主要职责:
- 寻找具备GRC技能和初级渗透测试背景的候选人。
- 对中小企业到大型企业客户的移动应用程序(iOS/Android)、云环境(AWS/Azure/GCP)、网络和应用程序进行端到端的漏洞评估和渗透测试(VAPT)。
- 支持治理、风险和合规(GRC)活动,包括协助进行风险评估、政策审查和合规文档编制。
- 执行移动安全测试,包括静态/动态分析(MobSF, Frida)、逆向工程和反篡改控制评估。
- 根据CIS基准/NIST标准进行主机配置审查,识别配置错误(弱权限、默认凭证)并提供加固建议。
- 对Java/Python/.NET/Node.js应用程序中的漏洞(SQLi, XSS, 逻辑缺陷)进行彻底的源代码审查(SAST/手动分析)。
- 提供专家级风险优先级排序(CVSS, 可利用性)和针对客户环境及业务影响的修复指导。
- 提供详细的技术报告,包括概念验证(PoCs)、执行摘要和可操作的缓解步骤。
- 对数字解决方案和第三方进行风险评估。识别潜在风险并提供保护OT关键基础设施、ICT基础设施、应用系统和云环境的选项。
- 对内部控制进行合规检查,以确保符合既定政策和适用法规。
- 协助制定政策、标准和指南,以保护数字资产,遵循业务需求、行业最佳实践和监管要求。
- 管理解决网络安全风险的安全项目和解决方案实施活动。
- 计划、设计和开展网络安全事件响应研讨会和演习(桌面演练、模拟和演习)。
- 了解最新的行业标准、监管要求及其对网络安全政策、标准和程序的潜在影响。
- 参与客户简报,解释发现结果,解决问题,并将安全改进与业务目标对齐。
