Ethical Hacker/Pentester
Rublon
Jako Ethical Hacker/Pentester w Rublon będziesz prowadzić zaawansowane testy penetracyjne i analizy bezpieczeństwa uwierzytelniania wieloskładnikowego (MFA) w ekosystemie Microsoft (Active Directory, Azure AD, Kerberos, NTLM, FIDO2). Twoja praca to połączenie badań nad nowymi metodami uwierzytelniania bez hasła, prototypowania ataków i obrony, oraz tworzenia raportów z rekomendacjami dla zespołu produktowego. Rola jest mocno techniczna i badawcza – nie jest to typowy pentester stron internetowych, tylko specjalista od bezpieczeństwa autoryzacji w środowiskach korporacyjnych.
Brakuje: nie podano konkretnych narzędzi w labie poza ogólnym zestawem (bloodhound etc.) – czy będą dostarczone gotowe środowiska?, brak informacji o procesie on-boardingu i szkolenia wstępnego..
Jako Ethical Hacker/Pentester w Rublon będziesz prowadzić zaawansowane testy penetracyjne i analizy bezpieczeństwa uwierzytelniania wieloskładnikowego (MFA) w ekosystemie Microsoft (Active Directory, Azure AD, Kerberos, NTLM, FIDO2). Twoja praca to połączenie badań nad nowymi metodami uwierzytelniania bez hasła, prototypowania ataków i obrony, oraz tworzenia raportów z rekomendacjami dla zespołu produktowego. Rola jest mocno techniczna i badawcza – nie jest to typowy pentester stron internetowych, tylko specjalista od bezpieczeństwa autoryzacji w środowiskach korporacyjnych.
- ✓Mały, ekspercki zespół – szybkie wdrażanie rekomendacji
- ✓Dostęp do izolowanych środowisk testowych i sprzętu (TPM, klucze FIDO2)
- ✓Możliwość publikowania wyników badań i realny wpływ na produkt
- !Tytuł w ogłoszeniu to 'Ethical Hacker/Pentester', ale wewnątrz używane jest 'Information Security Analyst' – może to sugerować szerszy zakres obowiązków.
- •Przeprowadzanie testów penetracyjnych środowisk Windows/AD z użyciem narzędzi takich jak BloodHound, Mimikatz, Impacket, Responder
- •Analiza protokołów uwierzytelniania (Kerberos, NTLM, OAuth, SAML) w poszukiwaniu słabości i wektorów ataków
- •Prototypowanie nowych metod uwierzytelniania bezhasłowego (WebAuthn/FIDO2, TPM) oraz testowanie ich odporności na ataki
- •Tworzenie proof-of-concept (PoC) w PowerShell lub Pythonie demonstrujących znalezione podatności
- •Przygotowywanie szczegółowych raportów z opisem kroków reprodukcji, wpływu i rekomendacji naprawczych
- •Udział w cotygodniowych synchronizacjach threat-hunting z zespołem badaczy i product managerem
- •Śledzenie nowych podatności i technik ataków, aktualizacja modeli zagrożeń
- •Prowadzenie red-teamowych scenariuszy i symulacji incydentów, a następnie omówienie wyników z interesariuszami
Oferta skierowana do developerów z doświadczeniem komercyjnym (Mid).
Osoba z podstawowym doświadczeniem w pentestach na Windows (umie użyć BloodHound i Respondera), rozumie protokoły uwierzytelniania na poziomie koncepcyjnym i potrafi napisać prosty skrypt w PowerShell lub Python.
Osoba, która nie ma doświadczenia z Microsoft/AD i nie chce uczyć się protokołów uwierzytelniania. Junior bez żadnych praktycznych pentestów nie poradzi sobie. Ktoś szukający wyłącznie pentestów webowych lub aplikacji mobilnych też nie będzie pasował.
- ?Ile osób liczy zespół badawczy i jakie są role w zespole?
- ?Czy planujecie rozwijać własne narzędzia, czy głównie korzystacie z istniejących?
- ?Jak wygląda współpraca z zespołem produktowym – czy rekomendacje są szybko wdrażane?
- ?Czy istnieje możliwość publikowania prac badawczych lub wystąpień na konferencjach?
- ?Jakie jest typowe obciążenie zadaniami – więcej pentestów czy badań?
- ?Czy oferujecie finansowanie certyfikatów (np. OSCP)?
- ?Czy istnieje system dyżurów lub on-call dla incydentów?
- ?Jakie narzędzia do zarządzania zadaniami i raportowania są używane?
- −Nie podano konkretnych narzędzi w labie poza ogólnym zestawem (BloodHound etc.) – czy będą dostarczone gotowe środowiska?
- −Brak informacji o procesie on-boardingu i szkolenia wstępnego.
Mały, zdalny zespół entuzjastów cyberbezpieczeństwa, którzy dzielą się wiedzą poprzez cotygodniowe synchronizacje i peer review. Praca oparta na współpracy i ciągłym uczeniu się.
Po wysłaniu aplikacji: spotkanie online z rekruterem → małe zadanie domowe do wykonania → rozmowa z liderem technicznym → finalna rozmowa i oferta.
Powyżej mediany rynkowej
≈ 77,4–107,1 zł/h
Dane z aktywnych ofert zawierających technologię Windows Server.