Senior специалист по информационной безопасности
(IT Security)
FreedomAuto - AI-powered микросервисная экосистема по продаже автозапчастей (VIN, каталоги, логистика, real-time).
Платформа включает:
- 15+ микросервисов
- публичные API
- web + mobile клиенты
- интеграции с внешними партнёрами
- AI-модули
Мы строим систему, где безопасность - часть архитектуры, а не “надстройка после”.
Кого мы ищем
Практического инженера по информационной безопасности, который:
- умеет ломать системы в голове и руками
- находит и устраняет уязвимости на уровне конфигураций, инфраструктуры и процессов
- не ограничивается аудитами и отчётами
Это роль AppSec + DevSecOps + Security Testing (QA mindset)
Критичные аспекты безопасности проекта
- Персональные данные клиентов
- Интеграции с внешними API (каталоги, логистика)
- AI-first платформа
- Высокая нагрузка и требования к отказоустойчивости
Роль и зона ответственности
Вы отвечаете за реальный уровень безопасности, а не формальные регламенты:
- приложения
- инфраструктура
- сети
- процессы
Формат: Senior hands-on → рост до Lead / Head of Security
Чем предстоит заниматься
Архитектура безопасности
- Проектирование security-архитектуры системы
- Threat modeling (на уровне сервисов и продукта)
- Security review новых сервисов и интеграций
Безопасность API и микросервисов
- Аутентификация / авторизация
- JWT / OAuth2 / роли / доступы
- Защита REST API
- Контроль API abuse (rate limit, replay, brute force и др.)
Инфраструктурная безопасность
- Network security (VPN, firewall, сегментация)
- Secrets management (Vault и аналоги)
- Контроль SSL/TLS, сертификатов, ключей
- Hardening окружения (Linux, контейнеры, Kubernetes)
Практическая реализация (hands-on)
- Самостоятельно устраняет уязвимости на уровне:
- конфигураций
- инфраструктуры
- API-шлюзов
- security-политик
- Настраивает защитные механизмы:
- WAF
- rate limiting
- security headers
- access policies
- Работает с логированием и аудитом безопасности
Security Testing (как QA, но глубже)
- Проводит security-тестирование API (manual + automated)
- Пишет негативные сценарии (abuse cases)
- Проверяет:
- race conditions
- replay атаки
- privilege escalation
- Формирует security test cases
Offensive mindset (мышление атакующего)
- Моделирует реальные атаки на систему
- Пытается ломать:
- авторизацию
- API
- бизнес-логику
- Выявляет нестандартные уязвимости (не только OWASP)
Безопасность бизнес-логики
- Защита от:
- манипуляции ценами
- обхода логики заказов
- злоупотребления API
- аномального поведения клиентов
DevSecOps
- Интеграция security в CI/CD:
- SAST
- DAST
- dependency scanning
- Автоматизация security-проверок
- Контроль безопасности на этапе разработки
Процессы безопасности
- Vulnerability management
- Incident response
- Security monitoring
- Взаимодействие с DevOps и backend командами
- Формирование security best practices
Технологический контур
- Linux
- Docker / Kubernetes
- REST API
- JWT / OAuth2
- Vault / Secrets
- Network security (VPN, Firewall)
- CI/CD security
- PostgreSQL / Redis
- Monitoring / logging
- .Net Core
- ReactJS
Обязательные навыки
- 5+ лет в информационной безопасности
- Практический опыт защиты:
- backend-систем
- API
- микросервисной архитектуры
- Понимание:
- OWASP Top 10
- secure SDLC
- threat modeling
- Опыт:
- аутентификация / авторизация
- secrets management
- SSL/TLS
- Сетевая безопасность:
- TCP/IP
- firewall
- VPN
- Опыт расследования инцидентов
- Умение объяснять инженерам
Будет плюсом
- Опыт AppSec / DevSecOps
- Pentest (на уровне постановки и анализа)
- SIEM / SOC
- Cloud security
- PCI DSS / ISO 27001
- Построение security с нуля
Мы предлагаем
- Ключевую роль в архитектуре продукта
- Реальное влияние на безопасность всей экосистемы
- Рост до Head of Information Security
- Сильную инженерную команду
- Продукт, где безопасность встроена в систему
Важно
Мы не ищем формального ИБ-специалиста.
Нам нужен инженер, который:
- понимает, как системы ломаются
- умеет это воспроизводить
- умеет проводить нагрузочное тестирование и выявлять баги
- и умеет если необходимо закрыть все дыры самому или