Consultor de Segurança Ofensiva Sênior

Desde 2009 somos uma empresa especializada em Segurança da Informação, com foco no fornecimento de diagnósticos precisos e programas continuados de segurança. O propósito da IBLISS ao longo desses anos, é motivar nossas pessoas colaboradoras a se engajarem em nossa proposta por uma sociedade digital mais segura.

Olhamos as pessoas em sua essência e reconhecemos sua existência, por isso incentivamos a candidatura de mulheres, PCDs, LGBTQIAP+, pessoas negras/pretas e indígenas e todes e quaisquer grupos sub-representados.

Por 6 anos consecutivos somos certificada pela GPTW, como uma das melhores empresas para se trabalhar. Também cumprimos nosso dever com a segurança e somos certificados ISO 27.001. 

Nossa cultura valoriza pessoas motivadas, que se reconhecem no que fazem e se sentem parte real do nosso propósito. Tudo isso conectado aos valores que definem nosso jeito de ser:

✅ Mantemos o compromisso sólido e a convivência leve
✅ Vazamos tudo entre nós, para que nada vaze dos clientes
✅ O que é certo é certo
✅ Mentes inquietas

Sobre a vaga:

Buscamos um perfil profissional responsável por planejar e executar testes de intrusão complexos, incluindo novos vetores de ataque em sistemas baseados em Inteligência Artificial e Machine Learning (ML). O papel exige autonomia, domínio técnico em diversas plataformas, a capacidade de traduzir achados em risco de negócio e fornecer orientações de remediação precisas.

Atividades e Responsabilidades:

• Liderança Técnica: Planejar, liderar e executar testes de intrusão e exercícios Red Team do kick-off até a entrega executiva, em ambientes de alta criticidade (Web, APIs, Cloud, Redes Internas).
• Qualidade e Comunicação: Elaborar apresentações e relatórios técnicos e executivos de qualidade superior, incluindo o risco específico de ataques, e fornecendo orientação estratégica aos clientes.
• Evolução de Ofertas: Revisar e aprimorar serviços de Pentest e Red Team, garantindo aderência às novas demandas e necessidades.
• Mentoria Técnica: Atuar como referência para acelerar a curva de aprendizagem da equipe e desenvolvimento técnico por meio de direcionamento, capacitações e apoio na evolução dos PDIs.
• Cultura de Conhecimento: Estimular a produção e disseminação de conhecimento através de publicações, descobertas de CVEs e participação em eventos e palestras.
• Exploração Avançada de IA/ML: Executar testes de segurança específicos em Modelos de Machine Learning e LLMs (Large Language Models), identificando vulnerabilidades como Prompt Injection, Data Poisoning e extração de dados sensíveis (Model Inversion).
• Eficiência & Padronização: Otimizar processos e metodologias com foco em padronização, automação (incluindo uso de IA) e ganho de eficiência operacional.
• Inovação Contínua: Incorporar novas tecnologias, técnicas e práticas de mercado para elevar a maturidade e a competitividade das operações.

Requisitos:

• Certificações de Pentest reconhecidas (OSCP, GPEN, GWEB, Pentest+, CRTE, CRTP ou CRTO);
• Domínio de metodologias e frameworks de segurança, incluindo PTES, OWASP Top 10 e compreensão avançada do MITRE ATT&CK e do Framework de Segurança para IA (OWASP Top 10 for LLMs ou similares).
• Proficiência avançada na exploração manual de vulnerabilidades em:
  • Aplicações Web e APIs;
  • Mobile;
  • Infraestrutura Cloud (IAM, PaaS);
• Experiência com estabelecimento de RoE para exercícios Red Team e execução de testes físicos e em redes internas.
• Proficiência em Scripting: Habilidade de escrever scripts (Python, PowerShell ou Bash) para automação de tarefas e criação de PoCs complexas, incluindo manipulação de dados para ataques em modelos de ML.
• Excelente habilidade de comunicação verbal e escrita em Português.

Fortes Diferenciais:

• Conhecimento do OWASP Top 10 for LLM Applications ou outros frameworks específicos de segurança para IA;
• Experiência ou conhecimento profundo em testes de segurança em IA/ML:
  • Ataques de Evasão (adversarial attacks).
  • Envenenamento de Dados (Data Poisoning).
  • Testes em APIs de LLMs (Prompt Injection, Vulnerabilidades de Sandboxing).
• Experiência em testes de segurança em Mobile e/ou ambientes de Contêineres (Docker/Kubernetes).