Analista de Segurança Cibernética

Brasília, DF, BR (1 Oferta de empleo)

Híbrido

Descripción y responsabilidades

Horario: De segunda à quinta, das 9h às 19h com 1h de almoço e nas sextas das 9h às 19h com 2h de almoço

Nivel: Operacional

Régimen de contratación: Indefinido en plantilla

O Security Center conta com uma frente de segurança ofensiva focada em validar, na prática, a resiliência de aplicações, infraestruturas e ambientes corporativos por meio de testes avançados e simulações alinhadas ao contexto de negócio dos clientes.

Buscamos um Pentester com boa maturidade técnica e visão sistêmica, capaz de conduzir avaliações de ponta a ponta, identificar cadeias de ataque e transformar achados em ações concretas de mitigação.

A posição vai além da execução: esperamos um profissional que contribua com a evolução das práticas ofensivas, apoie o time de Gestão de Vulnerabilidades e atue com autonomia em cenários complexos. 🚀

Principais Responsabilidades:

Conduzir testes de intrusão avançados em aplicações web, APIs, infraestrutura, ambientes - corporativos e cenários híbridos
Executar avaliações ofensivas com foco em exploração manual, encadeamento de vulnerabilidades e validação de impacto real
Identificar attack paths completos, combinando falhas técnicas, lógicas, permissões excessivas, exposições arquiteturais e fragilidades operacionais
Planejar e executar simulações de adversários, campanhas de validação ofensiva e exercícios controlados de comprometimento
Atuar como referência técnica e apoiar a definição e elevar a maturidade técnica.
Produzir relatórios técnicos e executivos com clareza, profundidade e priorização orientada a risco
Traduzir achados técnicos e resultados de atividades ofensivas em recomendações acionáveis e estratégias de monitoramento defensivo (como regras de detecção, hardening, entre outros) para times de engenharia, arquitetura, produto e segurança.
Validar correções e apoiar na eliminação de causas estruturais, não apenas sintomas pontuais
Desenvolver, adaptar e manter ferramentas, scripts, automações e laboratoriais de apoio à prática ofensiva
Contribuir com pesquisa aplicada em técnicas, vetores, superfícies de ataque e abuso de tecnologias emergentes
Apoiar investigações complexas e análises pós-incidente com visão ofensiva
Colaborar com iniciativas de AppSec, Cloud Security e Detection Engineering quando necessário
Realizar testes de intrusão em aplicações mobile
Executar análises estáticas (SAST) e dinâmicas (DAST) em busca de falhas de lógica e segurança
Elaborar relatórios técnicos detalhados com evidências de exploração e planos de remediação
Colaborar com times de DevSecOps para integrar boas práticas de segurança no ciclo de desenvolvimento.

Requisitos

Inglês intermediário
Domínio de sistemas operacionais, redes, protocolos e comunicação entre sistemas
Conhecimento de segurança ofensiva em múltiplas camadas
Atuação com exploração manual e análise crítica de superfícies de ataque
Experiência em avaliações complexas, com baixa dependência de ferramentas automatizadas
Vivência com metodologias de pentest (owasp, ptes, nist, etc) e em testes de invasão de aplicativos.
Flexibilidade de atuação
Boa comunicação escrita e verbal para interlocução com públicos técnicos e não técnicos

Conhecimentos Técnicos:

Testes avançados em aplicações web, APIs e Avaliação de APIs REST, GraphQL, gRPC e integrações entre serviços
Exploração de vulnerabilidades clássicas e não avançadas, incluindo: SQL Injection, XSS, SSRF, IDOR / Broken Access Control, RCE, Path Traversal, Insecure Deserialization, Command Injection, Server-side template injection, Race conditions e Business logic flaws
Enumeração, exploração e movimentação lateral
Pós-exploração, escalação de privilégios e C2
Abuso de identidades, permissões e relações de confiança
Containers e workloads em execução
Kubernetes e componentes do ecossistema cloud-native
CI/CD e supply chain de software
Cloud pública e componentes associados a identidade, exposição e configuração
Serviços internos, painéis administrativos, ferramentas operacionais e automações
Domínio do OWASP Mobile Top 10
Arquitetura de sistemas operacionais (Android e iOS), incluindo gerenciamento de memória e permissões
Burp Suite, uso extensivo de extensões, customizações e testes manuais estruturados
Ferramentas de enumeração e descoberta como Nmap, ffuf, dirsearch, gobuster e similares
Interceptação, manipulação e análise de tráfego.

Desejáveis:

Certificações OSCP, OSCE, GPEN, GWAT, eJPT ou CEH Pratico
Conhecimentos de Active Directory, Windows e ambientes corporativos.

👉 Candidate-se agora e venha fazer parte do nosso time! ✨

Beneficios

Day off (aniversário)Mobilidade (combustível e aplicativos de corrida)Plano de saúdePlano odontológicoTotal PassVale-AlimentaçãoVale-transporteVittude (saúde mental)