Senior Offensive Security Analyst

Transforme o futuro da segurança de aplicações com a Conviso!

Nosso propósito é empoderar pessoas desenvolvedoras para construírem aplicações mais seguras, ajudando empresas a alcançar maior maturidade em desenvolvimento seguro, mitigar riscos e proteger o que importa: seus negócios. Somos movidos pela inovação, investindo em pesquisa e novas tecnologias para transformar a cultura de segurança de aplicações em todo o mundo.

Como parte do time de Offensive Security, você será responsável por identificar e explorar vulnerabilidades em aplicações e sistemas, propor melhorias e apoiar tecnicamente clientes e times internos. Atuará com automações, engenharia social, análise de código e execução de pentests, contribuindo ativamente para a evolução das práticas de segurança ofensiva da Conviso.

Atividades principais: Condução de pentests (web, mobile, PCI, IoT, network interno/externo); Análise de código-fonte para identificação de vulnerabilidades; Desenvolvimento de scripts e automações; Elaboração de relatórios técnicos e recomendações de mitigação; Suporte técnico avançado e colaboração com clientes.

Aqui, acreditamos que grandes resultados vêm de pessoas apaixonadas por hacking e que compartilham o compromisso de tornar o mundo mais seguro. Nossa cultura é transparente, colaborativa e focada no aprendizado contínuo. Além disso, somos um time anywhere office com uma equipe que trabalha em mais de 34 cidades diferentes e cada Insider (nossas pessoas colaboradoras) tem liberdade para crescer de onde quiser.

💻 Trabalho remoto, impacto global.

Está pronto(a) para transformar desafios em soluções e crescer com a gente?

Vem para a Conviso! 💙💛

✨ SEU DIA A DIA

• Realizar testes de intrusão autônomos (web, mobile, network interno/externo);
• Executar análises de código-fonte visando identificar vulnerabilidades;
• Conduzir ataques de engenharia social;
• Desenvolver e testar automações e scripts para processos ou tarefas relacionados à segurança ofensiva;
• Elaborar relatórios detalhados de avaliações de segurança;
• Recomendar mitigações para vulnerabilidades identificadas;
• Trabalhar em colaboração com clientes e equipes internas para entender requisitos e fornecer suporte.
• Suportar o time técnico em demandas mais avançadas
• Organização de processos para pentests.

👀 É IMPRESCINDÍVEL TER

• Experiência comprovada em testes de intrusão e análise de código-fonte: Você precisará demonstrar um histórico sólido na execução de pentests em diversas plataformas, incluindo Web, Mobile, APIs, Nuvem e PCI, além de ter habilidade na revisão de código para identificar vulnerabilidades.
• Experiência sólida em pentest Mobile:  Atuação com testes estáticos e dinâmicos em APKs/IPAs, engenharia reversa, Frida, Objection e MobSF. Identificação de falhas com base no OWASP MASVS/MSTG, e afins uso de Semgrep e Burp Suite, e integração da segurança ao ciclo de desenvolvimento
• Conhecimento aprofundado em padrões e regulamentações de segurança: Domínio de frameworks como OWASP (incluindo ASVS) é fundamental. Você deve ser capaz de aplicar esses padrões para identificar e mitigar riscos.
• Habilidades avançadas em técnicas de Red Team e engenharia social: Esperamos que você seja capaz de planejar e executar operações de Red Team complexas, incluindo a reprodução de comportamentos de APTs, e aplicar táticas de engenharia social de forma estratégica.
• Proficiência em todas as fases de um pentest: Desde o reconhecimento e enumeração até a exploração, pós-exploração e movimento lateral, você deve dominar cada etapa do ciclo de vida de um pentest.
• Capacidade de desenvolver ferramentas para segurança ofensiva: Será essencial que você saiba criar e customizar scripts e ferramentas que auxiliem em suas avaliações de segurança, demonstrando conhecimento em linguagens de programação relevantes.
• Conhecimento abrangente em infraestrutura, redes e sistemas operacionais: Um especialista precisa ter um entendimento profundo de como esses componentes funcionam e como podem ser explorados. A avaliação de infraestrutura é um ponto chave aqui.
• Habilidade para atuar no gerenciamento e remediação de vulnerabilidades: Você não apenas identificará os problemas, mas também ajudará a priorizar, documentar e trabalhar com as equipes para garantir que as vulnerabilidades sejam corrigidas de forma eficaz.
• Geração de relatórios e apresentações para times técnicos e gestão.
• Experiência com Threat Modeling e arquitetura de segurança: Espera-se que você seja capaz de identificar potenciais ameaças em projetos desde as fases iniciais e auxiliar em revisões arquiteturais de softwares.
• Conhecimento e experiência prática com GitHub Actions e ferramentas de CI/CD: É crucial que você saiba como integrar segurança em pipelines de desenvolvimento, garantindo que as verificações de segurança sejam parte do processo de entrega contínua.
• Inglês avançado: Dada a natureza global da cibersegurança e a necessidade de se comunicar com equipes e acessar materiais técnicos, o inglês é um requisito mandatório.
• Certificações de segurança ofensiva de alto nível: Certificações como OSCP
• Experiência em consultoria de segurança: A capacidade de interagir com clientes, apresentar descobertas e fornecer recomendações de segurança de forma clara e concisa é um diferencial valioso.
• Experiência robusta com tecnologias de infraestrutura em nuvem (AWS, GCP, Azure): O conhecimento aprofundado em segurança de ambientes cloud, incluindo configurações e vetores de ataque específicos, é um grande diferencial.
• Cultura e Fit Comportamental: Além das habilidades técnicas, buscamos pessoas com forte alinhamento à nossa cultura: colaboração, proatividade, humildade para aprender e ensinar, e comprometimento com entregas de qualidade. Valorizamos quem compartilha conhecimento, se comunica com clareza e contribui para um ambiente saudável e respeitoso.

⚡ SERÁ UM DIFERENCIAL

• Certificações de segurança ofensiva de alto nível: Certificações como, OSWE, OSEE, PNPT ou CEH Master demonstram um compromisso sério com a área e um nível de expertise reconhecido.
• Conhecimento e experiência em segurança de IA e IoT: Capacidade de realizar testes de segurança e identificar vulnerabilidades em sistemas de Inteligência Artificial e dispositivos de Internet das Coisas é um diferencial altamente valorizado, dada a crescente adoção dessas tecnologias.
• Publicações, palestras ou contribuições para a comunidade de segurança: Compartilhar conhecimento através de artigos, blogs, apresentações em conferências ou contribuições para projetos open-source reforça seu status de especialista.

🎁 BENEFÍCIOS

Além de trabalhar numa empresa onde você pode se desenvolver enquanto faz parte integralmente do negócio, oferecemos benefícios para tornar nossos dias ainda mais agradáveis!

• Vale Refeição de R$1000,00 por mês, pagos no cartão multibenefícios Flash, com desconto de apenas R$1 por mês;
• Auxílio anywhere office de R$100,00 por mês;
• Plano de saúde e odontológico da SulAmérica para cuidar de você e da sua família, sem desconto;
• Plano específico da Flash Care para saúde mental e atenção primária à saúde;
• Seguro de vida;
• Wellhub (Gympass) e TotalPass;
• Acesso à plataforma de cursos de idioma da Duolingo para dar um up no idioma;
• Acesso à plataforma da Unico Skill para apoiar seu crescimento profissional e desenvolvimento contínuo;
• Reembolso de 70% em treinamentos e certificações;
• Programa de Indicação: Meu Amigo Vale Ouro;
• Programa filho nota 10;
• Day off de aniversário;
• Day off de mudança de casa;
• Time off to pet care;
• Qualidade de vida, horário semi-flexível e trabalho 100% remoto, isso mesmo, anywhere office.

💛 QUER SABER MAIS SOBRE A CONVISO?!

Culture Code

Blog 

Podcast 

Canal do youtube

--

Aqui a diversidade importa! Valorizamos as diferenças, pluralidades de raça, cor, religião, gênero e identidade de gênero, nacionalidade, orientações sexuais ou de idade, pois acreditamos na importância de compartilhar ideias e pontos de vista distintos.

Cada pessoa importa, ninguém aqui é somente um número. Cada Insider importa! 💙💛