角色:高级攻击安全工程师/高级渗透测试员/高级安全分析师
地点:纽约-现场
时长:全职
需要BOLD认证,绿色为理想经验。
职位描述:
寻找一位候选人与业务合作伙伴、CISO、BISO、GSOC和其他利益相关者合作,规划和执行渗透测试操作。成功的候选人将在测试安全计划中发挥关键作用,识别人员、流程和技术中的潜在漏洞。
职责:
- 规划、领导和执行渗透测试任务,在测试、攻击模拟、培训和演习中模拟威胁行为者角色。
- 利用模拟的对手威胁为基础的方法暴露和利用漏洞,提高产品和技术环境的安全性。
- 复制现代攻击者使用的策略、技术和程序,包括常见的网络利用和渗透技术以及软件利用。
- 制定攻击计划,与红队操作员和第三方供应商协调以实现目标。
- 为防御者和产品团队提供建设性反馈,强调成功和失败。
- 开发、修改和扩展用于安全评估的工具/漏洞利用,包括自定义工具和自动化。
- 建立作为利益相关者可信顾问的信誉,并保持对高级攻击的最新了解,以应用于红队活动。
- 通过紫队演习和CTF演示,协助防御和产品团队了解如何检测和阻止网络攻击。
- 为突破性研究做出贡献,并在安全爱好者团队内促进创新和知识共享的环境。
- 作为个人贡献者,可能监督处于早期职业阶段的人员和第三方报告的渗透测试任务。
- 使用各种格式(如书面报告、Jira、工单、演示等)有效报告分析和发现。
- 维护和开发渗透测试流程和相关文档。
经验:
- 信息系统/技术、计算机科学/工程或同等领域的学士学位,或至少5年的网络安全经验。
- 在红队和渗透测试方面有丰富经验。
- 至少3年深入的、动手的技术安全经验,包括在安全技术、Web应用程序、密码学、社会工程、开源情报收集(OSINT)、移动平台、软件安全和恶意软件逆向工程方面的专业知识。
- 对企业操作系统环境、Active Directory和网络有深刻的技术理解。
- 对安全漏洞和常见软件工程缺陷有深入理解。
- 熟悉流行的脚本语言并能够自动化简单任务。
- 熟悉基于CND的分析模型(Kill Chain、ATT&CK等)。
- 优选拥有以下一个或多个安全认证:OSCP、OSCE、OSEE、OSWE、CREST、GXPEN。
- 在金融服务和关键基础设施方面有工作经验,包括CBEST、TIBER、iCAST、CORIE、AASE、NYDFS和DORA测试参数。
- 具有较强的口头和书面沟通能力,以及有效的演示技能。
- 能够在快节奏的环境中茁壮成长,具备解决问题和突破障碍的能力。
