Senior Security Analyst

Telenor har et solid teknisk analysemiljø som består av både interne og innleide analytikere. Dette skal nå styrkes, og vi ser etter en kandidat til stillingen Senior Security Analyst som passer til enten profilen Technical Analysis Lead eller Reverse Code Engineer.

Ønsker du faglig og personlig utvikling, samt muligheten til å være med å bygge et svært kompetent og høyt presterende sikkerhetsmiljø med ambisjon om å bli best i verden på det vi driver med? Ønsker du å være med på å beskytte Telenor og Telenors ansatte, kunder og nasjonalt kritiske og internasjonalt viktige infrastruktur mot kriminalitet, spionasje og sabotasje? I så fall ønsker vi å komme i kontakt med deg.

Om Telenor CERT

Stillingen tilhører Telenor CERT, som er del av Security i Telenor Norge. I Telenor CERT samarbeider vi tett med Telenor SOC, og sammen utgjør vi det operative sikkerhetsmiljøet i Security. Sammen er vi også Norges klart største interne miljø for sikkerhetsovervåkning og hendelseshåndtering.

Vår primære oppgave er å beskytte Telenor Norge AS og nasjonal kritisk EKOM-infrastruktur mot spionasje og sabotasje fra blant annet nasjonalstaters offensive cyberkapasiteter. I tillegg skal vi levere sikkerhetsovervåkning og responsstøtte til rundt 30 andre Telenor-selskaper, inkludert Telenors mobiloperasjoner i Norden, Øst-Europa og Asia.

Det betyr sikkerhetsovervåkning for et internasjonalt konsern med rundt 200 millioner kunder og over 30 000 ansatte. Med et slikt omfang er håndtering av alvorlige sikkerhetshendelser en del av hverdagen, og vi kan derfor tilby faglige utfordringer ingen andre sikkerhetsmiljøer i Norge kan.

For å løse disse utfordringene bygger vi en avansert datainnsamlingskapasitet og en bred verktøyportefølje for deteksjon og analyse, samt et slagkraftig team for analyse og respons med mye spisskompetanse og stor frihet til å utforske metoder og strategier for automatisert eller tungt verktøystøttet analyse.

Om stillingen

Som Security Analyst i Telenor CERT vil du inngå i et svært kompetent team av tekniske analytikere. Ved sikkerhetshendelser vil dere støtte responsteamet som koordinerer den tekniske og taktiske analysen, og som planlegger og koordinerer responsen.

Vår forståelse av pågående hendelser blir sjelden bedre enn det den tekniske analysen tillater. Som teknisk analytiker blir du derfor en svært viktig del av Telenor CERTs evne til å levere deteksjon og respons til resten av Telenor. Vi søker derfor deg som kan bidra til at vi blir bedre til rask og grundig kartlegging av innbrudd i infrastrukturen vår.

Under en hendelse har det tekniske analyseteamet ansvar for å analysere logger, minnedumper, diskdumper, skadevare og lignende, og dokumentere og rapportere på de funn de gjør. Det har også ansvar for å omsette funn til deteksjon dersom det er mulig. Dette er viktig for at vi så raskt som mulig blir gjort i bedre stand til å oppdage hva angriperne holder på med.       

Mellom hendelser har teamet ansvar for å videreutvikle egen kompetanse, verktøy og metoder for å jobbe effektivt med våre tekniske analyseoppgaver.

Stillingsprofil 1: Technical Analysis Lead / Teknisk analyseleder

Som teknisk analyseleder vil du bistå hendelsesleder med å organisere det tekniske analysearbeidet i hendelser. Du vil i tillegg jobbe som teknisk analytiker innenfor det området du selv har spisskompetanse på. Formålet med å ha en analyseleder er å gjennomføre den tekniske analysen mer effektiv, og gjøre rapportering til hendelsesledelsen mindre fragmentert.

Stillingsprofil 2: Reverse Code Engineer / Skadevareanalytiker

Som skadevareanalytiker vil din oppgave være å analysere ulike former for skadevare og verktøy brukt av de ulike trusselaktørene vi arbeider med å bekjempe. Siden du skal understøtte hendelseshåndtering er det viktig at du kan jobbe raskt med å hente ut det mest nyttige for den videre analysen og responsen, som f.eks. C2-protokoll og krypto. Du vil også ha ansvar for å samle teknisk Threat Intel og jobbe frem Intrusion Sets på prioriterte aktører.

Kompetanse og erfaring

Du som søker må oppfylle flest mulig av følgende krav til kompetanse og erfaring:

• God muntlig og skriftlig fremstillingsevne på norsk og engelsk, siden presis og forståelig dokumentasjon er viktig i alle ledd i CERTet.
• Høyere utdanning og relevant arbeidserfaring.
• Erfaring med hendelseshåndtering fra et IRT-miljø.
• Erfaring med høynivåprogrammering i Perl, Python, Go eller tilsvarende.
• God kunnskap om trusselbildet og utnyttelse av sårbarheter.
• God kjennskap til ulike typer trusselaktørers modus og verktøysett.
• Erfaring og gode vaner knyttet til dokumentasjon, visualisering og rapportering.
• Kunnskap om analytiske tilnærminger som ACH, Diamond Model, Kill Chain, Pyramid of Pain, etterretningsprosessen og lignende.
• Erfaring fra analyse av komplekse sikkerhetshendelser, helst fra hendelser hvor det har vært mistanke om spionasje fra statlige aktører.

Spesielt for Technical Analysis Lead:

• Bred erfaring med ulike former for teknisk analyse.
• Erfaring med teamledelse eller koordinering av oppgaver, helst innen analyse.
• Komfortabel med å vurdere kvalitet på andres arbeid og gi konstruktiv kritikk og ros.
• Tydelig, men vennlig i kommunikasjon med andre.

Spesielt for Reverse Code Engineer:

• Erfaring med og interesse for APT.
• God kunnskap om Windows / Linux internals.
• Lang erfaring med IDA Pro og debuggere.
• Erfaring med skriving og utvikling av YARA signaturer.
• Kunnskap innen kryptografi.
• Erfaring med analyse av nettverksprotokoller.
• ?Kjennskap til Volatility og utvikling av plugins.
• Erfaring med bruk av åpne kilder, som yara-hunting på VT.
• Godt kontaktnettverk i sikkerhetsmiljøet nasjonalt og internasjonalt er nødvendig for å kunne jobbe effektivt med teknisk Threat Intel og Intrusion Sets.

Dersom du ikke oppfyller alle kravene må du i søknaden forklare hvorfor du mener du har interesser, egenskaper og overførbar kompetanse som vil la deg utvikle deg til å oppfylle kravene gitt tid og innsats.

Personlige egenskaper

For å kunne løse oppdraget vårt er det viktig at vi etablerer en sterk kultur og identitet i avdelingen. Du må derfor ønske å bidra til en kultur preget av:

• Integritet og ansvarlighet, siden vi kommer til å arbeide med svært sensitive data og situasjoner med potensielt store konsekvenser.
• Målbevissthet og helhetstenkning, slik at vi lykkes med å bli et profesjonelt CERT hvor alle bidrar med fart og retning.
• Samarbeidsorientering og selvorganisering, slik at oppdragene våre kan løses effektivt uten detaljert styring.
• God og effektiv skriftlig og muntlig kommunikasjon, samhandling og erfaringsdeling, slik at vi raskt og effektivt kan løse utfordringer.
• Nysgjerrighet og læring, slik at vi kan sette oss inn i og analysere virksomhetens skiftende teknologier og angripernes brede spekter av teknikker.
• Et godt arbeidsmiljø, siden vi er en relativt liten gruppe mennesker som skal løse vanskelige problemer sammen.

Som teknisk analytiker er det dessuten viktig at du er sterk på følgende områder:

• Nysgjerrig og standhaftig, siden du skal finne angripere og kartlegge deres handlinger basert på spor som ligger skjult i store mengder data.
• Kreativ, men systematisk, siden du ofte vil måtte prøve mange ulike analytiske tilnærminger før du til slutt finner det som lar deg forklare hva angriper har gjort.

Vi tilbyr

• Mange og svært kompetente kolleger som ønsker å bli blant de beste i verden på deteksjon, analyse og bekjempelse av målrettede angrep fra avanserte aktører.
• En utfordrende og interessant arbeidshverdag preget av kontinuerlig læring, i et miljø hvor du har mange å sparre med og lære av.
• Norges største interne operative sikkerhetsmiljø med rendyrket fokus på spionasje og sabotasje mot kritisk infrastruktur.
• En organisasjon med høye og høyt forankrede ambisjoner for sikkerhet, og med samfunnsansvar i hjertet av sin virksomhet.
• Aksjeprogram for våre ansatte.
• God kantineordning.
• Gode treningsfasiliteter.
• Fleksibel arbeidstid og mulighet for hjemmekontor.
• God lønn.

Annen informasjon

Det er ønskelig at du i søknaden og CV-en svarer opp våre krav og ønsker om kompetanse, erfaring og personlige egenskaper så konkret som mulig, helst med korte eksempler.

Fast ansettelse i Telenor CERT forutsetter normalt at du som søker blir klarert til HEMMELIG av norske myndigheter, og et eventuelt tilbud vil gis med dette forbeholdet. Det betyr at du må være norsk statsborger, eller i det minste ha bodd i Norge i noe tid. Vi kommer også til å foreta en bakgrunnssjekk av aktuelle kandidater gjennom Semac AS. Personlig egnethet og erfaring fra operative sikkerhetsmiljøer vil bli tillagt stor vekt.

Søknadsfrist: Onsdag 14. mars 2018. Aktuelle kandidater intervjues fortløpende.

Kontaktperson: Henrik Strøm, Leder Telenor CERT. Tlf: 992 86 492.

Om Telenor

Telenor Norge AS er landets største leverandør av tele- og datatjenester. Via vårt mobilnett og fastnett leverer vi tjenester innen telefoni, bredbånd og kabel-tv til privat- og bedriftskunder over hele landet. Vi selger også tjenester til andre telekom-operatører. Vi har 4000 medarbeidere fordelt på 30 arbeidssteder rundt om i Norge, inkludert Svalbard. Hovedkontoret vårt ligger på Fornebu i Bærum. Les mer om Telenor Norge på www.telenor.no