高级专家进攻性安全

职位编号：COT-2025-19 职位名称：高级专家进攻性安全 部门：首席信息安全官办公室 汇报对象：进攻性安全经理 薪资范围：$122,305 至 $163,639 工作地点：多伦多，John Street 55号 职位类型：全职永久 工作时间信息：周一至周五，每周工作35小时 职位概述： 作为威胁管理部门进攻性安全部分的一部分，执行、管理和审查渗透测试和红队演习。提供建议和指导以修复已识别的安全弱点，并为威胁管理部门的道德黑客能力的发展提供意见，以支持首席信息安全官（CISO）的任务、网络愿景和战略的执行。 提供主题专家知识、战略建议、高级指导和渗透测试和红队演习领域的操作支持。 主要职责： 进攻性安全专业知识：提供专业能力和指导以进行进攻性安全服务。 基础设施和应用测试：对基础设施和应用进行授权评估，以主动识别安全弱点。 攻击模拟和验证：利用攻击者技术发现和验证弱点，以评估来自各种威胁行为者的潜在攻击的难度和有效性。 基于风险的建议：根据适用的威胁环境，提供全面且可操作的建议以对抗已识别的安全弱点带来的威胁。 流程和工具改进：为安全流程、工具和技术的持续改进做出贡献，以应对组织面临的威胁。研究和开发测试工具、技术和流程。 安全报告和指标：领导和提供报告和指标，包括关键风险指标（KRI）。 漏洞和修复跟踪：开发和报告企业级漏洞和修复进展的指标。 利益相关者教育和意识：理解、展示并教育利益相关者在特定环境中威胁和漏洞利用的现实影响。 资格/认证： 商业或技术或相关学科的高等教育学位。 丰富的渗透测试经验。 在操作系统、Web应用程序和网络基础设施方面有广泛的渗透测试经验。 熟练使用渗透测试工具，例如NMap、Nessus、Metasploit、BurpSuite、Nikto、Tcpdump。 对服务器操作系统（特别是Unix和Windows）有管理员级别的知识。 对TCP/IP网络/路由、内联网/互联网架构和隔离技术/VLAN、防火墙、入侵检测、入侵防御、SQL数据库有复杂的技术知识。 能够测试Web技术，例如Web应用程序、容器、容器管理器。 具备编程能力以创建、阅读和修改漏洞利用代码以实现系统渗透。C、C++、Java、C#、脚本知识是资产。 具备扩展安全测试能力的经验。 展示对信息安全最佳实践、方法和技术的当前和工作知识。 优先认证（任意一个）：CISSP、CRISC、OSCP、CEH、GPEN 软技能： 能够在变革性项目中工作。 能够在所有项目利益相关者之间进行高效沟通，包括内部团队和客户。 能够通过影响和有效地与关键利益相关者合作来实现业务目标。 优秀的书面和口头沟通能力（在包括业务合作伙伴、领导和供应商在内的各个层面上沟通自如且自信）。 优秀的问题解决能力，能够识别不寻常和复杂问题的解决方案。 对细节的高度关注和强大的组织能力。 高度组织化、积极主动、自我激励的团队合作者，能够主动工作并独立工作。 能够在快节奏的环境中管理多个优先事项，具备经过验证的时间管理技能。 强大的分析能力和优先排序和多任务处理的能力。 能够优先处理和有效管理竞争优先事项和项目。 能够在严格的截止日期内管理多个计划。 能够在压力下非常出色地工作，同时保持高水平的专业性。 自我激励的人，渴望超越任务。 可转移技能，如沟通和决策，同样重要。 能够随机应变并展示良好的判断力在这一领域尤为宝贵。“安全专业人员应始终准备迅速应对与网络相关的事件。 附加评论/信息： 正常工作周为35小时，但不可预见的情况可能需要延长工作时间，几乎没有或没有事先通知。在发生网络事件或漏洞时，可能需要轮班、连续延长工作时间，几乎没有或没有事先通知。 需定期进行警方检查、背景调查、心理评估和/或其他检查，因为CISO办公室处理高度敏感和机密的信息。 公平、多样性和包容性 市政府是一个平等机会的雇主，致力于创造一种反映我们服务的多元化居民的包容性工作场所文化。了解更多关于市政府对就业公平的承诺。 住宿 多伦多市致力于创建一个无障碍和包容性的组织。我们致力于提供无障碍和无障碍的就业实践，以符合《安大略省残疾人无障碍法案》（AODA）。如果您在招聘过程的任何阶段需要受代码保护的住宿，请在联系时告知我们，我们将与您合作以满足您的需求。申请过程中与残疾相关的住宿可根据要求提供。了解更多关于市政府的招聘政策和住宿流程。 如果您对该职位感兴趣，请将您的简历提交至recruiting@ipss.ca。