«Ростелеком-Солар» приглашает на работу программистов и пентестеров

На наши воп­росы отве­чали

Мак­сим Валян­ский Архи­тек­тор, центр про­дук­тов «Дозор»	Вик­тор Роман­чук Тех­ничес­кий дирек­тор, центр про­дук­тов «Дозор»	Алек­сандр Колесов Руково­дитель отде­ла ана­лиза защищен­ности, центр монито­рин­га и реаги­рова­ния на кибера­таки

О работе в «Ростелеком-Солар»

Заметны ли изменения на рынке труда за последний год?

Ва­лян­ский: Да, к нам ста­ли при­ходить кан­дидаты, которые рань­ше работа­ли на запад­ных заказ­чиков.

Ро­ман­чук: Безус­ловно, замет­ны. Без того слож­ный рынок прев­ратил­ся в очень слож­ный. Вви­ду эко­номи­чес­ких и полити­чес­ких при­чин соис­катель час­то ищет не прос­то гиб­рид или уда­лен­ку, а еще и воз­можность работать вне Рос­сии. Эти люди переме­щают­ся, что негатив­но вли­яет в том чис­ле на их срок работы в ком­пании.

Ко­лесов: Да, ста­ло боль­ше резюме джу­нов, но при этом хотя бы чуть‑чуть готовых спе­циалис­тов (с опы­том более полуго­да) ста­ло силь­но мень­ше. Большое количество людей находится в пассивном поиске работы и не реагирует на отклики со стороны работодателя (то есть не доходят до интервью, но смотрят, как меняется рынок с точки зрения своей ценности).

Чем хорош именно «Ростелеком» как место для работы? За что компанию цените вы и ваши коллеги? Чем особенно гордитесь?

Ва­лян­ский: По час­ти Scala у нас боль­шой опыт исполь­зования это­го язы­ка (десять лет); опыт­ная коман­да раз­работ­чиков на Scala; выс­тро­енные про­цес­сы раз­работ­ки.

Ро­ман­чук: Мы гор­димся про­фес­сиональ­ной коман­дой, инте­рес­ными задача­ми, ста­биль­ностью.

Ко­лесов: Есть воз­можность порабо­тать с боль­шими про­екта­ми (нап­ример, круп­ные госы) и пот­рогать боль­шие сети у некото­рых кли­ентов (ред­ко у кого быва­ют пен­тесты с нес­коль­кими сетями /{19-22}).

Можете привести примеры интересных проектов, над которыми предстоит работать вашему новому сотруднику? Возможно, что-то из завершенных.

Ва­лян­ский: Наш осно­вой про­дукт — DLP «Дозор». У нас мно­го пла­нов по раз­витию, в пос­леднее вре­мя основные задачи лежат в области сбо­ра дан­ных с рабочих мест поль­зовате­лей с при­мене­нием аген­тов (модулей, работа­ющих на АРМ). Это задачи, свя­зан­ные с управле­нием полити­кой безопас­ности и обра­бот­кой раз­личных таких дан­ных, как запись зву­ка и экра­на. Вто­рое боль­шое нап­равле­ние — «Муль­тидозор». Это фун­кция для круп­ных георас­пре­делен­ных инстал­ляций про­дук­та. Тут сто­ят задачи, свя­зан­ные с хра­нени­ем, поис­ком и ана­лити­кой по дан­ным, хра­нящим­ся в раз­ных локаци­ях. Так­же есть задачи по соз­данию авто­ном­ной точ­ки управле­ния для фили­алов, име­ющих пло­хую связь с цен­траль­ной инстал­ляци­ей.

Ро­ман­чук: Мы соз­даем, внед­ряем и раз­вива­ем про­дук­ты, а не занима­емся заказ­ной раз­работ­кой, поэто­му, к счастью, у нас нет завер­шенных про­ектов. В нашем слу­чае если про­ект завер­шен, то он прос­то зак­рыт. Про­дук­ты нашего под­разде­ления дают, как мне кажет­ся, осо­бен­ный драйв для раз­работ­чиков, это воз­можность работать с мно­гими тысяча­ми поль­зовате­лей.

Ко­лесов: Мы не можем рас­кры­вать под­робнос­ти из‑за NDA, но у нас есть круп­ные и очень инте­рес­ные про­екты, свя­зан­ные с работа­ми а‑ля Red Team (пра­виль­нее будет ска­зать Adversary Simulation), в которых есть воз­можность порабо­тать с круп­ней­шими ком­пани­ями и их SOC.

Какие перспективы роста ждут вашего нового сотрудника?

Ва­лян­ский: Работая в опыт­ной коман­де, человек может под­нять свои навыки и повысить позицию.

Ро­ман­чук: Наша коман­да рас­тет, и в этом году по нашим пла­нам она дол­жна уве­личить­ся в нес­коль­ко раз. Это вол­на, которая при наличии экспер­тизы и лидер­ских качеств дает воз­можность быс­тро рас­ти в коман­де и в ком­пании.

Ко­лесов: Интересные и сложные проекты, возможность прокачать свои навыки в команде очень крутых специалистов.

При выборе кандидата вы бы стали обращать внимание на наличие сертификатов разных курсов? Если да, то какие наиболее престижны?

Ва­лян­ский: По Scala есть хорошая серия кур­сов на Coursera, от EPFL (École polytechnique fédérale de Lausanne).

Ро­ман­чук: Конеч­но, обра­щаем вни­мание. Люди, стре­мящи­еся к рос­ту и раз­витию, всег­да име­ют боль­ше потен­циал, мы с радостью приг­лаша­ем таких людей.

Ко­лесов: Я не смот­рю на сер­тифика­ты, всег­да мож­но най­ти пути обхо­да и получить их нечес­тны­ми путями. Всег­да смот­рим толь­ко на зна­ния и желание раз­вивать­ся в нашем тре­ке. Плю­сики даем, если есть сер­тифика­ты, но они не явля­ются реша­ющи­ми при при­нятии решения.

Вакансия: Scala-разработчик

Расскажите подробнее, как Scala применяется в «Ростелеком-Солар» и в чем преимущества этого языка

Ва­лян­ский: Scala — это язык, сов­меща­ющий объ­ектную и фун­кци­ональ­ную парадиг­мы и работа­ющий на плат­форме JVM. Как показы­вает наш опыт, Scala поз­воля­ет писать более ком­пак­тный и лаконич­ный код, который при этом ока­зыва­ется кор­рек­тнее и безопас­нее ана­логич­ного кода на Java. Бла­года­ря фун­кци­ональ­ному под­ходу, в Scala гораз­до удоб­нее писать мно­гопо­точ­ный и асин­хрон­ный код, что очень важ­но для высоко­наг­ружен­ных сер­висов. Работа на плат­форме JVM поз­воля­ет исполь­зовать средс­тва отладки и диаг­ности­ки, пред­назна­чен­ные для прог­рамм на Java, а так­же при необ­ходимос­ти под­клю­чать готовые Java-биб­лиоте­ки.

Готовы ли вы брать людей, которые владеют только Java, и доучивать? Что в таком случае будете спрашивать на технической части интервью?

Ва­лян­ский: Да, готовы. Для это­го нуж­ны хорошие зна­ния Java Core, струк­тур дан­ных и мно­гопо­точ­ности. Хорошим плю­сом для кан­дидатов будет зна­ние смеж­ных тех­нологий, таких как исполь­зование реляци­онных СУБД, NoSQL, оче­редей, а так­же прак­тик про­екти­рова­ния ПО.

Есть ли у вас вакансии для студентов?

Ва­лян­ский: Рань­ше мы про­води­ли ста­жер­ские прог­раммы, но пря­мо сей­час таких позиций нет.

Вакансия: разработчик С++ (Windows Kernel)

Будет ли для кандидата плюсом опыт в области реверс-инжиниринга?

Ро­ман­чук: Да.

Будете экзаменовать соискателей на знание алгоритмов и структур?

Ро­ман­чук: Да.

Вам нужны специалисты только по Windows или есть аналогичные вакансии, связанные с Linux?

Ро­ман­чук: Нам нуж­ны и Linux-, и Windows-раз­работ­чики, c Linux есть дру­гие вакан­сии.

Есть ли у вас вакансии для студентов?

Ро­ман­чук: К сожале­нию, сей­час мы не можем поз­волить себе занимать­ся обу­чени­ем, поэто­му такие вакан­сии есть, но не мно­го.

Вакансия: пентестер

Какой идеальный бэкграунд человека, которого вы ждете на собеседовании?

Ко­лесов: Слож­но дать прос­той ответ на такой воп­рос. Ведь от того, куда и на какой уро­вень мы смот­рим челове­ка, могут варь­иро­вать­ся навыки. Нап­ример, в блок внут­ренне­го пен­теста они одни, внеш­него — дру­гие. В любом слу­чае мы ожи­даем, что человек инте­ресу­ется темой и хочет в ней раз­вивать­ся.

В слу­чае джу­нов — мы ждем, что­бы человек поп­робовал себя на пло­щад­ках вро­де Hack The Box или PortSwigger Academy, про­читал некото­рое количес­тво литера­туры и пред­став­лял, как хочет раз­вивать­ся. Мы со сво­ей сто­роны для таких ребят пре­дос­тавля­ем наши головы 😉 и делим­ся зна­ниями, даем инте­рес­ные про­екты, в которых мож­но покачать навыки. При этом это реаль­ные про­екты, а не «запус­ти ска­нер».

От спе­циалис­тов высоко­го уров­ня мы ждем, что они раз­бира­ются в сво­ей теме хорошо, зна­ют, как искать и находить уяз­вимос­ти, как их экс­плу­ати­ровать. Они дол­жны уметь работать руками. Мы, нап­ример, не исполь­зуем ска­неры уяз­вимос­тей, все дела­ем толь­ко руками и сво­ей авто­мати­заци­ей. Если человек хочет прий­ти к нам в коман­ду, но уме­ет толь­ко запус­кать ска­нер уяз­вимос­тей и не хочет учить­ся работать руками — боюсь, нам не по пути.

Специалистов в каких областях сейчас найти легко и приходится выбирать между кандидатами, а кого не сыщешь днем с огнем?

Ко­лесов: Пря­мо сей­час со все­ми спе­циалис­тами пло­хо. У нас, нап­ример, есть зап­рос на нес­коль­ких senior-тес­тиров­щиков в блок ана­лиза веба и внеш­ней инфраструк­туры. Таких людей в целом на рын­ке не очень мно­го, а сей­час най­ти ста­ло еще слож­нее. Кто‑то не хочет никуда ухо­дить в нес­покой­ные вре­мена, кто‑то хочет релока­цию за гра­ницу.

Вы говорите, что не обращаете внимания на сертификаты. Хочу уточнить — любые? Речь не про условный «Скиллбокс», а скорее OSCP, CEH и тому подобные, которые вроде бы считаются престижными.

Ко­лесов: Мы не то что­бы не обра­щаем вни­мания на них, если они есть у челове­ка — это опре­делен­но плю­сик. Но этот плюс не перек­роет тех­ничес­кое интервью. Мы смот­рим на навыки челове­ка: как он может решать задачи, как он отве­чает на наши кавер­зные воп­росы. Сер­тификат — это хорошо, но его мож­но зазуб­рить и сдать. У Offensive Security сей­час есть скри­нинг, но и его уже научи­лись обхо­дить. Поэто­му важ­но смот­реть на навыки, на желание делать свою работу качес­твен­но и с отда­чей, а уже потом на сер­тифика­ты.

Представьте, что кандидат хотел бы потратить значительное количество времени, чтобы прокачать скилл и повысить свои шансы на собеседовании. Что можно ему посоветовать?

Ко­лесов: Поп­робую пред­положить, что воп­рос — с точ­ки зре­ния сту­ден­тов и джу­ниоров или жела­ющих быс­тро вка­тить­ся. Рас­пишу сов­сем для нович­ков, план боль­шой, при­дет­ся пот­ратить при­лич­ное количес­тво вре­мени, зато кан­дидат будет отли­чать­ся от мно­гих воз­дыхате­лей «вой­тивай­ти».

1. Изу­чить работу сетей, для начала понять базовые шту­ки, для это­го хорошо подой­дет цикл ста­тей (я бы даже ска­зал — лек­ций) «Се­ти для самых малень­ких».
2. Про­читать про осно­вы опе­раци­онных сис­тем. Книг мно­го, совето­вать что‑то слож­но. Нуж­но будет понять осно­вы и раз­ницу раз­личных под­ходов и устрой­ства Windows и Linux.
3. Так­же неп­лохо было бы изу­чить и понять прог­рамми­рова­ние, как минимум на уров­не авто­мати­зации сво­их дей­ствий. Я рекомен­дую начать с Python, он в пла­не авто­мати­зации, навер­ное, самый удоб­ный. Книг и кур­сов море, най­ти мож­но на любой вкус.

А даль­ше уже опре­деля­емся с тем, что мы хотим ковырять в пла­не хакер­ских скил­лов. Я всег­да рекомен­дую начинать с веба, он при­годит­ся всег­да, важ­но понимать, куда человек хочет раз­вивать­ся даль­ше, и оста­новить­ся на опре­делен­ном уров­не.

По вебу я рекомен­дую кни­ги WASP Web Testing guide и WAHH, пло­щад­ку PortSwigger Academy.

По мобиль­ным сис­темам — почитать OWASP Mobile Testing guide и пот­рениро­вать­ся на уяз­вимых при­ложе­ниях.

По тес­тирова­нию инфраструк­туры рекомен­дую читать pentest-standard.org и The Hacker Playbook v2 и v3. Тре­ниро­вать­ся луч­ше все­го на Hack The Box.

Есть ли у вас вакансии для студентов?

Ко­лесов: Да, для мотиви­рован­ных сту­ден­тов у нас всег­да есть откры­тые вакан­сии.

Откликнуться на вакансии ты можешь на HeadHunter.