Senior Offensive Security Analyst Remote

JOB DESCRIPTION

Transforme o futuro da segurança de aplicações com a Conviso!

Nosso propósito é empoderar pessoas desenvolvedoras para construírem aplicações mais seguras, ajudando empresas a alcançar maior maturidade em desenvolvimento seguro, mitigar riscos e proteger o que importa: seus negócios. Somos movidos pela inovação, investindo em pesquisa e novas tecnologias para transformar a cultura de segurança de aplicações em todo o mundo.

Como parte do time de Offensive Security, você será responsável por identificar e explorar vulnerabilidades em aplicações e sistemas, propor melhorias e apoiar tecnicamente clientes e times internos. Atuará com automações, engenharia social, análise de código e execução de pentests, contribuindo ativamente para a evolução das práticas de segurança ofensiva da Conviso.

Atividades principais: Condução de pentests (web, mobile, PCI, IoT, network internoexterno); Análise de códigofonte para identificação de vulnerabilidades; Desenvolvimento de scripts e automações; Elaboração de relatórios técnicos e recomendações de mitigação; Suporte técnico avançado e colaboração com clientes.

Aqui, acreditamos que grandes resultados vêm de pessoas apaixonadas por hacking e que compartilham o compromisso de tornar o mundo mais seguro. Nossa cultura é transparente, colaborativa e focada no aprendizado contínuo. Além disso, somos um time anywhere office com uma equipe que trabalha em mais de 34 cidades diferentes e cada Insider (nossas pessoas colaboradoras) tem liberdade para crescer de onde quiser.

💻 Trabalho remoto, impacto global.

Está pronto(a) para transformar desafios em soluções e crescer com a gente?

Vem para a Conviso! 💙💛

RESPONSIBILITIES AND ASSIGNMENTS

✨ SEU DIA A DIA

• Realizar testes de intrusão autônomos (web, mobile, network internoexterno);
• Executar análises de códigofonte visando identificar vulnerabilidades;
• Conduzir ataques de engenharia social;
• Desenvolver e testar automações e scripts para processos ou tarefas relacionados à segurança ofensiva;
• Elaborar relatórios detalhados de avaliações de segurança;
• Recomendar mitigações para vulnerabilidades identificadas;
• Trabalhar em colaboração com clientes e equipes internas para entender requisitos e fornecer suporte.
• Suportar o time técnico em demandas mais avançadas
• Organização de processos para pentests.
• 
  

  REQUIREMENTS AND QUALIFICATIONS

  
  

  👀 É IMPRESCINDÍVEL TER

  
  

  • Experiência comprovada em testes de intrusão e análise de códigofonte: Você precisará demonstrar um histórico sólido na execução de pentests em diversas plataformas, incluindo Web, Mobile, APIs, Nuvem e PCI, além de ter habilidade na revisão de código para identificar vulnerabilidades.
  • Experiência sólida em pentest Mobile: Atuação com testes estáticos e dinâmicos em APKsIPAs, engenharia reversa, Frida, Objection e MobSF. Identificação de falhas com base no OWASP MASVSMSTG, e afins uso de Semgrep e Burp Suite, e integração da segurança ao ciclo de desenvolvimento
  • Conhecimento aprofundado em padrões e regulamentações de segurança: Domínio de frameworks como OWASP (incluindo ASVS) é fundamental. Você deve ser capaz de aplicar esses padrões para identificar e mitigar riscos.
  • Habilidades avançadas em técnicas de Red Team e engenharia social: Esperamos que você seja capaz de planejar e executar operações de Red Team complexas, incluindo a reprodução de comportamentos de APTs, e aplicar táticas de engenharia social de forma estratégica.
  • Proficiência em todas as fases de um pentest: Desde o reconhecimento e enumeração até a exploração, pósexploração e movimento lateral, você deve dominar cada etapa do ciclo de vida de um pentest.
  • Capacidade de desenvolver ferramentas para segurança ofensiva: Será essencial que você saiba criar e customizar scripts e ferramentas que auxiliem em suas avaliações de segurança, demonstrando conhecimento em linguagens de programação relevantes.
  • Conhecimento abrangente em infraestrutura, redes e sistemas operacionais: Um especialista precisa ter um entendimento profundo de como esses componentes funcionam e como podem ser explorados. A avaliação de infraestrutura é um ponto chave aqui.
  • Habilidade para atuar no gerenciamento e remediação de vulnerabilidades: Você não apenas identificará os problemas, mas também ajudará a priorizar, documentar e trabalhar com as equipes para garantir que as vulnerabilidades sejam corrigidas de forma eficaz.
  • Geração de relatórios e apresentações para times técnicos e gestão.
  • Experiência com Threat Modeling e arquitetura de segurança: Esperase que você seja capaz de identificar potenciais ameaças em projetos desde as fases iniciais e auxiliar em revisões arquiteturais de softwares.
  • Conhecimento e experiência prática com GitHub Actions e ferramentas de CICD: É crucial que você saiba como integrar segurança em pipelines de desenvolvimento, garantindo que as verificações de segurança sejam parte do processo de entrega contínua.
  • Inglês avançado: Dada a natureza global da cibersegurança e a necessidade de se comunicar com equipes e acessar materiais técnicos, o inglês é um requisito mandatório.
  • Certificações de segurança ofensiva de alto nível: Certificações como OSCP
  • Experiência em consultoria de segurança: A capacidade de interagir com clientes, apresentar descobertas e fornecer recomendações de segurança de forma clara e concisa é um diferencial valioso.
  • Experiência robusta com tecnologias de infraestrutura em nuvem (AWS, GCP, Azure): O conhecimento aprofundado em segurança de ambientes cloud, incluindo configurações e vetores de ataque específicos, é um grande diferencial.
  • Cultura e Fit Comportamental: Além das habilidades técnicas, buscamos pessoas com forte alinhamento à nossa cultura: colaboração, proatividade, humildade para aprender e ensinar, e comprometimento com entregas de qualidade. Valorizamos quem compartilha conhecimento, se comunica com clareza e contribui para um ambiente saudável e respeitoso.

  • 
    

    
    

    ⚡ SERÁ UM DIFERENCIAL

    
    

    • Certificações de segurança ofensiva de alto nível: Certificações como, OSWE, OSEE, PNPT ou CEH Master demonstram um compromisso sério com a área e um nível de expertise reconhecido.
    • Conhecimento e experiência em segurança de IA e IoT: Capacidade de realizar testes de segurança e identificar vulnerabilidades em sistemas de Inteligência Artificial e dispositivos de Internet das Coisas é um diferencial altamente valorizado, dada a crescente adoção dessas tecnologias.
    • Publicações, palestras ou contribuições para a comunidade de segurança: Compartilhar conhecimento através de artigos, blogs, apresentações em conferências ou contribuições para projetos opensource reforça seu status de especialista.
    • 
      

      ADDITIONAL INFORMATION

      
      

      🎁 BENEFÍCIOS

      Além de trabalhar numa empresa onde você pode se desenvolver enquanto faz parte integralmente do negócio, oferecemos benefícios para tornar nossos dias ainda mais agradáveis!

      
      

      • Vale Refeição de R$1000,00 por mês, pagos no cartão multibenefícios Flash, com desconto de apenas R$1 por mês;
      • Auxílio anywhere office de R$100,00 por mês;
      • Plano de saúde e odontológico da SulAmérica para cuidar de você e da sua família, sem desconto;
      • Plano específico da Flash Care para saúde mental e atenção primária à saúde;
      • Seguro de vida;
      • Wellhub (Gympass) e TotalPass;
      • Acesso à plataforma de cursos de idioma da Duolingo para dar um up no idioma;
      • Acesso à plataforma da Unico Skill para apoiar seu crescimento profissional e desenvolvimento contínuo;
      • Reembolso de 70% em treinamentos e certificações;
      • Programa de Indicação: Meu Amigo Vale Ouro;
      • Programa filho nota 10;
      • Day off de aniversário;
      • Day off de mudança de casa;
      • Time off to pet care;
      • Qualidade de vida, horário semiflexível e trabalho 100% remoto, isso mesmo, anywhere office.

      • 
        

        
        

        💛 QUER SABER MAIS SOBRE A CONVISO?!

        
        

        Culture Code

        Blog

        Podcast

        Canal do youtube

        
        

        
        

        Aqui a diversidade importa! Valorizamos as diferenças, pluralidades de raça, cor, religião, gênero e identidade de gênero, nacionalidade, orientações sexuais ou de idade, pois acreditamos na importância de compartilhar ideias e pontos de vista distintos.

        
        

        Cada pessoa importa, ninguém aqui é somente um número. Cada Insider importa! 💙💛

        
        

        💙Sobre a Conviso_

        
        

        No mercado de AppSec desde 2008, somos referência global em Segurança de Aplicações. SaaS e devfirst, fomentamos a cultura de desenvolvimento seguro em mais de 22 países, por meio de serviços, projetos, treinamentos, consultorias e nosso principal produto: a Conviso Platform. Nosso portfólio inclui importantes players do setor financeiro do mundo todo e grandes ecommerces.

        
        

        O propósito que nos move

        Seguimos a cultura devfirst e nossos produtos são criados para otimizar a rotina de profissionais de desenvolvimento para que segurança deixe de ser um gargalo e se torne uma cultura.

        Para essa missão, reunimos desenvolvedores que conhecem muito bem os desafios de incluir segurança em uma rotina de DevOps e criamos uma plataforma de devs para devs.

        
        

        AppSec como cultura

        Apenas 18,2% de pessoas que trabalham em empresas de softwares ou ecommerces acreditam que existe conhecimento suficiente sobre AppSec dentro das organizações. Na Conviso, acreditamos que implementar ações de conscientização e treinamentos é a chave para uma cultura que priorize a inserção de segurança nas primeiras etapas de design de uma aplicação.

        
        

        Remote first

        Nascemos remotos e hoje contamos com uma equipe que trabalha em mais de 34 cidades diferentes e cada Insider (nossas pessoas colaboradoras) tem liberdade para crescer de onde quiser.