关于CENSUS
CENSUS是一家国际知名的网络安全服务提供商。我们支持多个行业的需求,为全球的公共和私营组织提供IT和OT安全服务,涵盖金融机构、关键基础设施、汽车和安全通信等领域,包括财富500强公司。凭借前沿的研究、科学分析和丰富的工程经验,CENSUS为产品(软件、服务、设备和大规模平台)、基础设施和组织提供无与伦比的安全咨询和评估服务。
了解更多关于CENSUS的信息,请访问census-labs.com。
职位描述/主要职责
CENSUS的定制化网络安全服务是建立在一支才华横溢的安全工程师队伍之上的,他们的角色不仅仅是遵循行业最佳实践。在我们的高级技术经理和首席技术经理的管理和指导下,我们的安全工程师负责评估广泛的网络安全产品和功能的完整性和成熟度。除了捕捉缺陷和低效之外,还将探索、提出并在集成后重新评估深度缓解策略,采用高度敏捷和适应性的服务交付模式。
角色
我们正在寻找有才华和雄心勃勃的专业人士加入我们的产品安全专业服务团队,并加入我们持续提供深入和顶级网络安全服务给我们重要客户的使命。作为这个角色的一部分,你将运用你在嵌入式系统安全领域的知识和经验,执行设计评审、实施评估和缓解咨询活动,涵盖各个行业的产品。你将与我们客户的开发和安全团队以及合作伙伴并肩工作,参与涉及以下内容的合作/项目:
• 通过源代码审计、功能测试、模糊测试、逆向工程和其他方法,对各种系统(RTOS、嵌入式Linux、ARM、RISC-V、无线电等)执行端到端的安全态势评估。
• 审查产品安全设计,支持威胁建模活动,记录缺失的安全控制,并推动安全增强的分析。
• 研究、审查、比较和提出能够满足客户既定需求并与其战略一致的技术。
• 审查平台/BSP提供的安全功能和能力的集成、配置和加固。
• 验证输出实现是否与产品的安全架构、需求和威胁模型一致。
• 以技术和业务导向的语言记录和呈现产品安全风险。
最低资格要求
• 电气工程、计算机科学、计算机工程、电子工程或等同实际经验的硕士或学士学位。
• 2年以上嵌入式、通用或特定用途的计算机系统级软件安全经验。经验可以是工程/开发职位(例如消费者或企业)、工程咨询角色、等同的工程角色或两者的结合。
• 在嵌入式、物联网、通用计算或移动/智能手机系统的开发、审核或测试安全解决方案方面有经验。
关键技能
• 了解Linux嵌入式或实时操作的基本原理、安全控制和软件安全概念。
• 在系统软件(权限、输入验证、数据加密、权限分离、软件/系统完整性、秘密管理、配置等)上识别和报告安全漏洞的经验。
• 在阅读和理解源代码、识别业务逻辑陷阱以及在C、C++、Rust或汇编语言中识别系统软件(引导加载程序、驱动程序、内核、系统服务等)中的安全漏洞方面有经验。
• 通过软件或硬件方法(调试器、分析器、跟踪器、仪器、反汇编器等)分析和研究系统安全控制及其实现内部。
• 熟悉用于系统加固和安全域/信任边界分离的硬件/操作系统安全功能(MPU、MMU/IOMMU、NX、DAC/MAC、堆栈金丝雀、保护堆分配器等)。
• 有安全引导、固件和软件完整性、OTA更新和硬件支持的设备认证技术方面的经验。
• 了解对称和非对称加密、认证加密、密钥派生和密钥交换等基本密码原语。
• 解决问题的能力、分析思维和学习/成长的意愿。
• 英语熟练,沟通能力优秀。
优先考虑
• 熟悉用于隔离执行安全关键操作的TEE、TPM、SE、SPU和其他相关技术。
• 熟悉进行设计级别的安全审查。
• 熟悉在系统安全的背景下应用密码学和侧信道攻击(内联加密引擎、存储/块级加密、认证、硬件密钥根源、派生、包装/解包等)。 
阿布扎比