hirelala

高级首席安全研究员

16个月前全职
Oracle

Oracle

location 悉尼
unsaved
工作描述 负责安全架构的规划、设计和构建;监督网络和计算机安全的实施,并确保符合公司的安全政策和程序。 负责专家级的安全系统、应用程序、环境和架构的规划、设计和构建;监督安全系统、应用程序、环境和架构的实施,并确保符合信息安全标准和公司的安全政策和程序。 评估现有和拟议的技术架构的安全风险,提供专业的技术建议,支持安全架构的设计和开发,并推荐安全控制措施以减轻这些风险。对内部安全架构的评估可能包括设计评估、风险评估和威胁建模。 提供专业的技术建议和指导,支持安全架构的设计和开发。 保持对信息安全新趋势的专业熟练掌握。 确定适用于一些Oracle LOBs的大规模大数据基础架构的最佳实践,包括工具、数据架构和内容。 可能领导事件管理团队,并提供专家级别的事件管理专业知识。与其他业务部门协调事件,并可能担任多个严重事件的指挥官。领导新方法、游戏规则的开发,并提供与Oracle相关的事件管理的思想领导力。 可能在事件管理团队中提供领导,为Oracle事件响应游戏规则提供专业级别的技能。调查声称的入侵和违规行为,并监督根本原因分析。与其他业务部门协调事件,并可能在多个严重事件中担任事件指挥官。领导新方法、游戏规则以及高度复杂的脚本、应用程序和工具的开发。培训和指导其他员工,并可能监督事件管理团队。 具备专家级别的技能,能够研究、评估、跟踪和管理信息安全威胁和漏洞,情况下需要对模糊信息进行深入分析,但不需要计算机编程/脚本编写知识。领导高度复杂的脚本、应用程序和工具的开发,并培训其他人使用这些工具。 专注于操作和战略级任务,并为部门中的初级安全运营工程师提供建议和指导。 在复杂的企业环境中,从事信息安全角色支持安全程序和安全工程/架构方面的相关经验至少12年。需要具备企业安全架构、工程和实施的实际经验。 了解合规性程序安全控制,如ISO 27001、SOC 2、HITRUST和FedRAMP,以及云端SaaS、PaaS和IaaS运营的应用。 熟悉SDLC原则和脚本编程语言(如Terraform、Python和Ruby)。 专家级别的知识:云架构和安全原则、风险管理框架、*nix和Windows系统管理。具备日志记录和日志分析经验。 首选但不是必需的资格包括: 来自认可大学的相关领域的学士学位或等同学历。 对网络通信协议和方法、中间件、数据库、操作系统、防火墙和网络通信协议和方法的专业知识。 对数据库安全原则的了解。 对加密技术和架构的深入了解。 具备身份管理原则和技术的经验。 具备制定与企业架构战略和公司业务战略一致的安全架构战略的经验。 持有CISSP、CISM或等同资格的认证。 职责 高级首席攻击性安全研究员 您是一名充满激情的安全研究员,具有评估大型复杂软件产品的经验吗?我们正在寻找对安全研究充满激情,并为Oracle最关键的客户开发创造性解决方案的才华横溢的人才。在这个角色中,找到并结合漏洞以创建新的攻击是至关重要的。 我们是谁 我们是一支世界一流的应用安全研究团队,热爱新挑战。我们具有包容性和多样性,拥有丰富的经验和全球影响力。我们拥有大型企业的资源和初创公司的活力,并与我们的云和移动工程团队一起致力于关键的软件保障计划。我们的使命是在规模上实现应用安全和软件保障。我们是一支专注的团队,利用彼此的优势来解决困难问题并提供尖端解决方案。加入我们,发展您的职业生涯,并创造软件保障的未来。 您将从事的工作 作为我们团队的一员,您将负责规划和交付各种产品和服务的深入安全评估。您下一个项目可能是安全系统设计、多节点微服务基础架构的静态和动态分析,为未记录的网络协议或新编程语言的语法编写模糊测试工具,或者分析和逆向工程支持我们云服务的数千台服务器上使用的固件。其他职责包括: - 设计和评估复杂系统的安全性 - 范围和执行安全评估和漏洞研究 - 使用静态和动态分析的结果进行深入的安全评估 - 创建测试工具,帮助工程团队识别与安全相关的弱点 - 了解攻击者的新TTP(战术、技术和程序),在技术安全风险评估中模仿它们或迅速应对新的威胁场景,提供持续的安全保障 - 与工程团队合作,帮助他们进行故障排除和修复安全问题 - 作为软件安全的榜样,指导团队成员进行软件安全方面的培训 您将带来什么 - 计算机科学或相关领域(例如电气工程)的学士或硕士学位 - 在IT安全领域拥有12年以上的行业经验,其中7年以上从事软件/产品安全评估、渗透测试、红队行动、Web应用程序评估等方面的工作 - 对漏洞研究和利用开发感兴趣 - 具备设计和评估复杂系统安全性的实际经验 - 具备自学能力,设定并实现长期目标的能力(例如学习陌生的编程语言) - 能够有效评估和沟通风险以及向管理层和工程人员传达适当的紧急程度的能力 - 出色的组织、演示、口头和书面沟通能力 - 该角色不需要进入经过审批的工作环境。不需要安全审批,并且不能赞助活动审批。 - 可灵活在混合工作模式下工作(50%)从我们的北赖德办公室。 最好有 - 在大型云端或互联网软件公司工作的经验 - 熟练掌握多种编程语言,优先使用Go、Java、Python或C/C++,拥有5年以上的软件开发行业经验 - 能够在上述语言之一中进行手动源代码审查,或者使用代码分析工具进行辅助审查 - 在以下一个或多个领域具有实践经验,并对进行全职研究感兴趣:网络安全咨询、安全工程、漏洞管理、风险评估、漏洞赏金猎人、恶意软件分析、取证 - OSCP、OSWE认证,或有意获得认证 - 也非常希望具备导航和处理极大代码库的经验 - 在以下一个或多个类别中使用常见的安全评估工具和技术的经验:移动应用程序评估(iOS/Android)、逆向工程(例如IDA Pro/Ghidra/Radare2)、模糊测试(例如Jazzer/AFL/Peach)、Web应用程序评估(例如Burp Suite Proxy、ZAP、REST API测试) - 熟悉不同类型软件和编程语言的常见漏洞,包括:如何测试/利用它们,可以应用的现实世界缓解措施 - 熟悉漏洞分类框架(例如OWASP Top 10、CVSS、MITRE CVE) - 能够对系统/应用程序/平台进行威胁建模,评估设计并找到可以利用的缺陷 我们将为您提供 - 一支全球范围内技能和多样性丰富的团队 - 在混合工作环境中工作的能力 - 接触令人惊叹的大规模尖端系统 - 在大型全球运营中拥有资源,同时在日常工作中拥有较小团队的初创公司的感觉 - 通过与我们广泛的云产品提供支持,开发新的技能和能力 - 持续的广泛培训和技能发展支持,以进一步实现您的职业目标 - 令人难以置信的福利和公司福利 - 一个充满聪明、热情和积极性的同事团队 - 有机会影响和改进我们的系统,让我们的客户满意