Dats.Team

DFIRMA Expert

в Dats.Team

300 000 —‍ 450 000 ₽/мес на руки

📍 Москва (м. Тульская)Полная удалёнка
Специализация
Information Security
Уровень
Senior

Технологии/инструменты

WindowsLinuxMacOSSIEMPythonWiresharkTTPsMITRE ATT&CKEDRNDRDLPPowerShellVolatilityYARAAutopsySuricataAWSAzureGCPCI/CDMagnet AXIOMFTKArsenalX-WaysRedlineKAPE

DatsTeam — международная группа компаний, которая разрабатывает собственные продукты с 2014 года: рекламные платформы, мобильные приложения, платёжные решения. Наш кластер продуктовой разработки насчитывает более 700 разработчиков распределённых команд в разных городах России, СНГ, ЕС.

Мы ищем сильного эксперта в области Digital Forensics, Incident Response и Malware Analysis, который умеет уверенно вести расследования, разбирать сложные инциденты, восстанавливать полную картину событий и детально анализировать вредоносный код. Ты станешь ключевым (в перспективе главным) игроком в реагировании на инциденты безопасности, проведении пост-инцидентного анализа и создании надёжной системы защиты.

Твои задачи

1. Расследование инцидентов любой сложности

  • Вести технические и аналитические расследования: от единичных заражений рабочих станций до сложных, многоступенчатых атак с участием APT-групп, криптовалютных схем, инсайдеров и фрода.

  • Проводить full-scope экспертизу по инцидентам, связанным с:

  • Компрометацией AD / IDP.
  • Взломами сетевой и облачной инфраструктуры.
  • Утечками конфиденциальных данных, финансовым мошенничеством, целевыми атаками на сотрудников (HR, финансы, менеджмент, инженерный персонал).
  • Инсайдерской активностью, включая координированные и скрытые действия.
  • Атаками на DevOps, CI/CD-пайплайны, контейнерную инфраструктуру.

  • Разрабатывать и применять адаптивные методики реагирования под инциденты нестандартного или мультидисциплинарного характера.

2. Применение методик DFIR и криминалистики

  • Собирать, сохранять и анализировать цифровые артефакты: образы дисков, дампы оперативной памяти, сетевой трафик, системные и приложенческие журналы, артефакты ОС и пользовательской активности.
  • Проводить глубинный анализ вредоносного ПО:
  • Статический (дизассемблирование, изучение структуры и функций).
  • Динамический (sandbox, трассировка поведения, эмуляция).
  • Поведенческий (анализ цепочек активности, взаимодействия с ОС/сетями).
  • Коррелировать данные из разрозненных источников (логи, трафик, артефакты, сигнатуры, IOC/TTP), восстанавливать хронологию событий, строить и проверять гипотезы.
  • Применять поведенческий, статистический и сигнатурный анализ для выявления аномалий, скрытых техник атак, lateral movement и persistence.

3. Аналитика, документация и сопровождение

  • Подготавливать официальные отчёты по инцидентам: внутренние аналитические, внешние регуляторные, юридические заключения при необходимости.
  • Формировать материалы для внутренних расследований, в том числе — для последующего взаимодействия с правоохранительными и надзорными органами.
  • Вести коммуникацию и совместную работу с ключевыми функциями: Legal, HR, FinCrime, CISO, DevOps, Red Team, SOC и другими вовлечёнными сторонами — от этапа triage до финального закрытия кейса.

4. Развитие процессов и наставничество

  • Разрабатывать, актуализировать и внедрять плейбуки реагирования (IR playbooks) для различных классов угроз — от массовых инцидентов до точечных атак.
  • Повышать зрелость процессов DFIR, включая стандартизацию, автоматизацию и интеграцию с другими элементами системы кибербезопасности.
  • Наставлять менее опытных коллег: делиться экспертизой, проводить тренировки, участвовать в симуляциях, развивать культуру анализа и расследований внутри команды.
  • Рутинные задачи и активная работа вне инцидентов.

5. Threat Hunting

  • Проактивный поиск признаков атак и аномалий в инфраструктуре до того, как инциденты станут явными.
  • Анализ логов, сетевого трафика и данных с EDR/ SIEM для выявления подозрительных паттернов.

6. Анализ и исследование новых угроз и вредоносного ПО

  • Тестирование и анализ новых техник атак, TTPs APT-групп.

7. Разработка и обновление плейбуков реагирования (IR playbooks)

  • Создание сценариев и инструкций для быстрой и правильной реакции на разнообразные угрозы.
  • Оптимизация и адаптация процессов реагирования под новые типы инцидентов.

8. Автоматизация и написание скриптов

  • Автоматизация рутинных задач расследования и сбора артефактов.
  • Разработка инструментов для ускорения анализа и корреляции данных.

9. Обучение и развитие команды:

  • Проведение тренингов и разбор / участие в симуляции инцидентов (red team vs blue team упражнения).
  • Наставничество и передача опыта младшим аналитикам.

10. Отчётность и улучшение процессов

  • Анализ прошедших инцидентов для выявления ошибок и пробелов в защите.
  • Внедрение улучшений в политику безопасности и процессы DFIR.

11. Ведение и развитие метрик и KPI команды DFIR

  • Анализ эффективности реагирования и расследований.
  • Поиск узких мест и предложение решений по улучшению.

Наши ожидания по опыту

Технический и аналитический бэкграунд:

  • Уверенный опыт в Digital Forensics (Windows, Linux, MacOS, mobile).
  • Навыки анализа артефактов: Event Logs, $MFT, Registry, Prefetch, Shimcache, Jump Lists и др.
  • Знание и практическое применение техник Malware Analysis:

    • Unpacking, sandboxing, behavioral analysis.
    • Статический и динамический RE (IDA Pro, Ghidra, x64dbg и пр.).
  • Понимание TTPs и техник APT-групп, работа с фреймворком MITRE ATT&CK.

  • Опыт использования SIEM, EDR, NDR, DLP-систем.
  • Владение скриптовыми языками: Python, PowerShell или аналогичными — для автоматизации расследований.
  • Знание и опыт применения инструментов: Volatility, Autopsy, YARA, Suricata, Wireshark, и др.

Глубокая экспертиза в расследованиях и анализе угроз:

  • Опыт проведения полного цикла расследования инцидентов: от точки входа до идентификации ущерба.
  • Участие в расследованиях компрометаций AD, lateral movement, persistence.
  • Навыки Threat Hunting и корреляции событий, опыт работы в Red Team / Pentest (а также с результатами работы данных команд).
  • Понимание атак на облачную инфраструктуру: AWS, Azure, GCP, CI/CD.
  • Умение разбирать инциденты за пределами MITRE — нестандартные, мультидисциплинарные кейсы.
  • Опыт с инструментами криминалистики: Magnet AXIOM, FTK, Arsenal, X-Ways, Redline, KAPE и др.

Углублённая экспертиза в сложных типах инцидентов:

  • Знание блокчейн-экосистем: Bitcoin, Ethereum, mixing-сервисы, dApps, NFT, опыт deanonymization.
  • Навыки осмысления и визуализации связей: IP, криптокошельки, устройства, аккаунты, домены, трафик, деньги.
  • Понимание технических и поведенческих шаблонов инсайдеров, в т.ч. способов обхода SIEM/DLP.
  • Знание регуляторных и юридических требований при расследовании ИБ-инцидентов, включая взаимодействие с Legal/Compliance.
  • Знание специфики атак на DevOps-инфраструктуру, CI/CD, GitOps.
  • Расследования инцидентов с участием мобильных устройств, мессенджеров, VoIP.

Образование и сертификации:

  • Высшее техническое образование.
  • Сертификации: GCFA, GCFE, GREM, OSCP, CHFI, EnCE, и пр.

Условия

  • Оформление в штат компании или международный контракт. Несколько способов выплат.
  • Полная удаленка или гибридный офис, работа из любой страны.
  • Соцпакет: ДМС + со стоматологией, фитнес-клуб, корпоративный английский, льготная система по отпускам и больничным.
  • Гибкий график — лояльное начало дня с 9.00 до 11.00 по МСК, 8 часов рабочий день + перерывы на отдых на свое усмотрение.
  • Возможность выбрать оборудование (Mac, Linux, Windows, мониторы и пр.) — доставим на дом в РФ или поможем с закупкой за рубежом.
  • Performance Review, ежегодная индексация з/п.
  • Развитая культура коммуникаций: турниры онлайн и офлайн, тех комьюнити, митапы, co-working-дни, встречи и пати на летней веранде, тимбилдинги.
  • Офис с панорамой на Москву-реку и летняя веранда с шашлыками, гамаками и пицце для тех, кто работает в Москве и локальные тимбилдинги в других городах и странах для удаленщиков.
Анна Киселева IT-рекрутер
Dats.Team

О компании Dats.Team

Сфера
Продуктовая компания
Размер
1001+

Dats.Team — динамично развивающаяся IT-компания. Компания создаёт собственные продукты с 2012 года: от рекламных и игровых платформ до мобильных приложений и платёжных систем. Dev-команда насчитывает более 800 разработчиков, и они продолжают расти.

С 2021 года организуют игровые хакатоны для ИТ-сообщества и получили награды в номинации "Лучший GameJam с продуманной тематикой" на «HACK AWARDS: Хакатоны России» в 2024 и 2025 годах!

Похожие вакансии

6 000 – 8 000 $/мес на руки
📍 Бразилия, Сербия, Аргентина, Черногория, Испания, Португалия, Мексика, Польша, полная удалёнка
5 000 – 7 000 €/мес на руки
Полная удалёнка
4 000 – 6 000 €/мес на руки
📍 Европа, Казахстан, Армения, Грузия, полная удалёнка
300 000 – 450 000 ₽/мес на руки
📍 Москва (м. Тульская), полная удалёнка
300 000 – 400 000 ₽/мес на руки
📍 Москва (м. Тульская), полная удалёнка