高级专家进攻性安全

职位编号：COT-2025-19 职位名称：高级专家进攻性安全 部门：首席信息安全官办公室 汇报对象：进攻性安全经理 薪资范围：$122,305 至 $163,639 工作地点：多伦多，John街55号 职位类型：永久全职 工作时间信息：周一至周五，每周工作35小时 职位概要： 作为威胁管理部门进攻性安全部分的一部分，执行、管理和审查渗透测试和红队演习。提供建议和指导以修复已识别的安全弱点，并为威胁管理部门的道德黑客能力的发展提供输入，以支持首席信息安全官（CISO）的任务、网络愿景和战略的执行。 提供主题专家知识、战略建议、高级指导和渗透测试及红队演习领域的操作支持。 主要职责： 进攻性安全专业知识：提供专业能力和指导以进行进攻性安全服务。 基础设施和应用测试：进行基础设施和应用的授权评估，以主动识别安全弱点。 攻击模拟和验证：通过利用攻击者技术来发现和验证弱点，以评估来自各种威胁行为者的潜在攻击的难度和有效性。 基于风险的建议：根据适用的威胁环境，提供全面且可操作的建议以应对已识别的安全弱点所带来的威胁。 流程和工具改进：为安全流程、工具和技术的持续改进做出贡献，以应对组织面临的威胁。研究和开发测试工具、技术和流程。 安全报告和指标：领导和提供报告和指标，包括关键风险指标（KRIs）。 漏洞和修复跟踪：开发和报告企业级漏洞和修复进展的指标。 利益相关者教育和意识：理解、展示和教育利益相关者在给定环境中威胁和漏洞利用的现实影响。 资格/认证： 商业或技术或相关学科的高等教育学位。 丰富的渗透测试经验。 在操作系统、Web应用程序和网络基础设施方面具有广泛的渗透测试经验。 丰富的渗透测试工具使用经验。例如：NMap、Nessus、Metasploit、BurpSuite、Nikto、Tcpdump。 服务器操作系统的管理员级知识，特别是Unix和Windows。 对TCP/IP网络/路由、内联网/互联网架构和隔离技术/VLAN、防火墙、入侵检测、入侵预防、SQL数据库的复杂技术知识。 能够测试Web技术，例如Web应用程序、容器、容器管理器。 具备编程能力以创建、阅读和修改漏洞代码以实现系统渗透。C、C++、Java、C#、脚本知识是一个优势。 具备扩展安全测试能力的经验。 展示当前和实际应用的信息安全最佳实践、方法和技术的知识。 优先认证（列表中的任意一个）：CISSP、CRISC、OSCP、CEH、GPEN 软技能： 能够参与变革性项目。 能够在所有项目利益相关者之间，包括内部团队和客户之间，领导高效沟通。 能够通过影响和有效地与关键利益相关者合作来实现业务目标。 优秀的书面和口头沟通能力（在包括业务合作伙伴、领导和供应商在内的各个层面上沟通时感到舒适和自信）。 优秀的问题解决能力，能够识别复杂和不寻常问题的解决方案。 对细节的高度关注和较强的组织能力。 高度组织化、积极主动、自我激励的团队合作者，能够主动工作并独立工作。 能够在快节奏的环境中管理多个优先事项，具备经过验证的时间管理技能。 较强的分析能力，能够优先处理和多任务处理。 能够优先处理和有效管理竞争优先事项和项目。 能够在严格的截止日期内管理多个项目。 能够在压力下表现出色，同时保持高度的专业水平。 自我激励，渴望超越任务要求。 可转移技能，如沟通和决策，同样重要。 能够快速反应并展示良好判断力在这一领域尤其有价值。“安全专业人员应始终准备快速应对网络相关事件。” 附加评论/信息： 正常工作周为35小时，但不可预见的情况可能需要延长工作时间，且几乎没有提前通知。在发生网络事件或漏洞时，可能需要轮班、连续延长工作时间，且几乎没有提前通知。 需定期接受警方检查、背景调查、心理评估和/或其他检查，因为CISO办公室处理高度敏感和机密的信息。 公平、多样性和包容性 本市是一个平等机会的雇主，致力于创造一种反映我们服务的多元化居民的包容性工作场所文化。了解更多关于本市对就业公平的承诺。 住宿 多伦多市致力于创建一个无障碍和包容性的组织。我们致力于根据《安大略省残疾人无障碍法案》（AODA）提供无障碍的就业实践。如果您在招聘过程的任何阶段需要受《法典》保护的住宿，请在联系时告知我们，我们将与您合作以满足您的需求。在申请过程中可根据要求提供与残疾相关的住宿。了解更多关于本市的招聘政策和住宿流程。 如果您对该职位感兴趣，请将您的简历发送至recruiting@ipss.ca。