高级手动道德黑客 - 全职

高级手动道德黑客 丹佛，科罗拉多州；西雅图，华盛顿州；杰克逊维尔，佛罗里达州；夏洛特，北卡罗来纳州；泽西市，新泽西州；波士顿，马萨诸塞州；华盛顿，哥伦比亚特区；芝加哥，伊利诺伊州 • *要继续申请，您必须年满18岁。** 确认 推荐朋友 • *要继续申请，您必须年满18岁。** 确认 (https://ghr.wd1.myworkdayjobs.com/Lateral-US/job/Denver/Senior-Manual-Ethical-Hacker\_26001764) • *职位描述：** 在美国银行，我们以一个共同的目标为指导，通过每一个连接的力量帮助改善金融生活。我们通过推动负责任的增长并每天为客户、团队成员、社区和股东提供服务来实现这一目标。 成为一个优秀的工作场所是我们推动负责任增长的核心。这包括我们对成为一个包容性工作场所的承诺，吸引和发展杰出人才，支持我们团队成员的身体、情感和财务健康，认可和奖励绩效，以及我们如何在我们服务的社区中产生影响。 美国银行致力于营造一种办公室文化，具有特定的办公室出勤要求，并根据角色特定的考虑为我们的团队成员和业务提供适当的灵活性。 在美国银行，您可以通过学习、成长和产生影响的机会建立成功的职业生涯。加入我们！ • *职位描述：** 手动道德黑客是美国银行网络安全保证进攻性安全小组中的应用开发安全框架计划的一部分。该计划提供服务以评估银行应用程序对恶意黑客活动的安全弹性。 这个高级技术角色负责执行和领导对银行技术、应用程序和网络安全控制的道德黑客评估，同时根据不断发展的威胁调整测试方法。关键职责包括领导和进行研究，了解银行的安全政策，与适当的合作伙伴合作完成评估和模拟，识别错误配置和漏洞，并报告相关风险。这些个人与安全合作伙伴、CIO客户和多个业务线紧密合作。这些个人预计将在包括Web UI、Web API、移动和云在内的多种技术中执行面向应用程序安全的动态和静态评估，包括相关的源代码。 按重要性顺序的关键职责： + 执行分配的信息系统内外部威胁分析，并预测未来的威胁行为。 + 将威胁行为者的战术、技术和程序纳入进攻性安全测试，以识别高价值漏洞/链式攻击。 + 开发利用的概念验证。 + 评估多种技术系统的安全性、有效性和实用性。 + 利用创新思维帮助解决问题或为适用于进攻性安全的流程或产品引入新想法。 + 为各种媒体准备和呈现详细的技术信息，包括文件、报告和通知。 + 提供有关风险管理的清晰和实用的建议。 + 学习和发展高级技术和领导技能，指导初级和中级评估员的技术工艺和软技能。 + 响应安全事件并为信息安全组织的领导层提供技术支持。 必备技能： + **至少5年以上** **专业** **渗透测试、应用安全或道德黑客经验，最好是在大型、复杂的企业环境中** + 至少在以下5个领域具有详细的技术知识： + 安全工程 + 应用架构 + 身份验证和安全协议 + 应用会话管理 + 应用密码学 + 常见通信协议 + 移动框架 + 单点登录技术 + 利用自动化平台 + Web API + 云环境 + LLM安全 + 移动应用分析 + 能够手动识别和重现发现，讨论补救概念，为漏洞开发PoC，使用脚本/编码技术，熟练执行常见的渗透测试工具，分类和支持事件，并产生高价值发现 + 具有执行手动Web应用评估的经验，即必须能够在不使用工具的情况下模拟OWASP十大漏洞 + 具有对安全相关问题进行手动代码审查的经验 + 具有使用DAST和SAST工具识别漏洞的经验 + 了解网络和Web相关协议/技术（例如，UNIX/LINUX，TCP/IP，Cookies） + 具有漏洞评估工具和渗透测试技术的经验。 + 扎实的编程/调试技能，开发框架，CVE和CWE研究/重现 + 威胁分析，威胁建模和SBOM分析 + 创新思维，威胁行为者模拟 + 技术系统评估 + 技术文档 + 咨询 期望： + CEH，OSCP/OSCE/OSWE/GXPN/GPEN/GWAPT/GMOB/所有从业者认证[Port Swigger BSP Academy]/云认证/ eWPT; eWPTX; eMAPT [INE Pentester Academy] + 强大的编程/脚本技能 + Frida + 二进制分析（反汇编技能） • *技能：** + 咨询 + 创新思维 + 技术文档 + 技术系统评估 + 威胁分析 + 适应性 + 协作 + 场景规划和分析 + 测试工程 + 书面沟通 + 注重细节 + 信息系统管理 + 问题管理 + 演讲技巧 + 优先排序 该职位将从发布之日起至少开放并接受申请七天。 • *班次：** 第一班次（美国） • *每周工作时间：** 40 美国银行及其附属公司在考虑就业和雇用合格候选人时，不考虑种族、宗教信仰、宗教、肤色、性别、性取向、遗传信息、性别、性别认同、性别表达、年龄、国籍、血统、公民身份、受保护的退伍军人或残疾身份或法律禁止的任何因素，并因此在政策和实践中支持和促进平等就业机会的概念，符合所有适用的联邦、州、省和市法律。公司还禁止基于其他因素的歧视，如医疗状况、婚姻状况或与我们团队成员的表现无关的任何其他因素。 查看您的**"了解您的权利 (https://www.eeoc.gov/sites/default/files/2023-06/22-088\_EEOC\_KnowYourRights6.12.pdf) "** 海报。 • *查看洛杉矶县公平机会条例 (https://dcba.lacounty.gov/wp-content/uploads/2024/08/FCOE-Official-Notice-Eng-Final-8.30.2024.pdf) 。** 美国银行旨在创建一个免受非法和非法药物使用和酒精滥用的危险及其后果的工作场所。我们的无毒品工作场所和酒精政策（“政策”）规定了防止在美国银行场所存在或使用非法或非法药物或未经授权的酒精的要求，并提供一个安全的工作环境。 美国银行致力于营造一种办公室文化，具有特定的办公室出勤要求，并根据角色特定的考虑为我们的团队成员和业务提供适当的灵活性。如果您被提供美国银行的职位，您的招聘经理将向您提供与您的角色相关的办公室期望的信息。这些期望可能随时更改，完全由公司自行决定。如果您有残疾或诚挚的宗教信仰，认为您需要从此要求中获得合理的便利，您必须通过银行的必需便利请求流程在工作第一天之前寻求便利。 此通信提供有关某些美国银行福利的信息。收到此文件并不自动使您有权享受美国银行提供的福利。我们已尽一切努力确保此通信的准确性。然而，如果此通信与正式计划文件之间存在差异，则计划文件将始终占上风。美国银行保留根据计划文件中包含的条款解释其任何通信中使用的术语或语言的酌处权。美国银行还保留随时以任何理由修改或终止任何福利计划的权利。