渗透测试经理

概述 该职位负责模拟现实世界的网络攻击，以识别银行应用程序、系统、网络和基础设施中的漏洞。此职位确保在对手利用之前主动检测安全弱点，支持符合监管和行业要求，并有助于加强银行整体的网络安全态势。 职责 - 计划、范围和执行对应用程序、网络、API和基础设施的渗透测试。 - 进行漏洞评估并利用已识别的弱点来展示风险暴露。 - 开发并执行威胁场景，包括网络、移动、云和社会工程攻击。 - 进行红队和对手模拟演练，包括高级持续性威胁（APT）战术。 - 识别、记录和优先处理发现，向相关团队提供详细的修复指导。 - 与开发人员、系统管理员和安全工程师密切合作以修复发现的问题。 - 在新应用程序、产品和系统上线前进行安全测试。 - 及时了解新兴威胁、漏洞和攻击技术。 - 开发概念验证漏洞利用，以展示已识别漏洞的实际风险。 - 确保渗透测试活动符合适用法规（如SAMA CSF、NCA ECC/DCC/CCC、PCI DSS、ISO 27001、NIST）。 - 通过与内部利益相关者分享威胁见解和经验教训来支持意识提升。 - 促进提高安全标准、政策和安全开发实践。 - 执行由直线经理分配的与工作性质相关的其他职责。 - 在部门/单位活动和操作中，执行、整合并遵守所有必要的控制和相关信息安全政策、程序、实践、培训、报告、个人尽职调查和警惕。 资格 优先资格 - 来自认可机构的高等学历 - 优先考虑行业认可的进攻性安全或SANS或其他相关认证 经验年限与性质 - 建议有3至5年渗透测试、道德黑客或红队工作的专业经验。 - 具有使用渗透测试工具和框架的实际经验（如Burp Suite、Metasploit、Cobalt Strike、Nmap、Kali Linux、Wireshark、BloodHound）。 - 在不同环境（网络、移动、基础设施、云、API）中识别、利用和报告漏洞方面有良好的记录。 - 在受监管的金融环境中进行渗透测试的经验非常理想。 - 对网络协议、操作系统（Windows、Linux）、网络技术和云平台有深入了解。 - 理解威胁建模、攻击链分析和MITRE ATT&CK框架。 - 能够编写和定制Python、PowerShell、Bash或JavaScript等语言的脚本/漏洞利用。 - 熟悉安全编码实践和常见漏洞（如OWASP Top 10、SANS CWE Top 25）。 技术能力 - 代码编写 - 法规和合规要求（SAMA、NCA、PCI DSS、ISO 27001、NIST）。 - 云安全 行为能力 - 沟通 - 问题解决 - 注重细节 - 分析思维 关于团队 加入D360银行技术团队的激动人心的旅程，将您置于金融和银行业革命性转型的前沿。抓住机会沉浸在DevOps理念的世界中，推动我们应用程序和服务的关键进步。我们全心全意地拥抱代码化的力量，采用尖端的基础设施和配置即代码技术，以及自动化、不变性、CI/CD和可扩展性。所有这些努力都源于我们对客户和用户最终满意度和安全性的坚定承诺。在我们持续合规的环境中，您将在塑造银行技术的未来中发挥重要作用，为前所未有的创新和成功铺平道路。