关于KATIM
KATIM是开发创新安全通信产品和解决方案的领导者,为政府和企业提供服务。作为EDGE电子战和网络技术集群的一部分,这是全球最杰出的先进技术集团之一,KATIM在不断变化的环境中扮演着一个值得信赖的标杆,其中网络风险是一个持续威胁。
我们的目标是通过提供弹性、安全、端到端的解决方案,满足对先进网络能力的不断增长需求,涵盖四个基本业务单元:网络、超安全移动设备、应用和卫星通信。
KATIM总部位于阿布扎比,全球范围内设有办事处,包括阿联酋和芬兰。KATIM为全球组织提供坚定的保证,确保其关键信息和通信在任何情况下都保持私密和安全。
欢迎来到KATIM,创新与安全融合,重新定义您在数字世界中保护最宝贵资产的方式。
我们正在寻找三名全职安全工程师,具有安全工程背景,负责规划和提供各种产品和服务的深度安全评估。
主要职责
• 对各种软件模块进行规模、范围和执行安全评估。包括移动应用程序、云服务和基础设施
• 为我们解决方案的各个组件定义安全要求和度量标准
• 分析应用程序以了解其工作原理、弱点所在,并通过开发概念验证来展示如何利用已识别的漏洞
• 确定并记录滥用案例,构建详细的威胁模型并完善所需的安全控制措施
• 构建详细的安全测试计划并定义安全测试用例
• 利用静态和动态分析结果进行深入的安全评估
• 利用其他评估结果(如静态、动态、渗透测试、红队行动、漏洞赏金、负责任的披露等)进行深入的安全评估
• 创建测试工具,帮助工程团队发现与安全相关的弱点
• 对安全要求、评估、测试计划和其他文档进行同行评审
• 提出解决Digital14产品中发现的安全漏洞的方法
• 与工程团队紧密合作,帮助他们处理和修复安全问题
• 提高开发人员对安全最佳实践的意识
• 与我们的工程团队密切合作,深入了解我们的系统
• 时刻关注攻击者的新战术、技术和程序(TTPs),在安全评估中模拟它们,或迅速应对新的威胁场景,提供持续的安全保证
• 作为榜样,指导团队中的初级成员学习软件安全知识
经验和教育背景
• 计算机科学或相关领域(如电子工程)的学士或硕士学位
• 在IT安全领域拥有8年以上的行业经验,其中5年以上从事软件/产品安全评估、渗透测试、红队行动、Web应用程序评估等方面的工作
• 在以下任一语言中具有软件开发经验:C/C++、C#、Java、JavaScript、PHP、Objective C
• 具备计算机体系结构、网络、Web技术、操作系统或嵌入式系统的基础知识
• 理解不同环境中各种软件安全漏洞、威胁和攻击向量,具备逆向工程和缓解技术的能力
• 具备二进制分析、调试和漏洞开发经验,以及各类漏洞的相关缓解技术
• 理解密码学、协议分析、威胁建模、漏洞研究和模糊测试
• 理解应用程序和操作系统/内核级别上的iOS或Android内部结构
• 具备自学能力,设定并实现长期目标(例如学习陌生的编程语言)
• 有效评估和沟通风险,并向管理层和工程人员传达适当的紧急程度的能力
• 熟练掌握一种或多种编程语言,最好是Java、Python或C/C++
• 能够在上述语言之一中进行手动源代码审查,或者借助CodeQL等代码分析工具进行辅助审查
• 具备使用常见安全评估工具和技术的经验,其中包括:
• 具备SAST、DAST、SCA、IAST工具的使用经验
• 熟练进行移动、桌面和Web应用程序评估(iOS、Android、桌面和Web)
• 理解和经验,了解微服务和DevSecOps实践中的各种网络安全技术
• 具备现代开发实践和工具的经验,如git、Kubernetes、Elasticsearch等
• 具备STRIDE PASTA和VAST等威胁建模框架的经验
• 具备使用安全成熟度模型框架的经验(如BSIMM、SAMM、BSA)
• 对代码库进行逆向工程和调试,以找出安全漏洞
• 熟练掌握模糊测试技术,向系统注入无效、畸形或意外的输入,以揭示软件缺陷和漏洞。
• 熟练进行高级移动、API、基础设施、Web应用程序渗透测试,以发现诸如不安全的Java/PHP/PHAR反序列化、XXE、HTTP异步化、密码学弱点(利用ECB Shuffling、CBC Bit Flipping等)、Mass assignments、模板注入、HTTP/2和HTTP/3协议问题等漏洞。
• 了解不同类型的软件和编程语言中常见的漏洞,包括a) 如何测试它们 b) 如何利用它们 c) 可以使用什么缓解措施 d) 如何对它们进行分类
关键技能
• 出色的组织、演示、口头和书面沟通能力 
阿布扎比