Specjalista / Specjalistka ds. Testów Penetracyjnych (Freelancer/ka)

Nasze wymagania: Doświadczenie praktyczne: minimum 2–3 lata dla poziomu Mid lub 5+ lat dla poziomu Senior w obszarze testów penetracyjnych. Samodzielność w prowadzeniu badań i dochodzeniu technicznym Biegłość w narzędziach: m.in. Burp Suite, Metasploit, Nmap, Nessus/OpenVAS, Wireshark, Kali Linux. Wiedza techniczna: bardzo dobra znajomość systemów Windows i Linux, protokołów sieciowych (m.in. HTTP/S, DNS, SMB, LDAP) oraz technologii webowych (m.in. HTML, JS, SQL). Umiejętności programistyczne: znajomość języków skryptowych (np. Python, Bash, PowerShell) w stopniu pozwalającym na automatyzację zadań i analizę kodu. Certyfikaty (wymagane): Certified Ethical Hacker (CEH) lub PenTest+. Certyfikaty (mile widziane): OSCP, GPEN, CPSA lub inne specjalistyczne z obszaru AD czy aplikacji webowych. Znajomość języka polskiego na poziomie C1/ poziomie ojczystym Znajomość języka angielskiego na poziomie umożliwiającym swobodne czytanie i rozumienie dokumentacji technicznej oraz komunikację w środowisku projektowym (preferowany poziom ok. B2). Kompetencje miękkie: analityczne myślenie, dbałość o etykę i poufność danych oraz umiejętność jasnego raportowania wyników. O projekcie: Lokalizacja: 100% Zdalnie (dla osób z Białegostoku opcjonalnie dostęp do biura) Zaplecze techniczne/ sprzęt: po stronie wykonawcy Klient: głównie sektor publiczny Zakres obowiązków: Realizacja testów penetracyjnych w modelach black-box, grey-box oraz white-box (infrastruktura, sieci, aplikacje webowe i mobilne). Przeprowadzanie prób penetracji zewnętrznych i wewnętrznych oraz symulacja realistycznych scenariuszy ataku (np. eskalacja uprawnień, ruch lateralny). Symulacja realistycznych scenariuszy ataków, od analizy usług i protokołów (HTTP/S, SMB, LDAP), po próby obejścia zabezpieczeń Analiza konfiguracji zabezpieczeń, architektury sieciowej oraz mechanizmów zarządzania tożsamością (IAM). Po powyższym opracowywanie szczegółowych raportów zawierających opis podatności, ocenę ryzyka oraz konkretne rekomendacje naprawcze. Konsultacje techniczne z klientami podczas planowania prac oraz omawiania wyników audytu. Opcjonalnie: udział w testach socjotechnicznych (np. phishing) oraz analizach ryzyka.