角色与职责
• 设计并执行测试和检查案例,以确定基础设施组件、系统和应用程序是否符合保密性、完整性、身份验证、可用性、授权和不可否认性标准。
• 对基础设施组件、系统和应用程序进行内部漏洞评估和渗透测试,以识别安全漏洞并评估其可利用性。根据既定的安全标准(包括OWASP应用安全验证标准ASVS、NIST指南和CIS基准)分析发现,以确保全面的安全态势评估。评估来自内部工具、供应商和研究来源的漏洞报告,与合规框架(ISO/IEC 27001、PCI DSS、SOC 2)进行对比,以确定其在组织安全和合规态势中的相关性和影响。
• 将需求转化为测试计划,撰写并执行符合标准和程序的测试脚本或代码,以确定对攻击的脆弱性。
• 将安全需求和业务目标转化为结构化的测试计划和测试案例,符合行业标准,如OWASP、NIST CSF和CIS控制。设计并执行安全测试,包括静态应用安全测试(SAST)、动态应用安全测试(DAST)和手动渗透测试,以识别对常见攻击(如注入攻击、身份验证绕过、XSS等)的脆弱性。
• 为技术团队提供有效的缓解和修复策略的专家指导,确保推荐的修复措施符合安全最佳实践和组织的风险容忍度。
• 参与全组织的渗透测试和攻防安全程序,记录发现,提供清晰的技术细节和严重性评级,以支持优先修复工作。
要求
• 至少2年的渗透测试、漏洞评估或攻防安全的实际经验,能够将技术发现转化为业务风险语言。
• 对常见漏洞、利用方法、标准缓解实践(OWASP前10名)和支持基于风险决策的风险评估框架(CVSS、EPSS)有深入理解。
• 具有红队、攻击模拟、攻防安全参与或与风险评估流程相一致的可比漏洞管理框架的经验。
• 精通对识别的漏洞进行根本原因分析,推荐合适的技术修复方案,并监控修复进度,以确保风险在可接受的阈值内得到管理。
• 能够分析大型数据集、漏洞报告和风险指标,以识别趋势并向利益相关者传达剩余风险暴露。
• 注重细节,具备扎实的分析和书面沟通能力,尤其是在将复杂的技术安全发现转化为非技术受众能够理解的内容方面。
• 具备相关认证,如OSCP、OSCE、GPEN、GWAPT、GXPN、CEH或同等资格,优先考虑,以验证攻防安全和风险评估方法的专业知识。
请参阅U3的求职者隐私声明,网址为https://u3infotech.com/privacy-notice-job-applicants/。
申请时,您自愿同意收集、使用和披露您的个人数据,以用于招聘/就业及相关目的。 
