Buscamos uma pessoa curiosa por natureza, que tenha senso de equipe muito forte e um mindset ofensivo de forma técnica, para nos ajudar a deixar a Zup e nossos parceiros sempre mais seguros, evoluindo sua carreira para o lado de segurança da informação! Você acha que é essa pessoa fora da curva e quer fazer a diferença numa empresa que cresce exponencialmente todo dia, então seu lugar é aqui com a gente! 

Missão

Precisamos de uma pessoa com experiência avançada na área de Red Team (offensive Security). Sua missão é fazer a diferença, ter iniciativa e autogestão de carreira. Precisamos alguém que atue como adversário real, que seja uma pessoa questionadora, desafiando barreiras físicas e lógicas de segurança, mostrando através dessa postura, quais pontos a empresa precisa elevar os controles de segurança.

Quais serão suas responsabilidades?

  • Realizar ataques externos e internos nos mais variados ambientes — indo de web até mesmo um firmware —, utilizando os meios necessários para atingir seu objetivo;
  • Trabalhar em conjunto nas mitigações propostas para as áreas afetadas;
  • Pesquisar e desenvolver toolsets para automatizar tarefas pertinentes;
  • Desenvolver pesquisas na área de Offensive Security que contribuam com a comunidade e principalmente com a ZUP;
  • Ter capacidade de mentoring, criando um estímulo competitivo e saudável dentro da equipe.
  • Trazer insights ofensivos e tentar adequar a realidade da empresa para realizar operações de Red Team da vida real.
  • Produção de artigos sobre pesquisas realizadas para disseminar o conhecimento e contribuir com outras áreas.
  • Prover as melhores práticas de segurança para ambientes e arquiteturas auditados.
  • Apresentar a correção ou mitigação dos riscos apontados.

 

O que você precisa ter?

  • Conhecimentos avançados com as principais ferramentas e frameworks de segurança ofensiva (nada limitado a Metasploit ou Burp Suite, sentir-se confortável com alguma já é suficiente).
  • Experiência em criação de relatórios técnicos (para devs e outros membros dos times de segurança) e gerenciais (para os coordenadores, donos do produto e até mesmo para nossos diretores);
  • Codificar em alguma linguagem como Python, GoLang, Rust, perl, C# ou bash.
  • Conhecimento sólido nos padrões de pentesting ou frameworks de pentesting;
  • Familiaridade com fuzzers e ferramentas para fuzzing de libs, APIs e similares;
  • Conhecimentos em segurança ofensiva em nuvens públicas (especialmente AWS, Azure e GCP);
  • Sólidos conhecimentos em redes em geral, conhecer os layers, como funcionam os principais protocolos etc;
  • Conhecer as principais vulnerabilidades web, para APIs, aplicações móveis (tanto iOS, quanto Android);

O que seria muito legal se você soubesse?

  • Experiência em revisão de código-fonte e melhores práticas no desenvolvimento de software seguro (SDLC); Experiência com soluções e serviços baseadas em nuvens públicas (especialmente AWS, Azure e GCP);
  • Experiência em engenharia reversa de binários nativos baseados em ARM ou x86_64;
  • Certificações da Offensive Security, eLearnSecurity ou da SANS, como OSCP, OSCE, OSWE, eMAPT, eWPTX, GPEN, GMOB ou qualquer outra vinculada à segurança ofensiva; CVEs indexadas com sua participação que tenham impacto significativo;
  • Perfil público com boa reputação em programas de bug bounty;
  • Triagem de relatórios de plataformas de bug bounty

Candidatar-se a essa vaga de emprego

* Obrigatório