Security Analysts

Det er viktig for oss i Telenor å ta hensyn til deg som kandidat i en eventuell intervjuprosess.Vi vil derfor tilpasse intervjuprosessen gjennom å tilby fleksible online intervjumuligheter.

Verdens mest digitale land må også bygge digital sikkerhet i verdensklasse, og som viktig samfunnsaktør satser derfor Telenor tungt på sikkerhet. Et kritisk ledd i denne satsningen er å styrke deteksjon og respons ved alvorlige cybersikkerhetshendelser. Som følge av dette er Telenor CERT og Telenor SOC per i dag et av de største og mest spesialiserte operative sikkerhetsmiljøene i Norge og Norden.

Satsningen fortsetter med full styrke, og vi skal i løpet av det kommende året ansette over 10 nye tekniske medarbeidere i Oslo og Arendal. Telenor CERT (TCERT) skal ansette rundt seks av disse personene på Fornebu utenfor Oslo, fordelt på tre stillingskategorier:

• Security Engineering: Utvikling, drift og forvaltning av Telenor CERT og Telenor SOC sin egen infrastruktur og verktøykasse for å løse oppdraget med deteksjon og respons.
• Security Analysis: Analysere logger og forklare datainnbrudd og innbruddsteknikker, og omsette kunnskapen om disse til deteksjon, rådgivning og rapporter.
• Incident Response: Holde oversikt over hendelser, analysere logger, gi råd om responsstrategier og konkrete tiltak for skadebegrensning og gjenoppretting.

Denne stillingsannonsen er for Security Analysis.

Om stillingene
Vi har flere ubesatte roller i teamet, men de tre høyest prioriterte rollene å fylle er:

• Hunting: Målrettet, hypotesedrevet jakt på spor av innbrudd, og omsettelse av gode deteksjonsstrategier i automatisert deteksjon og varsling. Til denne rollen søker vi en erfaren analytiker med kunnskap om deteksjonsutvikling. Det er en fordel å være godt kjent med rammeverk som MITRE ATT&CK.
• Deteksjonsutvikler: Som deteksjonsutvikler i TCERT jobber du sammen med detection manager for å sikre at Telenor Norge og globalt til enhver tid utvikler og deployerer relevant deteksjon opp mot de truslene vi står ovenfor. Du holder deg oppdatert på trusselbildet, skriver, deployerer og tuner deteksjonen Telenor CERT bruker. Du er i stand til å skrive deteksjon på ulike nivåer som nettverk/IDS, endepunkt og logger og er kjent med ulike deteksjonsspråk som Yara, Snort, Bro, Suricata og liknende. Det er en fordel å være godt kjent med rammeverk som MITRE ATT&CK og DeTT&CT.
• Taktisk analytiker: Analyse av tekniske funn og etterretningsinformasjon med formål om å avdekke handlemåte og hendelsesforløp, og etablere hypoteser om motiver og involverte aktører og deres kapabiliteter. Den taktiske analysen er hendelsesledelsens viktigste beslutningsgrunnlag når responsstrategier og tiltak skal vurderes og besluttes. Denne stillingen krever deg med god teknisk forståelse og kunnskap.

Om TCERT Security Analysis
Som Security Analyst i Telenor CERT vil du inngå i et stort og svært kompetent team av tekniske og taktiske analytikere. Ved sikkerhetshendelser vil dere støtte responsteamet som koordinerer den tekniske og taktiske analysen, og som planlegger og koordinerer TCERTs responsstøtte til relevante systemeiere og kriseledere. Under en hendelse har våre tekniske analytikere ansvar for å analysere logger, minnedumper, diskdumper, skadevare og lignende, og dokumentere og rapportere på de funn de gjør. De har også ansvar for å omsette funn til deteksjon dersom det er mulig. Dette er viktig for at vi så raskt som mulig blir gjort i bedre stand til å oppdage hva angriperne holder på med. De taktiske analytikerne har ansvar for å etablere en forståelse for hva angriperne er ute etter, og sammen med resten av teamet komme opp med forslag til tiltak.

Teknisk analyse handler om å finne, forstå og sortere puslespillbrikkene som ligger gjemt i tekniske spor. Taktisk analyse handler om å legge puslespillet og prøve å tolke bildet som avtegner seg.

Vår forståelse av pågående hendelser blir sjelden bedre enn det den tekniske og taktiske analysen tillater, og som analytiker bidrar du til en svært viktig del av TCERTs evne til å levere deteksjon og respons til resten av Telenor. Vi trenger derfor deg som kan hjelpe oss til å bli bedre til rask og grundig kartlegging og vurdering av innbrudd i infrastrukturen vår.

Om TCERT
Telenor CERT er del av Security i Telenor Norge og har tilholdssted på Fornebu utenfor Oslo. Vi samarbeider tett med Telenor SOC som holder til i Arendal, og i fellesskap utgjør vi det operative sikkerhetsmiljøet i Security. Sammen er vi Norges klart største interne miljø for sikkerhetsovervåkning og hendelseshåndtering, og når vi er ferdige med denne runden med rekruttering vil vi være over 60 kolleger fordelt på våre to lokasjoner.

Vår primære oppgave er å beskytte Telenor Norge AS og nasjonal kritisk EKOM-infrastruktur mot spionasje og sabotasje fra blant annet nasjonalstaters offensive cyberkapasiteter. I tillegg skal vi levere sikkerhetsovervåkning og responsstøtte til rundt 30 andre Telenor-selskaper, inkludert alle Telenors mobiloperasjoner i utlandet.

Det betyr sikkerhetsovervåkning for et internasjonalt konsern med snart 200 millioner kunder og over 30 000 ansatte. Med et slikt omfang er håndtering av alvorlige sikkerhetshendelser en del av hverdagen, og vi er derfor trygge på at vi kan tilby faglige utfordringer ingen andre sikkerhetsmiljøer i Norge er i nærheten av å kunne tilby.

For å løse disse utfordringene bygger vi en avansert datainnsamlingskapasitet og en bred verktøyportefølje for deteksjon, analyse og respons. Vårt Splunk-cluster er for eksempel blant de topp 1% største i verden, og vi både kjøper og bygger verktøy som er ekstremt spisset for oppgaven de er satt til å løse.
Å lykkes med dette krever høye ambisjoner og krav, tung erfaring, mye spisskompetanse, ønske og evne til å dra i samme retning, og vilje til å gjennomføre både fra organisasjonen og fra den enkelte medarbeider. Telenor CERT skal levere og derfor trenger vi deg.

Ønsker du faglig og personlig utvikling, samt muligheten til å være med å bygge et svært kompetent og høyt presterende sikkerhetsmiljø med ambisjon om å bli best i verden på det vi driver med? Ønsker du å ta samfunnsansvar gjennom å beskytte Telenor og Telenors ansatte, kunder og nasjonalt kritiske og internasjonalt viktige infrastruktur mot kriminalitet, spionasje og sabotasje? I så fall er vi kanskje ute etter akkurat deg - for innstilling og engasjement er minst like viktig som de øvrige kravene til stillingene!

Kompetanse og erfaring
Felles for alle våre stillinger er at du som søker bør oppfylle flest mulig av følgende krav til kompetanse og erfaring:

• God forståelse for teknologi og IKT-sikkerhetsutfordringer, siden vi jobber på tvers av både enterprise IT, datasenter og storskala nettverks- og mobiloperasjoner.
• Høyere utdanning og/eller relevant arbeidserfaring, da vi er et svært spesialisert miljø med høye krav til å forstå og løse komplekse utfordringer.
• God forståelse for det digitale trusselbildet, da avdelingens oppdrag er å bekjempe alvorlige digitale trusler mot Telenor i inn- og utland.
• God forståelse for hvilken rolle en responsenhet spiller i en stor organisasjon, hvor verdien skapes gjennom støtte og veiledning til selskapets operative krisehåndtering.
• God muntlig og skriftlig fremstillingsevne på norsk og engelsk, siden presis og forståelig dokumentasjon er viktig i alle ledd hos oss.

For Security Analyst-rollene bør du som søker dessuten oppfylle flest mulig av følgende krav til kompetanse og erfaring. (Søkere til førstelinje analytiker-stillingen vil kunne unntas fra kravene under etter en helhetsvurdering):

• Forståelse for trusselbildet og kunnskap om utnyttelse av sårbarheter, siden din oppgave blir å avdekke og forklare innbrudd i IKT-systemer.
• God kjennskap til ulike typer trusselaktørers modus og verktøysett, slik at du har forkunnskap å bygge på når du skal analysere avanserte angrep mot Telenor.
• Bakgrunn fra minst én disiplin innen teknisk analyse som er relevant for sikkerhetshendelser: Logganalyse, minneanalyse, skadevareanalyse eller nettverksanalyse. Annen relevant erfaring kan veie opp for dette.
• Erfaring med å gjøre om kunnskap fra etterretning og teknisk analyse til effektiv deteksjon på tvers av ulike typer deteksjonsplattformer, siden vi er avhengige av å raskt få på plass deteksjon av all kunnskap vi etablerer om pågående hendelser.
• Gode vaner knyttet til dokumentasjon, visualisering og rapportering, siden udokumenterte funn er en kilde til forvirring og er vanskelig å kontrollere i ettertid.
• Kunnskap om analytiske konsepter og tilnærminger, som ACH, Diamond Model, Kill Chain, Pyramid of Pain, etterretningsprosessen og lignende, da metodisk tilnærming er helt nødvendig når man skal jobbe hypotesedrevet med avanserte trusselaktører.
• Erfaring med høynivåprogrammering i Perl, Python, Go eller tilsvarende, da det ofte vil være behov for å automatisere og forbedre analyseprosessen.
• For de kravene du ikke oppfyller ønsker vi at du har tenkt over hvilke interesser, egenskaper og overførbar kompetanse du kan bygge videre på for å opparbeide deg ønsket kompetanse.

Kultur og egenskaper
For å kunne løse oppdraget vårt er det viktig at vi etablerer en sterk kultur og identitet i avdelingen. Du må derfor ønske å bidra til en kultur preget av:

• Integritet og ansvarlighet, siden vi kommer til å arbeide med svært sensitive data og situasjoner med potensielt store konsekvenser.
• Samarbeidsorientering og selvorganisering, siden vi som responsmiljø ofte må snu oss på hælen og løse oppdrag uten tid til detaljert planlegging.
• Nysgjerrighet og læring, slik at vi kan sette oss inn i og analysere virksomhetens skiftende teknologier og angripernes brede spekter av teknikker.
• Kolleger som tar vare på hverandre, siden vi er en relativt liten gruppe mennesker som sammen skal løse vanskelige problemer under press.

Som analytiker er det dessuten viktig at du er sterk på følgende områder:

• Nysgjerrig og standhaftig, siden du skal finne angripere og kartlegge og forstå deres handlinger basert på mangelfulle spor som ligger skjult i store mengder data.
• Kreativ, men systematisk, siden du ofte vil måtte prøve mange ulike analytiske tilnærminger før du til slutt finner det som lar deg forklare hva angriperen har gjort.

Vi tilbyr

• Mange og svært kompetente kolleger som ønsker å bli blant de beste i verden på deteksjon, analyse og bekjempelse av målrettede angrep fra avanserte aktører.
• En utfordrende og interessant arbeidshverdag preget av kontinuerlig læring, i et miljø hvor du har mange å sparre med og lære av.
• Norges største interne operative sikkerhetsmiljø med rendyrket fokus på spionasje og sabotasje mot samfunnsviktig og -kritisk infrastruktur.
• En organisasjon med høye og høyt forankrede ambisjoner for sikkerhet, og med sikkerhet og samfunnsansvar i hjertet av sin virksomhet.
• God kantineordning med svært gode valgmuligheter.
• Gode treningsfasiliteter.
• Kontorlokaler i naturskjønne omgivelser ved Oslofjorden.
• Fleksibel arbeidstid.
• Aksjeprogram for våre ansatte.
• God lønn og pensjonsordning

Annen informasjon
Fast ansettelse i Telenor CERT forutsetter normalt at du som søker blir klarert til HEMMELIG av norske myndigheter, og et eventuelt tilbud vil gis med dette forbeholdet. Det betyr at du må være norsk statsborger, eller har bodd i Norge over tid. Vi kommer også til å foreta en bakgrunnssjekk av aktuelle kandidater gjennom selskapet Semac AS. Personlig egnethet og erfaring fra operative sikkerhetsmiljøer vil bli tillagt stor vekt.
 

NB: Dersom du ikke finner noen roller i utlysningen som passer perfekt til deg, men du er teknisk og mener du har en profil som passer godt inn i det teamet vi ønsker å bygge, ikke nøl med å ta kontakt. Vi har større behov for folk enn vi klarer å dekke opp i denne runden med ansettelser, og for den rette kandidaten er vi villige til å utforske om vi kan utforme en rolle som passer begge parter. Kvinner oppfordres til å søke!
 

Søknadsfrist: Aktuelle kandidater intervjues fortløpende til alle stillingene er besatt. 
Kontaktperson: Henrik Strøm, Leder Telenor CERT. Tlf: 992 86 492.

Om Telenor Norge
Telenor Norge AS er landets største digitale tjenesteleverandør innenfor telekommunikasjon- og datatjenester. Vi jobber hver dag for å lede an digitaliseringen av Norge.

Vi har 3400 medarbeidere fordelt på 23 kontorer i hele Norge, og vi er en del av Telenor Group, som har virksomhet i åtte land. Våre tjenester og produkter bidrar til økt produktivitet og gir tilgang til alt av digitalt innhold. Vår sikkerhets- og beredskapsorganisasjon jobber døgnkontinuerlig med å trygge våre kunder, og vi tar et særlig samfunnsansvar for å skape trygghet for barn og unge på nett.
Hovedkontoret vårt ligger på Fornebu i Bærum. Les mer om Telenor Norge på www.telenor.no/om/.