Senior Pentester

Senior PentesterMiejsce pracy: WarszawaTechnologie, których używamyWymaganeTCP/IPKerberosNTLMOAuth2OIDCSAMLJWTMile widzianeCEHCISSPOSCPGPENGXPNGMOBCRTOCCSKCCSPSystem operacyjnyLinuxO projekcieJako Senior Pentester dołączysz do naszego rosnącego zespołu Cybersecurity, będąc kluczowym członkiem projektu międzynarodowego (klient francuski) i pracując w modelu Zero Trust Security. Liczymy nie tylko na Twoją wiedzę techniczną, ale także na Twoje umiejętności współpracy z innymi, ze szczególnym naciskiem na dzielenie się wiedzą i mentoring młodszych członków zespołu.Współpraca opiera się na umowie o pracę i zdalnym (tylko z terytorium Polski) lub hybrydowym (dowolne biuro Orange Polska) modelu pracy.Twój zakres obowiązkówPlanowanie i prowadzenie testów od początku do końca: zakres, Statement of Work, zasady współpracy, sprawdzanie legalności i ryzykaPrzeprowadzanie audytów technicznych (w tym PenTesting i audytów konfiguracji) na różnych zakresach i poziomach złożonościIdentyfikowanie i łączenie słabości, aby pokazać realny wpływ, zawsze w bezpieczny sposób i w ramach zakresuProwadzenie warsztatów w celu rozwoju filozofii Red Team i wspieranie promowania Purple Team, z uwzględnieniem dojrzałości Blue TeamTworzenie jasnych raportów z dowodami, ocenami ryzyka (np. CVSS), wpływem na biznes i praktycznymi rozwiązaniami; prezentowanie wyników zarówno technicznym, jak i nietechnicznym odbiorcomUzgadnianie priorytetów z właścicielami, doradzanie w zakresie napraw i kontroli rekompensujących, planowanie i wykonywanie retestówUdoskonalanie metod i narzędzi: aktualizacja playbooków, pisanie skryptów/PoC, utrzymanie środowisk laboratoryjnych, dzielenie się badaniamiNauczanie i wspieranie młodszych testerów: spotkania 1:1, testy w parach, warsztaty, szkolenia wewnętrzne; przegląd ich pracy; wsparcie w rekrutacji i onboardinguDzielenie się wiedzą z zespołem i społecznością: tech talks, artykuły, lessons learned; publikowanie blogów lub prezentacji; udział w open sourceWspółpraca z interesariuszami: prowadzenie briefingów i warsztatów, tłumaczenie ryzyk technicznych na język biznesuWsparcie działań presales: przygotowywanie zakresów, szacowanie wysiłku, pisanie SoW, udział w spotkaniach z klientamiPrzestrzeganie etyki i standardów (PTES, OWASP, NIST, ISO, PCI DSS) oraz ochrona poufnych danychNasze wymaganiaPonad 5 lat praktycznego doświadczenia w penetration testing w różnych obszarach; doświadczenie w prowadzeniu projektów i mentoringu (2+ lat)Dobra znajomość sieci (TCP/IP, DNS, routing), Linux i technologii webowych (HTTP(S), TLS, REST/GraphQL)Dobre zrozumienie tożsamości i uwierzytelniania: Kerberos/NTLM, OAuth2/OIDC, SAML, JWT; AD/Entra ID i popularnych IdP (np. Okta/Azure AD)Zaawansowane umiejętności w zakresie exploitacji: weryfikacja ustaleń, tworzenie prostych PoC, chainowanie problemów, eskalacja uprawnień, lateral movement, OPSECSolidne doświadczenie w bezpieczeństwie Cloud i kontenerów: IAM, segmentation, serverless, secrets, supply chain, Kubernetes (RBAC/admission), CI/CD attack pathsZnajomość narzędzi: Burp Suite Pro, Nmap, Wireshark, Metasploit, CLI chmur, frameworków C2 (np. Cobalt Strike, Sliver)Umiejętność scriptingu/programowania: Python i co najmniej jeden z: PowerShell/Bash/Go; Git; automatyzacja i tworzenie własnych narzędziUmiejętność dostosowania metod i frameworków: PTES, OWASP Testing Guide, NIST SP 800-115; mapowanie do MITRE ATT&CK; podstawowe modelowanie zagrożeńJasna komunikacja: zwięzłe pisanie, skuteczne prezentacje, priorytetyzacja ryzyk w kontekście biznesuBiegła znajomość języka polskiego i angielskiego (minimum B2)Mile widzianeCertyfikaty: CEH, CISSP, OSCP, GPEN/GXPN/GMOB, CRTO, CCSK/CCSPGłębsze doświadczenie w Red Teamingu, detection engineering i tuning telemetryReverse engineering i development exploitów (np. Ghidra/IDA) lub fuzzingZaawansowane testy mobilne (np. Frida/Objection, instrumentation)Udział w open source, badania/CVEs, konferencje, silne osiągnięcia w bug bountyDoświadczenie w ramach frameworków zgodności i ryzyka (PCI DSS, ISO 27001/SOC 2, NIST CSF) i metrykach (KPIs/OKRs)Znajomość języka francuskiegoTo oferujemyStabilne zatrudnienie w oparciu o umowę o pracęPracę w modelu hybrydowym (2 dni z biura / 3 dni z domu)Program emerytalny – po 6 miesiącach pracy, Orange co miesiąc dołoży 7% Twojej pensji brutto na Twoje konto emerytalnePrywatną opiekę medyczną w PZU ZdrowiePożyczki bez oprocentowania na cele mieszkaniowe, zdrowotne i inneDofinasowanie do wypoczynkuKartę sportową FitProfitWydarzenia integracyjne i wyjazdy współfinansowane z funduszu socjalnegoMożliwość dołączenia do ubezpieczenia grupowego na preferencyjnych warunkachSmartfon z nielimitowanym Internetem – również do użytku prywatnegoPreferencyjną ofertę na usługi OrangeZróżnicowane i dopasowane do potrzeb możliwości rozwoju – szkolenia, dostęp do platform edukacyjnych (w tym platformy do nauki języków obcych), program staży wewnętrznych i inspirujące wydarzenia edukacyjne„Zdrowie na TAK” - program dla osób z niepełnosprawnościami„Jestem w grze” – wsparcie dla rodziców powracających do pracy po urlopach rodzicielskichProgramy wellbeingoweWolontBenefitydofinansowanie zajęć sportowychprywatna opieka medycznadofinansowanie nauki językówubezpieczenie na życiezniżki na firmowe produkty i usługispotkania integracyjnesłużbowy telefon do użytku prywatnegoprogram emerytalnypreferencyjne pożyczkidodatkowe świadczenia socjalnedofinansowanie wypoczynkudofinansowanie wakacji dzieciprogram rekomendacji pracownikówinicjatywy dobroczynnepikniki rodzinneOrange PolskaOd lat znajdujemy się pierwszej dziesiątce najlepszych pracodawców na świecie. Jesteśmy jednym z wiodących dostawców usług telekomunikacyjnych i IT dla biznesu w Polsce. Prowadzimy własną działalność badawczo-rozwojową i jesteśmy dostawcą kompleksowych rozwiązań IoT, ICT i cyberbezpieczeństwa. Dołączając do Orange masz pewność, że Twoja praca ma znaczenie, a Twoje zaangażowanie zostanie nagrodzone.W procesie rekrutacji do Orange wszyscy kandydaci mają równe szanse, niezależnie od płci, wieku, rasy, pochodzenia, wyznania, niepełnosprawności, orientacji seksualnej lub innej prawnie chronionej podstawy, zgodnie z obowiązującym prawem.Wszystkie informacje o przetwarzaniu danych osobowych w tej rekrutacji znajdziesz w formularzu aplikacyjnym, po kliknięciu w przycisk "Aplikuj Teraz".