прекрасный банкинг, доставка, развлечения, рестораны и пр. От государства мы требовать не умеем, а вот от тех, кому мы на прямую платим, вполне себе научились голосовать рублем.

Нюансы очевидны:

1. Реальность как всегда сильно отличается от формальных требований, которые никуда не делись.

Объясню... Может случиться так, что объективная реальность и защита компании от рисков взломов и утечек, на которую так давит этот закон, будет заставлять заниматься тем, что нужно здесь и сейчас, а формальные требования и регуляция будут заставлять выполнять действия параллельные или вовсе противоположные. Тогда придется чем-то жертвовать и ждать поправок…

2. Как всегда применимость этого требования остается под вопросом пока мы не увидим прецедент. Прецеденты с 152-ФЗ и штрафами по ним мы уже насмотрелись. Можно сказать, посмеялись от души..

3. Мера серьезности этой инициативы пропорциональна проценту оборотного штрафа 🙃

В любом случае, приятно видеть, что Министерство цифрового развития подхватывает идеи с рынка, передовые практики и реагирует на происходящее.

Приходите развивать индустрию вместе с нами!

📢 Привет! Мы — Центр компетенций по кибербезопасности CyberEd: собираем курсы, профессиональные треки, CTF для тех, кто хочет со стартового уровня в кибербезопасности перейти к профессиональной деятельности в пентесте/защите/безопасной разработке.

Мы недавно публиковали пост о поиске в нашу большую команду новых экспертов и технических писателей.

🕶 Сейчас, в один из наших B2B-проектов по построению киберполигона, мы дополнительно ищем 2 специалистов:

1️⃣ Программист, который поможет заложить веб-уязвимости в стенд ДБО

Основная задача

Необходимо разработать макет ДБО со следующими характеристиками:
- техническая поддержка,
- функция создания счетов,
- функция перевода средств как другим пользователям, так и в пределах одного аккаунта между счетами, а так же обмена 2-х валют в личном кабинете.

Мы будем рады предложить тебе сотрудничество, если ты:

- имеешь опыт по разработке сайтов/лендингов;
- знаешь и умеешь закладывать в сайты/лендинги типовые веб-уязвимости: XSS, IDOR, Race condition, уязвимость бизнес-логики;
- умеешь и хочешь разрабатывать таски разного уровня сложности, продумывать вместе с нами систему оценивания для участников киберполигона.

2️⃣ Разработчик web-панели

Основная задача

Необходимо разработать информационную систему управления учебными классами и виртуальными стендами — web-приложение, которое будет содержать 2 представления:
- панель администратора, которая включает в себя возможность просматривать статистику и управлять учебными комнатами, а также создавать VM;
- панель участника, которая включает в себя вкладку с заданиями (тасками) и вкладку с турнирной таблицей.

Мы будем рады предложить тебе сотрудничество, если ты:

- имеешь опыт по разработке web-приложений;
- умеешь и хочешь продумывать вместе с нами систему оценивания для участников киберполигона.

📌 Если тебе откликается какая-либо из этих 2-х позиций, и у тебя есть необходимые опыт и компетенции — напиши @alena_korn, обсудим детали и условия👌

📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы / part-time. Все усилия и активности оплачиваются.