职位描述
该职位也在以下地点开放:伊利诺伊州芝加哥 / 佛罗里达州坦帕 / 佛罗里达州亚特兰大 / 德克萨斯州普莱诺 / 德克萨斯州休斯顿 / 纽约州布鲁克林 / 俄亥俄州哥伦布 / 华盛顿特区 / 弗吉尼亚州麦克莱恩 / 新泽西州泽西市 / 特拉华州威尔明顿
通过实际的攻击性测试推动关键银行应用程序和平台的安全性。
作为网络安全和技术控制组织的评估与演习副总裁,您将在保护公司最重要资产方面发挥关键作用。您的主要职责是计划、执行和报告针对高影响应用程序、平台和服务的渗透测试。利用行业标准的方法和先进技术,您将主动识别漏洞,与应用程序所有者合作以了解根本原因,并指导有效的修复措施以加强公司的安全态势。
我们正在寻找对攻击性安全充满热情、在渗透测试方面具有深厚技术专长并致力于持续学习和卓越的候选人。
工作职责
- 计划、范围和执行在各种环境中的渗透测试,包括Web应用程序、API、云平台、基础设施、厚客户端和/或移动应用程序。
- 收集和验证每次参与的前提条件,确保所有必要的访问、文档和批准到位。
- 执行手动和自动测试以识别漏洞、配置错误和安全弱点,利用行业标准工具和自定义脚本。
- 通过包含技术细节、风险评估和可操作的修复建议的综合报告记录和传达发现。
- 对渗透测试报告进行同行评审,以确保交付物的准确性、一致性和质量。
- 与开发、基础设施和安全团队合作,澄清发现,支持修复工作,并提供攻击性安全的主题专家意见。
- 通过利用威胁情报、安全研究和参与相关行业团体,保持对新兴威胁、漏洞和攻击技术的最新了解。
- 为渗透测试方法、工具和框架的持续改进做出贡献,以提高有效性并与公司战略和监管要求保持一致。
所需资格、能力和技能
- 5年以上在攻击性安全领域的实际渗透测试经验,具有复杂项目范围、执行和报告的成功记录。
- 在Web、API、云(AWS/Azure/GCP)、基础设施、厚客户端和/或移动应用程序(安卓/iOS)的手动渗透测试方面的专业知识,包括使用行业标准工具(例如,Burp Suite、Nmap、Metasploit等)。
- 对OWASP Top Ten、NIST网络安全框架和其他相关标准等安全评估方法有深刻理解。
- 能够识别和阐明与威胁、漏洞和风险相关的系统性安全问题,并提供明确、可操作的修复建议。
- 出色的组织和沟通能力,包括撰写详细技术报告和向技术和非技术利益相关者展示发现的能力。
- 进行渗透测试报告的同行评审和指导初级测试人员的经验。
- 持续学习者,能够跟上最新的攻击性安全趋势、工具和技术。
优先资格、能力和技能
- 了解美国金融服务部门的网络安全实践、运营风险管理和事件响应方法,包括相关法规、威胁和风险。
- 熟练掌握Windows和类Unix操作系统的渗透测试和安全概念。
- 具有进行安全性源代码审查的经验(例如,Python、Java、Rust)。
- 具有逆向工程厚客户端和移动应用程序以识别漏洞的经验。
- 相关认证如OSWE、CREST(CRT、CCT)、OSCP、OSCE、GXPN、GWAPT、GPEN、GMOB或BSCP。
