DatsTeam – международная группа компаний, которая разрабатывает собственные продукты с 2014 года: рекламные платформы, мобильные приложения, платёжные решения. Наш кластер продуктовой разработки насчитывает более 800 разработчиков распределённых команд в разных городах России, СНГ, ЕС.
Мы ищем сильного эксперта в области Digital Forensics, Incident Response и Malware Analysis, который умеет уверенно вести расследования, разбирать сложные инциденты, восстанавливать полную картину событий и детально анализировать вредоносный код. Ты станешь ключевым (в перспективе главным) игроком в реагировании на инциденты безопасности, проведении пост-инцидентного анализа и создании надёжной системы защиты.
Твои задачи:
Расследование инцидентов любой сложности
- Вести технические и аналитические расследования: от единичных заражений рабочих станций до сложных, многоступенчатых атак с участием APT-групп, криптовалютных схем, инсайдеров и фрода.
- Проводить full-scope экспертизу по инцидентам, связанным с:
- компрометацией AD / IDP;
- взломами сетевой и облачной инфраструктуры
- утечками конфиденциальных данных, финансовым мошенничеством, целевыми атаками на сотрудников (HR, финансы, менеджмент, инженерный персонал);
- инсайдерской активностью, включая координированные и скрытые действия;
-атаками на DevOps, CI/CD-пайплайны, контейнерную инфраструктуру. - Разрабатывать и применять адаптивные методики реагирования под инциденты нестандартного или мультидисциплинарного характера.
Применение методик DFIR и криминалистики
- Собирать, сохранять и анализировать цифровые артефакты: образы дисков, дампы оперативной памяти, сетевой трафик, системные и приложенческие журналы, артефакты ОС и пользовательской активности.
- Проводить глубинный анализ вредоносного ПО:
- статический (дизассемблирование, изучение структуры и функций);
- динамический (sandbox, трассировка поведения, эмуляция);
- поведенческий (анализ цепочек активности, взаимодействия с ОС/сетями). - Коррелировать данные из разрозненных источников (логи, трафик, артефакты, сигнатуры, IOC/TTP), восстанавливать хронологию событий, строить и проверять гипотезы.
- Применять поведенческий, статистический и сигнатурный анализ для выявления аномалий, скрытых техник атак, lateral movement и persistence.
Аналитика, документация и сопровождение
- Подготавливать официальные отчёты по инцидентам: внутренние аналитические, внешние регуляторные, юридические заключения при необходимости.
- Формировать материалы для внутренних расследований, в том числе — для последующего взаимодействия с правоохранительными и надзорными органами.
- Вести коммуникацию и совместную работу с ключевыми функциями: Legal, HR, FinCrime, CISO, DevOps, Red Team, SOC и другими вовлечёнными сторонами — от этапа triage до финального закрытия кейса.
Развитие процессов и наставничество
- Разрабатывать, актуализировать и внедрять плейбуки реагирования (IR playbooks) для различных классов угроз — от массовых инцидентов до точечных атак.
- Повышать зрелость процессов DFIR, включая стандартизацию, автоматизацию и интеграцию с другими элементами системы кибербезопасности.
- Наставлять менее опытных коллег: делиться экспертизой, проводить тренировки, участвовать в симуляциях, развивать культуру анализа и расследований внутри команды.
- Рутинные задачи и активная работа вне инцидентов
Threat Hunting
- Проактивный поиск признаков атак и аномалий в инфраструктуре до того, как инциденты станут явными;
- Анализ логов, сетевого трафика и данных с EDR/ SIEM для выявления подозрительных паттернов.
Анализ и исследование новых угроз и вредоносного ПО
- Тестирование и анализ новых техник атак, TTPs APT-групп.
Разработка и обновление плейбуков реагирования (IR playbooks)
- Создание сценариев и инструкций для быстрой и правильной реакции на разнообразные угрозы;
- Оптимизация и адаптация процессов реагирования под новые типы инцидентов.
Автоматизация и написание скриптов
- Автоматизация рутинных задач расследования и сбора артефактов;
- Разработка инструментов для ускорения анализа и корреляции данных.
Обучение и развитие команды
- Проведение тренингов и разбор / участие в симуляции инцидентов (red team vs blue team упражнения);
- Наставничество и передача опыта младшим аналитикам.
Отчётность и улучшение процессов
- Анализ прошедших инцидентов для выявления ошибок и пробелов в защите;
- Внедрение улучшений в политику безопасности и процессы DFIR.
Ведение и развитие метрик и KPI команды DFIR
- Анализ эффективности реагирования и расследований;
- Поиск узких мест и предложение решений по улучшению.
Мы предлагаем :
-
Оформление в штат компании или международный контракт. Несколько способов выплат;
-
Full remote или гибридный офис;
-
Соц.пакет: ДМС + со стоматологией, фитнес-клуб, корпоративный английский, льготная система по отпускам и больничным;
-
Гибкий график - лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день + перерывы на отдых на свое усмотрение;
-
Возможность выбрать оборудование (mac, linux, windows, мониторы и пр.) - доставим на дом в РФ или поможем с закупкой зарубежом;
-
Performance review, ежегодная индексация з/п;
-
Развитая культура коммуникаций: турниры онлайн и оффлайн, тех комьюнити, митапы, co-working дни, встречи и пати на летней веранде, тимбилдинги;
-
Офис с панорамой на Москву-реку и летняя веранда с шашлыками, гамаками и пицце для тех, кто работает в Москве и локальные тимбилдинги в других городах и странах для удаленщиков.