Ведущий инженер облачных решений кибербезопасности (WAF)

Антиробот защищает сервисы Яндекса от роботов, парсинга контента и DDoS-атак, выдерживая атаки в 21 млн RPS. Также мы развиваем внешние продукты (например, SmartCaptcha, Smart Web Security) и недавно вышедшую в preview новую продуктовую фичу WAF. Мы ищем опытного коллегу, который поможет выстроить процесс сопровождения продуктов WAF и будет участвовать в создании собственного облачного решения в роли «играющего лида».

Какие задачи вас ждут

Формирование архитектуры облачного WAF (L7) и его компонентов
Вместе с командой аналитиков, разработчиков и архитекторов безопасности вам предстоит развивать свой облачный WAF на российском и зарубежных рынках, в том числе продумывать архитектуру решения и писать новые фичи.

Создание и сопровождение WAF
Вы станете планировать создание и сопровождение WAF (с точки зрения application security, аналитики и разработки) и участвовать в нём. Необходимо прорабатывать продуктовые метрики, метрики качества, выстраивать процесс их мониторинга. Вы сможете расследовать инциденты и ситуации, когда ничего не понятно, и быстро помогать команде исправлять самые сложные дефекты. Не менее важно участвовать в процессе дежурств и в сопровождении клиентов нашего продукта.

Формирование команды AppSec-инженеров и аналитиков для проработки WAF
Инженеры и аналитики будут защищать веб-приложения от различных атак и уязвимостей нулевого дня, а также обновлять базу «плохих» payload, строить регрессионные тесты на проверки false positive и false negative. Позже сможете поучаствовать в расширении команды и поиске опытных специалистов.

Мы ждём, что вы

Знакомы с облачным рынком средств и сервисов безопасности
Умеете выстраивать процессы с технической, организационной и правовой сторон
Умеете говорить на языке разработчиков, юристов, аудиторов и бизнеса
Понимаете метрики качества, продуктовые метрики
Прорабатывали WAF, разбираетесь в том, как это делать
Знаете, как устроен веб и протокол HTTP, WebSocket
Анализировали защищённость веб-приложений, искали и эксплуатировали уязвимости из списка OWASP Top 10
Понимаете специфику обеспечения безопасности в облаке и работы со средствами защиты cloud-native
Владеете инструментами для тестирования анализа защищённости (Burp Suite, Kali Linux, Acunetix и т. д.)
Владеете языками программирования Python, SQL, SecLang (ModSecurity, Core Rule Set)

Будет плюсом, если вы

Знаете методы обхода средств защиты информации
Участвовали в CTF
Получили профильные сертификаты (OSCP, CEH и т. д.)
Знаете основы тервера, матстата, анализа данных
В целом понимаете, как строятся модели машинного обучения
Знакомы с требованиями безопасности ФСТЭК, ФСБ, ЦБ, PCI DSS, ISO 27001 и других регуляторов

Что мы предлагаем

Здоровье

Рост и развитие

Спорт

И ещё

Расширенная медицинская страховка начинает работать с первого месяца в Яндексе. В неё входят стоматология, ежегодные чекапы, неотложная помощь за рубежом, лечение критических заболеваний, в том числе онкологии, и страхование от несчастных случаев.

А также:

психотерапия в офисе или онлайн-сервисах;
лазерная коррекция зрения через год работы;
ведение беременности и роды — через два года.

Страховка для родственников по системе 80/20

Мы оплачиваем 80% стоимости ДМС для детей и супругов, вы — остальные 20%.

В Яндексе есть всё, чтобы постоянно развиваться и учиться новому: внутренняя образовательная платформа, менторство и программы для начинающих и опытных руководителей.

А также:

оплата участия в профильных конференциях;
скидка 50% на изучение иностранных языков.

Кроме того, в Яндексе есть внутренние проекты, где наши сотрудники делятся экспертизой, обсуждают сложные темы и разбирают кейсы своих проектов.

Во всех крупных офисах Яндекса есть спортзалы со всем необходимым: тренажёрами, спортивным инвентарём, душевыми, шкафчиками для одежды и вещей.

Можете заниматься самостоятельно, а можете с корпоративным тренером.

А также:

бесплатные онлайн-тренировки с FITMOST;
скидки в фитнес-клубах, бассейнах, студиях йоги, скалодромах и других местах.

Спортивный клуб Яндекса

В Яндексе есть спортивный клуб и много спортивных команд. У них есть свои лидеры, чаты, программы тренировок. А ещё они регулярно участвуют в забегах, триатлонах, «Гонке героев», футбольных и других соревнованиях.

Вы сможете присоединиться к существующим командам или собрать свою.

Гибкий график

У нас нет фиксированного времени начала и конца рабочего дня — работайте так, как удобно вам и вашей команде.

Гибридный формат

Если для ваших задач не нужно быть в офисе каждый день, можно приходить 2–3 раза в неделю.

Всё для детей

Страхование, детские дни в офисе, подарки на рождение детей и чекапы при планировании беременности.

Жилищные займы

Льготная ставка на покупку жилья и улучшение жилищных условий — в зависимости от стажа, позиции и результатов ревью. Действует для сотрудников, работающих в российских офисах Яндекса.