* Salário: R$ 2.000 a R$ 5.000 por mês (estimado)
* O valor exibido é uma estimativa calculada com base em dados públicos e referências do mercado. Não garantimos que este seja o salário oferecido para esta vaga específica.
Área: Outros
Nível: Junior
Sobre a Confidencial (Apenas para Cadastrados)
Somos uma empresa global de tecnologia especializada em aplicações e segurança digital. Nossa plataforma ajuda empresas a operar com mais agilidade, reduzindo o tempo de resposta e aumentando a confiabilidade de seus sistemas.
Na Confidencial (Apenas para Cadastrados), nosso propósito é simplificar a construção de aplicações e transformar o futuro com tecnologia de ponta. Aqui, você terá a chance de se desenvolver em um ambiente inovador, ao lado de um time de alta performance, atuando em desafios reais e criando soluções que fazem a diferença.
Sobre o Cargo
O Offensive Security Engineer lidera avaliações ofensivas e simulações adversariais para identificar caminhos de ataque reais antes que sejam explorados. A posição executa testes de invasão em aplicações, APIs, infraestrutura, cloud e identidade, valida o impacto das vulnerabilidades com exploração controlada e transforma os achados em recomendações acionáveis. O profissional atua em estreita parceria com AppSec, Infrastructure Security, Security Operations e Engenharia, sempre sob regras de engajamento formais, com foco em evidência, segurança operacional e validação das correções.
Principais Desafios
- Programa de Segurança Ofensiva: planejar e executar um calendário de avaliações baseado em risco, definindo escopo, objetivos, regras de engajamento, critérios de sucesso e tratamento seguro de evidências;
- Testes de Aplicações Web e APIs: realizar pentests manuais e apoiados por ferramentas em aplicações web, APIs REST e GraphQL, cobrindo autenticação, autorização, lógica de negócio, sessão, injeções e abuso de funcionalidades;
- Testes de Infraestrutura, Cloud e Identidade: identificar e explorar de forma controlada caminhos de ataque em redes, Linux, Windows, AWS, Azure ou GCP, Kubernetes e provedores de identidade como Entra ID, Okta ou Active Directory;
- Red Team e Emulação de Adversários: conduzir exercícios orientados por objetivos e inteligência de ameaças, mapeados ao MITRE ATT&CK, para avaliar exposição, prevenção, detecção e resposta de ponta a ponta;
- Validação de Exploração: demonstrar impacto real sem comprometer disponibilidade, confidencialidade ou integridade, mantendo rastreabilidade, limites de segurança, plano de interrupção e limpeza pós-teste;
- Relatórios e Reteste: produzir evidências reproduzíveis, descrever causa raiz, impacto e cenários de abuso, propor correções práticas e confirmar a efetividade das remediações;
- Automação e Tooling: desenvolver e manter ferramentas para reconnaissance, enumeração, validação de vulnerabilidades e consolidação de evidências utilizando Python, Bash, PowerShell ou Go;
- Purple Team e Validação de Controles: trabalhar com Security Operations para converter técnicas ofensivas em casos de teste, medir cobertura de telemetria e detecção e acompanhar a correção das lacunas;
- Gestão de Avaliações Externas: apoiar o escopo de pentests conduzidos por terceiros, triar achados de bug bounty e canais de responsible disclosure e garantir consistência na severidade e no acompanhamento.
Requisitos Mínimos
- Experiência comprovada conduzindo pentests de ponta a ponta, desde o escopo e reconhecimento até exploração controlada, reporte e reteste;
- Conhecimento aprofundado de segurança de aplicações web e APIs, incluindo OWASP Top 10, OWASP API Security Top 10, autenticação, autorização e falhas de lógica de negócio;
- Conhecimento sólido de Linux, Windows, redes e identidade: TCP/IP, DNS, TLS, firewalls, proxies, Active Directory e controles de acesso;
- Experiência prática avaliando pelo menos um grande provedor de nuvem (AWS, Azure ou GCP) e ambientes de containers ou Kubernetes;
- Domínio de ferramentas como Burp Suite, Nmap, Wireshark e frameworks de exploração, com capacidade de validar achados manualmente e encadear vulnerabilidades;
- Proficiência em Python, Bash, PowerShell ou Go para automação, desenvolvimento de ferramentas e adaptação de provas de conceito;
- Familiaridade com MITRE ATT&CK, PTES, NIST 800-115, CWE e CVSS, além de práticas de coleta e proteção de evidências;
- Comunicação escrita e verbal clara, julgamento ético e disciplina para atuar somente dentro de autorização e escopo formais;
- Graduação em área técnica ou experiência prática equivalente.
Qualificações Desejáveis
- Certificações ofensivas como OSCP, OSEP, OSWE, CRTO, CRTP, GXPN ou equivalentes;
- Experiência em Red Team, Purple Team ou emulação de adversários orientada por inteligência de ameaças;
- Conhecimentos de desenvolvimento de exploits, engenharia reversa, análise de binários ou evasão de controles;
- Contribuições públicas, como CVEs, ferramentas open source, pesquisas, palestras ou histórico relevante em programas de bug bounty;
- Experiência com edge computing, CDN, WAF e proteção de APIs em alta escala;
- Familiaridade com segurança mobile, supply chain, CI/CD ou aplicações com LLMs.
Benefícios & Confidencial (Apenas para Cadastrados) Way of Life
- Modelo de contratação CLT;
- Plano de saúde e odontológico;
- VR e VA flexível (Cartão Flash), inclusive em período de férias;
- Vale-transporte sem desconto em folha;
- Hackathons anuais internos;
- Auxílio mobilidade (valor adicional para deslocamento);
- Freestyle (incentivo para customização da estação de trabalho);
- Stock options (conforme política);
- Birthday day off;
- TotalPass;
- Horário de trabalho flexível (flexível mesmo);
- Programa Nômade para trabalhar de onde quiser por até 30 dias no ano (conforme política);
- Programa de Intercâmbio internacional anual.
Modelo FlexWork
Oferecemos um modelo de FlexWork que prioriza o aculturamento e a colaboração. Nos primeiros três meses, você trabalhará on-site no escritório local, uma etapa essencial para construir relacionamentos sólidos e uma conexão genuína com nossos valores e objetivos. Acreditamos que essa imersão inicial não só fortalece a equipe, mas também impulsiona a criatividade e a inovação.
Após esse período, você terá a possibilidade de aplicar para o modelo híbrido, trabalhando presencialmente pelo menos três vezes por semana. Essa abordagem equilibra a interação presencial e a autonomia, criando um ambiente de trabalho dinâmico e produtivo.
Na Confidencial (Apenas para Cadastrados), todas as candidaturas são bem-vindas, independentemente de gênero, orientação sexual, idade, gravidez, deficiência, etnia, cor, país de origem ou religião. Acreditamos que um ambiente inclusivo contribui para o nosso sucesso e que o respeito está presente em todas as nossas relações.
Venha fazer parte da nossa equipe! Estamos ansiosos para conhecê-lo e trilhar juntos um caminho de sucesso na tecnologia!
