高级专家进攻性安全

职位编号：COT-2025-19 职位名称：高级专家进攻性安全 部门：首席信息安全官办公室 汇报对象：进攻性安全经理 薪资范围：$122,305 至 $163,639 工作地点：多伦多约翰街55号 职位类型：全职永久 工作时间信息：周一至周五，每周工作35小时 工作总结： 作为威胁管理部门进攻性安全部分的一部分，执行、管理和审查渗透测试和红队演习。提供建议和方向以修复已识别的安全弱点，并为威胁管理部门的道德黑客能力的发展提供意见，以支持首席信息安全官（CISO）的任务、网络愿景和战略的执行。 提供主题专业知识、战略建议、高级指导和操作支持，以进行威胁管理部分的渗透测试和红队演习。 主要职责： • 进攻性安全专业知识：提供专业能力和方向以开展进攻性安全服务。 • 基础设施和应用测试：对基础设施和应用进行授权评估，以主动识别安全弱点。 • 攻击模拟与验证：通过利用攻击者技术发现和验证弱点，以评估来自各种威胁行为者的潜在攻击的难度和有效性。 • 基于风险的建议：根据适用的威胁环境，提供全面和可操作的建议以应对已识别的安全弱点带来的威胁。 • 流程和工具改进：为安全流程、工具和技术的持续改进做出贡献，以应对组织面临的威胁。研究和开发测试工具、技术和流程。 • 安全报告和指标：领导并提供报告和指标，包括关键风险指标（KRI）。 • 漏洞和修复跟踪：开发并报告企业级漏洞和修复进展的指标。 • 利益相关者教育和意识：理解、展示并教育利益相关者在特定环境中威胁和漏洞利用的实际影响。 资格/认证： • 商业或技术或相关学科的高等教育学位。 • 在渗透测试方面有丰富经验。 • 在操作系统、网络应用和网络基础设施的渗透测试方面有广泛经验。 • 熟练使用渗透测试工具。例如：NMap、Nessus、Metasploit、BurpSuite、Nikto、Tcpdump。 • 具备服务器操作系统（特别是Unix和Windows）的管理员级知识。 • 拥有TCP/IP网络/路由、内联网/互联网架构和隔离技术/VLAN、防火墙、入侵检测、入侵防御、SQL数据库的复杂技术知识。 • 能够测试网络技术，例如网络应用、容器、容器管理器。 • 具备编程能力以创建、阅读和修改漏洞代码以实现系统渗透。C、C++、Java、C#、脚本知识是资产。 • 具备扩展安全测试能力的经验。 • 展示当前和有效的信息安全最佳实践、方法和技术的知识。 • 优先认证（列表中的任何一个）：CISSP、CRISC、OSCP、CEH、GPEN 软技能： • 能够参与变革性项目。 • 能够在所有项目利益相关者之间进行高效沟通，包括内部团队和客户。 • 能够通过影响和有效与关键利益相关者合作来实现业务目标。 • 优秀的书面和口头沟通能力（能够自信地与各级别，包括业务伙伴、领导和供应商沟通）。 • 优秀的问题解决能力，能够识别不寻常和复杂问题的解决方案。 • 对细节的高度关注和强大的组织能力。 • 高度组织化、积极主动、自我激励的团队合作精神，能够独立工作。 • 能够在快节奏的环境中管理多个优先事项，具备良好的时间管理技能。 • 强大的分析能力和优先排序及多任务处理能力。 • 能够优先排序并有效管理竞争优先事项和项目。 • 能够在严格的截止日期内管理多个项目。 • 能够在压力下保持高水平的专业精神。 • 自我激励，渴望超越任务要求。 • 可转移技能，如沟通和决策，同样重要。 • 能够随机应变并展示良好的判断力在这个领域尤其有价值。“安全专业人员应该始终准备快速应对与网络相关的事件。” 附加评论/信息： 正常工作周为35小时，然而，突发情况可能需要延长工作时间，且几乎没有提前通知。在发生网络事件或漏洞时，可能需要轮班、持续加班，且几乎没有提前通知。 • 由于CISO办公室处理高度敏感和机密的信息，定期需接受警方检查、背景调查、心理评估和/或其他检查。 公平、多样性和包容性 本市是一个平等机会的雇主，致力于创造一种包容性工作文化，以反映我们服务的多元化居民。了解更多关于本市对就业公平的承诺。 住宿 多伦多市致力于创建一个无障碍和包容性的组织。我们致力于根据《安大略省残疾人无障碍法案》（AODA）提供无障碍的就业实践。如果您在招聘过程的任何阶段需要受《法典》保护的住宿，请在联系时告知我们，我们将与您合作以满足您的需求。申请过程中的与残疾相关的住宿可应要求提供。了解更多关于本市的招聘政策和住宿过程。 如果您对该职位感兴趣，请将您的简历提交至recruiting@ipss.ca。