高级漏洞分析师 - 漏洞管理负责人角色负责监督收入保险企业的漏洞管理计划,推动对内部和外部IT基础设施(包括但不限于网络和移动应用程序)中的安全弱点进行持续识别、评估和修复。这包括利用自动化工具和手动技术,并与系统和应用程序所有者进行后续行动的沟通。维护主动监督,以维护收入保险的漏洞管理标准,加强组织的网络韧性,保护收入保险的技术环境。该角色隶属于IT风险与安全部门,向网络保障经理汇报。
主要职责
• 执行漏洞扫描/发现,跟踪修复服务水平协议(SLA),并跟进关闭情况。
• 管理私有漏洞赏金和公共漏洞披露程序,通过对收到的报告进行分类和跟进。
• 与外部供应商协调渗透测试工作,确保范围、时间表和交付物符合要求。
• 召开会议,与利益相关者沟通发现及其影响。
• 通过漏洞修复验证来验证修复工作的有效性。
• 执行风险评估,评估现有的缓解控制措施,当修复不可行时,建议补偿控制措施。
• 通过提供漏洞证据和修复状态来支持审计并确保合规性(例如,MAS TRM)。
• 分析漏洞管理结果,并将技术数据清晰地呈现给高级利益相关者,将洞察转化为可行的建议。
• 优化漏洞管理生命周期,改善识别、修复和后续过程。
• 与CTI合作,针对FINTEL威胁情报采取行动,确保及时修复。
• 在合同授予前支持供应商评估。
资格
• 至少4-5年IT/信息安全、漏洞管理方面的经验。
• 计算机科学、网络安全、信息安全管理或相关专业的文凭/学位。
• 拥有CISSP、CISM、OSCP、GPEN、GWAPT认证者优先。
能力
• 4-5年漏洞管理的实际经验及使用VA工具(如TenableOne、Qualys、Rapid7)。
• 对行业标准评分模型(如CVSS、EPSS、可利用性和修复策略)有深入理解和知识。
• 熟悉OWASP十大常见网络和移动安全漏洞。
• 熟悉渗透测试技术和工具,如Web应用程序代理(Burp Suite、OWASP ZAP)、数据包捕获分析软件、渗透测试Linux发行版(如Kali Linux)、静态源代码分析器、API测试工具(如SoapUI、Postman)、移动应用安全框架(如MobSF、Frida)。
• 熟悉应用安全测试方法,如SAST、DAST、SCA。
• 具有与监管要求(MAS、ISO 27001)对齐的经验,并支持审计准备。
• 具备云安全知识和AI LLM知识者优先。
• 在合同授予前支持供应商评估的经验将是加分项。
• 具备基本的结构化编程或脚本技能,如C、Java、Python、Javascript、Powershell。 
