关于团队 + 职位
我们正在建立一个精英团队,运用前沿技术解决全球最大的金融问题。我们寻找大胆的思想家,敏锐的问题解决者,天生具有影响力的建设者。Robinhood 不是一个让人感到满足的地方,而是雄心勃勃的人们在这里做出职业生涯中最佳工作的地方。我们是一个高效能、快速发展的团队,伦理是我们所有工作的核心。期望很高,回报也同样丰厚。
Robinhood 正在寻找一位对红队、对抗性模拟以及系统破坏/修复充满热情的攻击性安全工程师加入红队。
红队是攻击性安全团队的核心支柱,隶属于安全与生产力工程组织。红队与 Robinhood 各个团队合作,确保我们的产品、服务和流程通过威胁建模、渗透测试、对抗性模拟和红队活动保持安全。
以下是我们团队经常进行的一些活动,您将会深度参与:
• 通过红队活动验证假设,促进决策,提高我们检测和响应事件的能力。
• 针对关键和新服务进行威胁建模,向风险工作组阐明实际安全风险。
• 渗透测试我们的关键基础设施、生产应用、网络、办公室和流程。
• 通过对抗性模拟与检测和响应团队及其他利益相关者进行切磋,以准备应对事件。
• 与物理安全团队合作,对 Robinhood 资产进行评估。
• 担任隐私和安全决策、设计和讨论的技术倡导者和主题专家。
• 在公司发展和壮大时推动创新理念的实施。
• 进行漏洞研究,了解最新的战术、技术和程序,以及前瞻性的能力。
• 通过合作修复问题,而不仅仅是发现故障,确保事情变得更好。
作为一名攻击性安全工程师,您将跨多个领域工作,与 Robinhood 的关键团队合作,帮助为我们的客户构建更具弹性和安全性的产品。
该职位位于本职位描述中列出的办公室地点,这将与我们的办公环境相一致。有关我们办公室理念和期望的更多信息,请与您的招聘人员联系。
您将做什么
向公司各利益相关者宣传攻击性安全团队的发现和项目,并与其他团队合作,创造在安全与其他优先事项之间取得平衡的解决方案。
指导和提供建议给攻击性安全团队的成员。
利用威胁建模识别威胁,并确定红队的优先事项和演练。
计划和执行长期、广泛范围的黑盒红队演练,利用漏洞研究、漏洞开发和公共概念证明代码。
进行渗透测试、代码审查以及设计/架构审查。
编写工具以协助和自动化红队评估。
计划并参与与各安全团队的对抗性模拟演练。
当渗透测试或红队发现需要时,领导安全事件。
发布博客文章并在安全会议上进行演讲。
您需要具备的条件
5年以上红队经验。
指导其他团队成员的经验。
对挑战安全假设充满热情并有实际经验。
优秀的书面和口头沟通能力,能够在不同层次的抽象中传达您的发现,从工程师到高管。
对修复安全问题充满热情,而不仅仅是识别安全问题。
熟悉常见的网络协议和标准,如 DNS 和 TCP/IP。
具备 MacOS 和 Linux 的经验。
具备利用现代软件开发栈的组件攻击公司的经验,包括 CI、容器编排系统(Kubernetes/Docker)、云服务提供商(AWS、GCP)等,并能提供加固建议。
具备防御工具/技术(IDS/IPS、数据包捕获、网络分析、AV、EDR 等)的经验/知识,以及如何规避它们。
深入理解 Mitre 的 ATT&CK 框架。
对访问和身份的安全基础知识有强烈理解。
能够熟练阅读/编写 Python、Go 和 JavaScript。
能够研究并执行测试计划以访问新技术或流程。
有与分布式团队合作的经验。
能够通过文本交流媒介(Slack、JIRA 问题、GitHub 问题和电子邮件)进行沟通,并能简洁地记录技术细节。
加分项
在金融科技领域的经验。
在其他组织担任技术领导的经验。 
