高级专家进攻性安全

职位编号：COT-2025-19 职位名称：高级专家进攻性安全 部门：首席信息安全官办公室 汇报对象：进攻性安全经理 薪资范围：$122,305 至 $163,639 工作地点：多伦多约翰街55号 职位类型：永久全职 工作时间信息：周一至周五，每周工作35小时 职位概述： 作为威胁管理部门进攻性安全部分的一部分，执行、管理和审查渗透测试和红队演习。提供建议和指导以修复识别出的安全弱点，并为威胁管理部门的道德黑客能力的发展提供输入，以支持首席信息安全官（CISO）的任务、网络愿景和战略的执行。 提供渗透测试和红队演习领域的主题专家意见、战略建议、高级指导和运营支持。 主要职责： 进攻性安全专长：提供专业能力和指导以执行进攻性安全服务。 基础设施和应用测试：对基础设施和应用进行授权评估，以主动识别安全弱点。 攻击模拟和验证：利用攻击者技术发现和验证弱点，以评估来自各种威胁行为者的潜在攻击的难度和有效性。 基于风险的建议：根据适用的威胁环境，提供全面且可操作的建议以应对识别出的安全弱点带来的威胁。 流程和工具改进：为安全流程、工具和技术的持续改进做出贡献，以应对组织面临的威胁。研究和开发测试工具、技术和流程。 安全报告和指标：领导和提供报告和指标，包括关键风险指标（KRI）。 漏洞和修复跟踪：开发并报告企业级漏洞和修复进展的指标。 利益相关者教育和意识：理解、展示并教育利益相关者在特定环境中威胁和漏洞利用的实际影响。 资格/认证： 商业或技术或相关学科的高等学历。 丰富的渗透测试经验。 在操作系统、Web应用程序和网络基础设施方面拥有广泛的渗透测试经验。 使用渗透测试工具的丰富经验。例如：NMap、Nessus、Metasploit、BurpSuite、Nikto、Tcpdump。 对服务器操作系统（特别是Unix和Windows）的管理员级知识。 对TCP/IP网络/路由、内网/互联网架构和隔离技术/VLAN、防火墙、入侵检测、入侵防御、SQL数据库的复杂技术知识。 能够测试Web技术，例如Web应用程序、容器、容器管理器。 具备编程能力以创建、阅读和修改漏洞利用代码以实现系统渗透。C、C++、Java、C#、脚本知识是一个优势。 具备扩展安全测试能力的经验。 展示当前和实际应用的信息安全最佳实践、方法和技术的知识。 优先认证（任意一个）：CISSP、CRISC、OSCP、CEH、GPEN 软技能： 能够在变革性项目中工作。 能够在所有项目利益相关者之间进行高效沟通，包括内部团队和客户。 能够通过影响和有效地与关键利益相关者合作来实现业务目标。 优秀的书面和口头沟通能力（能够自信地与包括业务合作伙伴、领导和供应商在内的各级沟通）。 优秀的问题解决能力，能够识别不寻常和复杂问题的解决方案。 对细节的高度关注和强大的组织能力。 高度组织化、积极主动、自我激励的团队合作者，能够主动工作并独立工作。 能够在快节奏的环境中管理多个优先事项，具备证明的时间管理技能。 强大的分析能力和优先排序及多任务处理能力。 能够优先处理和有效管理竞争优先事项和项目。 能够在压力下非常好地工作，同时保持高度的专业水平。 自我激励，渴望超越任务。 可转移技能，如沟通和决策，同样重要。 能够快速反应并展示良好的判断力在这个领域尤其有价值。“安全专业人员应始终准备快速应对与网络相关的事件。” 附加评论/信息： 正常工作周为35小时，然而，突发情况可能需要延长工作时间，且事先通知很少或没有通知。在发生网络事件或漏洞时，可能需要轮班、持续的延长工作时间，且事先通知很少或没有通知。 需定期接受警方检查、背景调查、心理评估和/或其他检查，因为CISO办公室处理高度敏感和机密的信息。 公平、多元化和包容性 市政府是一个平等机会的雇主，致力于创造一种包容的工作场所文化，以反映我们服务的多元化居民。了解更多关于市政府对就业公平的承诺。 住宿 多伦多市致力于创建一个无障碍和包容的组织。我们致力于提供无障碍的就业实践，以符合《安大略省残疾人无障碍法案》（AODA）。如果您在招聘过程的任何阶段需要代码保护的住宿，请在联系时告知我们，我们将与您合作以满足您的需求。申请过程中与残疾相关的住宿可根据要求提供。了解更多关于市政府的招聘政策和住宿流程。 如果您对这个职位感兴趣，请将您的简历提交至recruiting@ipss.ca。