我们的客户正在寻找一位高级渗透测试经理,为全面的渗透测试和红队服务提供战略领导和技术指导。该角色负责管理一支高技能的道德黑客团队,并监督旨在主动识别和缓解复杂技术资产中关键安全漏洞的安全评估组合,包括网络和移动应用程序、网络基础设施、云环境和定制系统。
主要职责
技术领导与团队管理
为渗透测试人员和安全顾问团队提供技术领导、指导和直线管理。定义并维护所有渗透测试和红队任务的技术方法、标准和质量保证流程。管理资源分配、项目调度以及复杂安全评估项目的端到端交付。
服务交付与项目监督
监督复杂渗透测试、红队演习和高级安全模拟的计划、范围界定和执行。确保所有安全评估报告和交付物的质量、准确性和业务相关性。管理高知名度任务的客户关系和利益相关者沟通,向技术和高管观众呈现复杂的技术发现。与内部技术和开发团队协调以验证发现并就补救策略提供建议。
战略与能力发展
推动渗透测试服务的持续演变,结合香港和地区威胁环境相关的新攻击技术、工具和威胁情报。开发和维护红队能力,以模拟高级持续威胁(APT)的战术、技术和程序(TTPs)。通过提供关于进攻性安全控制和新兴威胁的专家见解,为更广泛的网络安全战略做出贡献。
运营与合规卓越
确保所有进攻性安全活动在健全的法律和道德框架内进行,具有适当的授权和监督。保持对香港相关行业法规和合规要求的认识。
资格与经验
基本要求
计算机科学、信息安全或相关技术学科的学士学位或更高学历。至少10年的信息安全专业经验,其中至少7年从事实际渗透测试工作,3年担任技术领导或管理角色。具有管理渗透测试团队和交付安全测试服务组合的丰富经验。在多个测试领域具有深厚的实践专业知识:网络/移动应用程序安全、网络渗透测试、云安全(AWS、Azure、GCP)和社会工程。对进攻性安全工具(如Metasploit、Burp Suite Pro、Cobalt Strike、Nmap)、利用技术和后利用方法具有专家级知识。在安全测试的脚本编写和自动化方面具有丰富经验(如Python、Bash、PowerShell)。持有当前认可的行业认证,如OSCP、OSCE、GPEN或CREST认证测试员。
优先能力
在建立和领导红队或进行对抗模拟演习方面有经验。了解安全开发生命周期(SDLC)和DevSecOps原则。熟悉香港特定的监管框架和网络安全指南。优秀的英语书面和口头沟通能力;能讲粤语和/或普通话者优先。具有强烈的职业诚信和道德行为的个人信念。
