Senior offensive security analyst

É IMPRESCINDÍVEL TER

• Experiência comprovada em testes de intrusão e análise de código-fonte: Você precisará demonstrar um histórico sólido na execução de pentests em diversas plataformas, incluindo Web, Mobile, APIs, Nuvem e PCI, além de ter habilidade na revisão de código para identificar vulnerabilidades.
• Experiência sólida em pentest Mobile:  Atuação com testes estáticos e dinâmicos em APKs/IPAs, engenharia reversa, Frida, Objection e MobSF. Identificação de falhas com base no OWASP MASVS/MSTG, e afins uso de Semgrep e Burp Suite, e integração da segurança ao ciclo de desenvolvimento
• Conhecimento aprofundado em padrões e regulamentações de segurança: Domínio de frameworks como OWASP (incluindo ASVS) é fundamental. Você deve ser capaz de aplicar esses padrões para identificar e mitigar riscos.
• Habilidades avançadas em técnicas de Red Team e engenharia social: Esperamos que você seja capaz de planejar e executar operações de Red Team complexas, incluindo a reprodução de comportamentos de APTs, e aplicar táticas de engenharia social de forma estratégica.
• Proficiência em todas as fases de um pentest: Desde o reconhecimento e enumeração até a exploração, pós-exploração e movimento lateral, você deve dominar cada etapa do ciclo de vida de um pentest.
• Capacidade de desenvolver ferramentas para segurança ofensiva: Será essencial que você saiba criar e customizar scripts e ferramentas que auxiliem em suas avaliações de segurança, demonstrando conhecimento em linguagens de programação relevantes.
• Conhecimento abrangente em infraestrutura, redes e sistemas operacionais: Um especialista precisa ter um entendimento profundo de como esses componentes funcionam e como podem ser explorados. A avaliação de infraestrutura é um ponto chave aqui.
• Habilidade para atuar no gerenciamento e remediação de vulnerabilidades: Você não apenas identificará os problemas, mas também ajudará a priorizar, documentar e trabalhar com as equipes para garantir que as vulnerabilidades sejam corrigidas de forma eficaz.
• Geração de relatórios e apresentações para times técnicos e gestão.
• Experiência com Threat Modeling e arquitetura de segurança: Espera-se que você seja capaz de identificar potenciais ameaças em projetos desde as fases iniciais e auxiliar em revisões arquiteturais de softwares.
• Conhecimento e experiência prática com GitHub Actions e ferramentas de CI/CD: É crucial que você saiba como integrar segurança em pipelines de desenvolvimento, garantindo que as verificações de segurança sejam parte do processo de entrega contínua.
• Inglês avançado: Dada a natureza global da cibersegurança e a necessidade de se comunicar com equipes e acessar materiais técnicos, o inglês é um requisito mandatório.
• Certificações de segurança ofensiva de alto nível: Certificações como OSCP
• Experiência em consultoria de segurança: A capacidade de interagir com clientes, apresentar descobertas e fornecer recomendações de segurança de forma clara e concisa é um diferencial valioso.
• Experiência robusta com tecnologias de infraestrutura em nuvem (AWS, GCP, Azure): O conhecimento aprofundado em segurança de ambientes cloud, incluindo configurações e vetores de ataque específicos, é um grande diferencial.
• Cultura e Fit Comportamental: Além das habilidades técnicas, buscamos pessoas com forte alinhamento à nossa cultura: colaboração, proatividade, humildade para aprender e ensinar, e comprometimento com entregas de qualidade. Valorizamos quem compartilha conhecimento, se comunica com clareza e contribui para um ambiente saudável e respeitoso.

SERÁ UM DIFERENCIAL

• Certificações de segurança ofensiva de alto nível: Certificações como, OSWE, OSEE, PNPT ou CEH Master demonstram um compromisso sério com a área e um nível de expertise reconhecido.
• Conhecimento e experiência em segurança de IA e IoT: Capacidade de realizar testes de segurança e identificar vulnerabilidades em sistemas de Inteligência Artificial e dispositivos de Internet das Coisas é um diferencial altamente valorizado, dada a crescente adoção dessas tecnologias.
• Publicações, palestras ou contribuições para a comunidade de segurança: Compartilhar conhecimento através de artigos, blogs, apresentações em conferências ou contribuições para projetos open-source reforça seu status de especialista.

SEU DIA A DIA

• Realizar testes de intrusão autônomos (web, mobile, network interno/externo);
• Executar análises de código-fonte visando identificar vulnerabilidades;
• Conduzir ataques de engenharia social;
• Desenvolver e testar automações e scripts para processos ou tarefas relacionados à segurança ofensiva;
• Elaborar relatórios detalhados de avaliações de segurança;
• Recomendar mitigações para vulnerabilidades identificadas;
• Trabalhar em colaboração com clientes e equipes internas para entender requisitos e fornecer suporte.
• Suportar o time técnico em demandas mais avançadas
• Organização de processos para pentests.