该职位在以下地点也开放:芝加哥,伊利诺伊州 / 坦帕,佛罗里达州 / 亚特兰大,佛罗里达州 / 普莱诺,德克萨斯州 / 休斯顿,德克萨斯州 / 布鲁克林,纽约州 / 哥伦布,俄亥俄州 / 华盛顿特区 / 麦克莱恩,弗吉尼亚州 / 泽西市,新泽西州 / 威尔明顿,特拉华州
通过实际的进攻性测试推动关键银行应用程序和平台的安全性。
作为网络安全和技术控制组织的评估与演练副总裁,您将在保护公司最重要资产方面发挥关键作用。您的主要职责是计划、执行并报告针对高影响力应用程序、平台和服务的渗透测试。利用行业标准方法和先进技术,您将主动识别漏洞,与应用程序所有者合作以了解根本原因,并指导有效的补救措施以加强公司的安全态势。
我们正在寻找对进攻性安全充满热情、在渗透测试方面具有深厚技术专长并致力于持续学习和卓越的候选人。
工作职责
• 计划、范围和执行跨各种环境的渗透测试任务,包括Web应用程序、API、云平台、基础设施、厚客户端和/或移动应用程序。
• 收集并验证每次任务的前提条件,确保所有必要的访问、文档和批准到位。
• 执行手动和自动测试以识别漏洞、配置错误和安全弱点,利用行业标准工具和自定义脚本。
• 通过包含技术细节、风险评估和可操作的补救建议的综合报告记录和传达发现。
• 对渗透测试报告进行同行评审,以确保交付物的准确性、一致性和质量。
• 与开发、基础设施和安全团队合作,澄清发现,支持补救工作,并提供进攻性安全的主题专家意见。
• 通过利用威胁情报、安全研究和参与相关行业团体,保持对新兴威胁、漏洞和攻击技术的了解。
• 为渗透测试方法、工具和框架的持续改进做出贡献,以提高效率并与公司战略和监管要求保持一致。
所需资格、能力和技能
• 5年以上进攻性安全领域的实际渗透测试经验,具有复杂任务范围、执行和报告的成功记录。
• 在Web、API、云(AWS/Azure/GCP)、基础设施、厚客户端和/或移动应用程序(安卓/iOS)的手动渗透测试方面的专业知识,包括使用行业标准工具(例如,Burp Suite、Nmap、Metasploit等)。
• 对安全评估方法有深刻理解,如OWASP十大、NIST网络安全框架和其他相关标准。
• 能够识别和阐明与威胁、漏洞和风险相关的系统性安全问题,并提供明确、可操作的补救建议。
• 杰出的组织和沟通能力,包括撰写详细技术报告和向技术和非技术利益相关者展示发现的能力。
• 具有对渗透测试报告进行同行评审和指导初级测试人员的经验。
• 持续学习者,能够跟上最新的进攻性安全趋势、工具和技术。
优先资格、能力和技能
• 了解美国金融服务行业内的网络安全实践、操作风险管理和事件响应方法,包括相关法规、威胁和风险。
• 精通Windows和类Unix操作系统的渗透测试和安全概念。
• 有进行安全重点源代码审查的经验(例如,Python、Java、Rust)。
• 有逆向工程厚客户端和移动应用程序以识别漏洞的经验。
• 相关认证如OSWE、CREST(CRT、CCT)、OSCP、OSCE、GXPN、GWAPT、GPEN、GMOB或BSCP。
Chase是一家领先的金融服务公司,通过广泛的金融产品帮助美国近一半的家庭和小企业实现他们的财务目标。我们的使命是建立参与度高的终身关系,并将客户置于我们所做一切的核心。我们还帮助小企业、非营利组织和城市发展,提供解决方案以满足他们所有的财务需求。
我们提供具有竞争力的整体奖励计划,包括根据角色、经验、技能和地点确定的基本工资。符合条件的职位可能会获得基于佣金的薪酬和/或酌情奖励性补偿,以现金和/或可没收的股权形式支付,以表彰个人成就和贡献。我们还提供一系列福利和计划以满足员工需求,基于资格。这些福利包括全面的医疗保健覆盖、现场健康和保健中心、退休储蓄计划、备用儿童保育、学费报销、心理健康支持、财务指导等。在招聘过程中将提供有关总薪酬和福利的更多详细信息。
我们认识到我们的员工是我们的力量,他们带来的多样化人才与我们的全球员工队伍的成功直接相关。我们是一个平等机会雇主,并高度重视公司内的多样性和包容性。我们不基于任何受保护属性进行歧视,包括种族、宗教、肤色、国籍、性别、性取向、性别认同、性别表达、年龄、婚姻或退伍军人身份、怀孕或残疾,或任何其他受适用法律保护的基础。我们还为申请人和员工的宗教实践和信仰以及心理健康或身体残疾需求提供合理的便利。有关请求便利的更多信息,请访问我们的常见问题解答。
平等机会雇主/残疾/退伍军人
我们的消费者和社区银行部门通过一系列金融服务为我们的Chase客户服务,包括个人银行、信用卡、抵押贷款、汽车融资、投资建议、小企业贷款和支付处理。我们自豪地在信用卡销售和存款增长方面领先美国,并拥有使用最多的数字解决方案,同时在客户满意度方面排名第一。
