Security Analysts

Verdens mest digitale land må også bygge digital sikkerhet i verdensklasse, og som viktig samfunnsaktør satser derfor Telenor tungt på sikkerhet. Et kritisk ledd i denne satsningen er å styrke deteksjon og respons ved alvorlige cybersikkerhetshendelser. Som følge av dette er Telenor CERT og Telenor SOC per i dag et av de største og mest spesialiserte operative sikkerhetsmiljøene i Norge og Norden.

Satsningen fortsetter med full styrke, og vi skal i løpet av det kommende året ansette over 20 nye medarbeidere i Oslo og Arendal. Telenor CERT (TCERT) skal ansette rundt ti av disse personene på Fornebu utenfor Oslo, fordelt på tre stillingskategorier:

•Security Engineering: Utvikling, drift og forvaltning av Telenor CERT og Telenor SOC sin egen infrastruktur og verktøykasse for å løse oppdraget med deteksjon og respons.
•Security Analysis: Analysere og forklare datainnbrudd og innbruddsteknikker, og omsette kunnskapen om disse til deteksjon, rådgivning og rapporter.
•Incident Response: Holde oversikt over hendelser, koordinere og styre ressurser, gi råd om responsstrategier og konkrete tiltak for skadebegrensning og gjenoppretting.

Denne stillingsannonsen er for Security Analysis, og for denne kategorien håper vi å ansette minst 4 nye kolleger i løpet av det neste året.

Om stillingene

Vi har flere ubesatte roller i teamet, men de fire høyest prioriterte rollene å fylle er:

•Hunting: Målrettet, hypotesedrevet jakt på spor av innbrudd, og omsettelse av gode deteksjonsstrategier i automatisert deteksjon og varsling. Til denne rollen søker vi en erfaren analytiker med kunnskap om deteksjonsutvikling. Det er en fordel å være godt kjent med rammeverk som MITRE ATT&CK.
•Logganalytiker: Analyse av sikkerhetshendelser i store mengder loggdata. Til denne rollen søker vi en erfaren logganalytiker med erfaring fra Splunk eller lignende loggløsninger. Kunnskap om Windows Event Logs, Linux Syslog og nettverkslogger fra f.eks. brannmurer og proxyer vil være en fordel. Det samme gjelder erfaring med søk på Carbon Black- eller Sysmon-data.
•Taktisk analytiker: Analyse av tekniske funn og etterretningsinformasjon med formål om å avdekke handlemåte og hendelsesforløp, og etablere hypoteser om motiver og involverte aktører og deres kapabiliteter. Den taktiske analysen er hendelsesledelsens viktigste beslutningsgrunnlag når responsstrategier og tiltak skal vurderes og besluttes.
•Dataforvalter: Forvaltning, foredling og berikelse av datakilder i våre plattformer for sentralisert logging, først og fremst Splunk og Carbon Black. Formålet er å ha kontroll på dekningsgrad og kvalitet, på hvordan ulike loggkilder og -elementer henger sammen, og hvordan vi kan nyttiggjøre oss loggdataene våre bedre. Til denne rollen søker vi en strukturert og systematisk person som liker å etablere oversikt og kontroll, og som evner å tålmodig jobbe for kontinuerlig forbedring.


Om TCERT Security Analysis

Som Security Analyst i Telenor CERT vil du inngå i et stort og svært kompetent team av tekniske og taktiske analytikere. Ved sikkerhetshendelser vil dere støtte responsteamet som koordinerer den tekniske og taktiske analysen, og som planlegger og koordinerer TCERTs responsstøtte til relevante systemeiere og kriseledere. Under en hendelse har våre tekniske analytikere ansvar for å analysere logger, minnedumper, diskdumper, skadevare og lignende, og dokumentere og rapportere på de funn de gjør. De har også ansvar for å omsette funn til deteksjon dersom det er mulig. Dette er viktig for at vi så raskt som mulig blir gjort i bedre stand til å oppdage hva angriperne holder på med. De taktiske analytikerne har ansvar for å etablere en forståelse for hva angriperne er ute etter, og sammen med resten av teamet komme opp med forslag til tiltak.

Teknisk analyse handler om å finne, forstå og sortere puslespillbrikkene som ligger gjemt i tekniske spor. Taktisk analyse handler om å legge puslespillet og prøve å tolke bildet som avtegner seg.

Vår forståelse av pågående hendelser blir sjelden bedre enn det den tekniske og taktiske analysen tillater, og som analytiker bidrar du til en svært viktig del av TCERTs evne til å levere deteksjon og respons til resten av Telenor. Vi trenger derfor deg som kan hjelpe oss til å bli bedre til rask og grundig kartlegging og vurdering av innbrudd i infrastrukturen vår.


Om TCERT

Telenor CERT er del av Security i Telenor Norge og har tilholdssted på Fornebu utenfor Oslo. Vi samarbeider tett med Telenor SOC som holder til i Arendal, og i fellesskap utgjør vi det operative sikkerhetsmiljøet i Security. Sammen er vi Norges klart største interne miljø for sikkerhetsovervåkning og hendelseshåndtering, og når vi er ferdige med denne runden med rekruttering vil vi være over 60 kolleger fordelt på våre to lokasjoner.


Vår primære oppgave er å beskytte Telenor Norge AS og nasjonal kritisk EKOM-infrastruktur mot spionasje og sabotasje fra blant annet nasjonalstaters offensive cyberkapasiteter. I tillegg skal vi levere sikkerhetsovervåkning og responsstøtte til rundt 30 andre Telenor-selskaper, inkludert alle Telenors mobiloperasjoner i utlandet.

Det betyr sikkerhetsovervåkning for et internasjonalt konsern med snart 200 millioner kunder og over 30 000 ansatte. Med et slikt omfang er håndtering av alvorlige sikkerhetshendelser en del av hverdagen, og vi er derfor trygge på at vi kan tilby faglige utfordringer ingen andre sikkerhetsmiljøer i Norge er i nærheten av å kunne tilby.

For å løse disse utfordringene bygger vi en avansert datainnsamlingskapasitet og en bred verktøyportefølje for deteksjon, analyse og respons. Vårt Splunk-cluster er for eksempel blant de topp 1% største i verden, og vi både kjøper og bygger verktøy som er ekstremt spisset for oppgaven de er satt til å løse.

Å lykkes med dette krever høye ambisjoner og krav, tung erfaring, mye spisskompetanse, ønske og evne til å dra i samme retning, og vilje til å gjennomføre – både fra organisasjonen og fra den enkelte medarbeider. Telenor CERT skal levere – og derfor trenger vi deg.

Ønsker du faglig og personlig utvikling, samt muligheten til å være med å bygge et svært kompetent og høyt presterende sikkerhetsmiljø med ambisjon om å bli best i verden på det vi driver med? Ønsker du å ta samfunnsansvar gjennom å beskytte Telenor og Telenors ansatte, kunder og nasjonalt kritiske og internasjonalt viktige infrastruktur mot kriminalitet, spionasje og sabotasje? I så fall er vi kanskje ute etter akkurat deg - for innstilling og engasjement er minst like viktig som de øvrige kravene til stillingene!


Kompetanse og erfaring

Felles for alle våre stillinger er at du som søker bør oppfylle flest mulig av følgende krav til kompetanse og erfaring:
•God muntlig og skriftlig fremstillingsevne på norsk og engelsk, siden presis og forståelig dokumentasjon er viktig i alle ledd hos oss.
•Høyere utdanning og/eller relevant arbeidserfaring, da vi er et svært spesialisert miljø med høye krav til å forstå og løse komplekse utfordringer.
•God forståelse for teknologi og IKT-sikkerhetsutfordringer, siden vi jobber på tvers av både enterprise IT, datasenter og storskala nettverks- og mobiloperasjoner.
•God forståelse for det digitale trusselbildet, da avdelingens oppdrag er å bekjempe alvorlige digitale trusler mot Telenor i inn- og utland.
•God forståelse for hvilken rolle en responsenhet spiller i en stor organisasjon, hvor verdien skapes gjennom støtte og veiledning til selskapets operative krisehåndtering.

For Security Analyst-rollene bør du som søker dessuten oppfylle flest mulig av følgende krav til kompetanse og erfaring:

•Forståelse for trusselbildet og kunnskap om utnyttelse av sårbarheter, siden din oppgave blir å avdekke og forklare innbrudd i IKT-systemer.
•God kjennskap til ulike typer trusselaktørers modus og verktøysett, slik at du har forkunnskap å bygge på når du skal analysere avanserte angrep mot Telenor.
•Bakgrunn fra minst én disiplin innen teknisk analyse som er relevant for sikkerhetshendelser: Logganalyse, minneanalyse, skadevareanalyse eller nettverksanalyse. Annen relevant erfaring kan veie opp for dette.
•Erfaring med å gjøre om kunnskap fra etterretning og teknisk analyse til effektiv deteksjon på tvers av ulike typer deteksjonsplattformer, siden vi er avhengige av å raskt få på plass deteksjon av all kunnskap vi etablerer om pågående hendelser.
•Gode vaner knyttet til dokumentasjon, visualisering og rapportering, siden udokumenterte funn er en kilde til forvirring og er vanskelig å kontrollere i ettertid.
•Kunnskap om analytiske konsepter og tilnærminger, som ACH, Diamond Model, Kill Chain, Pyramid of Pain, etterretningsprosessen og lignende, da metodisk tilnærming er helt nødvendig når man skal jobbe hypotesedrevet med avanserte trusselaktører.
•Erfaring med høynivåprogrammering i Perl, Python, Go eller tilsvarende, da det ofte vil være behov for å automatisere og forbedre analyseprosessen.

For de kravene du ikke oppfyller ønsker vi at du har tenkt over hvilke interesser, egenskaper og overførbar kompetanse du kan bygge videre på for å opparbeide deg ønsket kompetanse.

Kultur og egenskaper

For å kunne løse oppdraget vårt er det viktig at vi etablerer en sterk kultur og identitet i avdelingen. Du må derfor ønske å bidra til en kultur preget av:

•Integritet og ansvarlighet, siden vi kommer til å arbeide med svært sensitive data og situasjoner med potensielt store konsekvenser.
•Samarbeidsorientering og selvorganisering, siden vi som responsmiljø ofte må snu oss på hælen og løse oppdrag uten tid til detaljert planlegging.
•Nysgjerrighet og læring, slik at vi kan sette oss inn i og analysere virksomhetens skiftende teknologier og angripernes brede spekter av teknikker.
•Kolleger som tar vare på hverandre, siden vi er en relativt liten gruppe mennesker som sammen skal løse vanskelige problemer under press.

Som analytiker er det dessuten viktig at du er sterk på følgende områder:

•Nysgjerrig og standhaftig, siden du skal finne angripere og kartlegge og forstå deres handlinger basert på mangelfulle spor som ligger skjult i store mengder data.
•Kreativ, men systematisk, siden du ofte vil måtte prøve mange ulike analytiske tilnærminger før du til slutt finner det som lar deg forklare hva angriperen har gjort.


Vi tilbyr

•Mange og svært kompetente kolleger som ønsker å bli blant de beste i verden på deteksjon, analyse og bekjempelse av målrettede angrep fra avanserte aktører.
•En utfordrende og interessant arbeidshverdag preget av kontinuerlig læring, i et miljø hvor du har mange å sparre med og lære av.
•Norges største interne operative sikkerhetsmiljø med rendyrket fokus på spionasje og sabotasje mot samfunnsviktig og -kritisk infrastruktur.
•En organisasjon med høye og høyt forankrede ambisjoner for sikkerhet, og med sikkerhet og samfunnsansvar i hjertet av sin virksomhet.
•God kantineordning med svært gode valgmuligheter.
•Gode treningsfasiliteter.
•Kontorlokaler i naturskjønne omgivelser ved Oslofjorden.
•Fleksibel arbeidstid og mulighet for hjemmekontor.
•Aksjeprogram for våre ansatte.
•God lønn og pensjonsordning.

Annen informasjon

Fast ansettelse i Telenor CERT forutsetter normalt at du som søker blir klarert til HEMMELIG av norske myndigheter, og et eventuelt tilbud vil gis med dette forbeholdet. Det betyr at du må være norsk statsborger, eller har bodd i Norge over tid. Vi kommer også til å foreta en bakgrunnssjekk av aktuelle kandidater gjennom selskapet Semac AS. Personlig egnethet og erfaring fra operative sikkerhetsmiljøer vil bli tillagt stor vekt.

NB: Dersom du ikke finner noen roller i utlysningen som passer perfekt til deg, men du mener du har en profil som passer godt inn i det teamet vi ønsker å bygge, ikke nøl med å ta kontakt. Vi har større behov for folk enn vi klarer å dekke opp i denne runden med ansettelser, og for den rette kandidaten er vi villige til å utforske om vi kan utforme en rolle som passer begge parter. Kvinner oppfordres til å søke!


Søknadsfrist: Aktuelle kandidater intervjues fortløpende til alle stillingene er besatt.

Kontaktperson: Henrik Strøm, Leder Telenor CERT. Tlf: 992 86 492