تقييم الأمن السيبراني لتكنولوجيا المعلومات / العمليات

K20s Kinetic Technologies

صاحب عمل نشط

نشرت قبل 2 ساعات

الخبرة

5 - 7 سنوات

موقع العمل

دبي - الإمارات العربية المتحدة

التعليم

أي تخرج()

الجنسية

أي جنسية

جنس

غير مذكور

عدد الشواغر

1 عدد الشواغر

الوصف الوظيفي

الأدوار والمسؤوليات

يجب أن تتضمن المهارات:

تقييم ثغرات الأمن السيبراني
اختبار اختراق الشبكة
اختبار اختراق التطبيقات
اختبار إعادة التحقق

النطاق:

سوف يستخدم المستشار أفضل الممارسات والمعايير والأدوات في الصناعة طوال المشروع لضمان أن التقييم شامل ودقيق، وسيقدم أعلى إمكانيات تقليل المخاطر وفقًا لمتطلبات NCA في هذا الصدد. يجب أن يغطي نطاق اختبارات الاختراق الخدمات المتاحة على الإنترنت ومكوناتها التقنية بما في ذلك البنية التحتية، ومواقع الويب، وتطبيقات الويب، وتطبيقات الهواتف المحمولة، والبريد الإلكتروني والوصول عن بُعد. سيقوم المورد المختار بإجراء تقييم شامل لثغرات الأمن السيبراني، بما في ذلك اختبار الاختراق وتقييم المخاطر. سيتضمن ذلك فحصًا دقيقًا للحالة الحالية لشبكة تكنولوجيا المعلومات ونظام التحكم الصناعي (DCS و SCADA) في موقف الأمن السيبراني داخل الشركة المعنية بالمشروع. سيقوم المورد بتطوير خطة لتخفيف الثغرات وإنشاء خارطة طريق ذات أولوية لتعزيز موقف الأمن السيبراني للنظام (الأنظمة). في غضون 180 يومًا من الإبلاغ عن الثغرات، سيقوم المورد بإجراء إعادة تحقق لتأكيد إغلاق أي مشكلات.

طوال المشروع، سيستخدم المستشار أفضل الممارسات والمعايير والأدوات في الصناعة لضمان أن التقييم شامل ودقيق، وأنه يقدم أعلى إمكانيات لتقليل المخاطر وفقًا لمتطلبات NCA. بشكل محدد، سيغطي نطاق اختبارات الاختراق الخدمات المتاحة على الإنترنت ومكوناتها التقنية، بما في ذلك البنية التحتية، ومواقع الويب، وتطبيقات الويب، وتطبيقات الهواتف المحمولة، والبريد الإلكتروني، والوصول عن بُعد. سيتم تقسيم هذا التمرين إلى المراحل أدناه:

المرحلة (الأولى): تقييم ثغرات الأمن السيبراني:

تشمل الأعمال، ولكن لا تقتصر على، تقييم ما يلي:

سياسات وإجراءات أمن تكنولوجيا المعلومات وأنظمة التحكم الصناعي

البنية التحتية للشبكة، بما في ذلك أجهزة الكمبيوتر، والخوادم، والموجهات، وجدران الحماية، والمفاتيح

تكوين النظام، بما في ذلك التطبيقات المثبتة.

سياسات وأمن الشبكة وجدران الحماية وقواعد الوصول.

برامج الأمان الحالية والأجهزة والتدابير المتبعة، مثل مضادات الفيروسات وبرامج مكافحة البرمجيات الضارة، واكتشاف ومنع التسلل

مكونات الشبكة اللاسلكية (إذا وجدت)

اتصال نظام التحكم الصناعي بالإنترنت.

اتصال نظام التحكم الصناعي بالشبكة المؤسسية.

نظام الوقت ومزامنة الوقت عبر المصنع.

نظام المراقبة (CCTV)

التعرض للتهديدات المستمرة المتقدمة (APTs) والفيروسات.

المرحلة (الثانية): اختبار الاختراق:

1. اختبار اختراق الشبكة (اختبار الصندوق الرمادي)

إجراء اختبار اختراق الشبكة الخارجية على اتصالات تكنولوجيا المعلومات / أنظمة التحكم الصناعي، يجب أن يساعد اختبار الاختراق الأمني في تحديد نقاط الضعف التي يمكن أن يستغلها المهاجمون الخارجيون:

يجب تقييم جميع اتصالات أنظمة التحكم الصناعي الخارجية من حيث المزايا التجارية والمخاطر الأمنية

يجب إجراء اختبار اختراق طبقة الشبكة على نطاق IP المخصص للشركة.

النظر في التهديدات المستقبلية التي قد تتعرض لها الشركة، من خلال الروابط التطبيقية على الإنترنت مثل التعرض لهجوم الرجل في المنتصف؛ هجمات البرمجيات الضارة وهجوم الرجل في المتصفح (بما في ذلك المتغيرات الخاصة به) وتوصية لتقليل الهجوم.

يجب على المورد تحديد كل منفذ / خدمة / جانب ضعيف في طبقة الشبكة والتواصل مع الشركة وطلب الموافقة على الاستغلال. إذا تم التفويض، سيقوم بتنفيذ الاستغلال وترك دليل كما سيتم الاتفاق عليه.

2. اختبار اختراق التطبيقات (اختبار الصندوق الرمادي):

يُطلب من المورد المعين إجراء اختبار اختراق على مستوى التطبيق خارجيًا باستخدام سيناريو صندوق رمادي.

سيتم توفير معلومات موجزة عن التطبيقات (إذا لزم الأمر).

لتغطية جميع ثغرات OWASP Top 10.

لإجراء اختبار / فحص / مسح آلي لثغرات أمان التطبيقات باستخدام ماسحات معروفة.

يجب إجراء تقييم المخاطر باستخدام منهجية تقييم مخاطر معتمدة.

يجب على المورد تحديد كل خدمة ضعيفة في طبقة التطبيق والتواصل مع الشركة وطلب الموافقة على الاستغلال. إذا تم التفويض، سيقوم بتنفيذ الاستغلال وترك دليل كما سيتم الاتفاق عليه.

تم استبعاد مراجعة رمز المصدر على مستوى التطبيق بشكل محدد من هذا النطاق.

المرحلة (الثالثة) اختبار إعادة التحقق:

في هذه المرحلة، سيقوم المورد بإجراء التحقق من إغلاق الثغرات / التحقق من تخفيف الثغرات المبلغ عنها في غضون 180 يومًا من التقرير النهائي. سيتضمن ذلك تكرارًا واحدًا لفحص / التحقق من جميع النتائج التي تم تحديدها في المرحلة-1 حتى المرحلة-3.

التسليمات:

1. تقرير مكتوب يوثق ما يلي:

a. ملخص تنفيذي يوضح موقف الأمن السيبراني لأنظمة التحكم الصناعية

b. تقرير يوضح الثغرات الأمنية السيبرانية المحددة والفجوات

c. خطة تخفيف موصى بها تشمل خارطة طريق ذات أولوية للأنشطة

d. نطاق تقدير التكلفة الإجمالية لتنفيذ خطة التخفيف الموصى بها.

e. تقدير تكلفة مفصل لكل مكون مقترح، بما في ذلك جميع التراخيص والدعم والصيانة والاستضافة، والتكاليف السنوية للخدمات المعتمدة على الاشتراك.

f. يجب أن يكون التقرير في عرض تقديمي بصيغة باور بوينت بالإضافة إلى تقرير شامل بصيغة وورد.

g. يجب دعم كل نتيجة بأدلة مناسبة مثل لقطات الشاشة، والبيانات، وما إلى ذلك، والأدوات المستخدمة أو الطريقة المتبعة للوصول إلى النتيجة. يجب تصنيف كل نتيجة بناءً على الشدة وتقديم تفاصيل العواقب وإجراءات الاختبار بعد إصلاح المشكلة.

h. يجب أن تتضمن كل نتيجة الأولوية والأهمية للنظام بناءً على معايير CIA (الأهمية، والنزاهة، والتوافر).

الملف الشخصي المطلوب للمرشحين

الخبرة: 5+ سنوات

الموقع: دبي، الإمارات العربية المتحدة (في الموقع)

المدة: شهر واحد

إلزامي: يجب أن يكون لديه تأشيرة خاصة به

القطاع المهني للشركة

المجال الوظيفي / القسم

الكلمات الرئيسية

  • تقييم الأمن السيبراني لتكنولوجيا المعلومات / العمليات

تنويه: نوكري غلف هو مجرد منصة لجمع الباحثين عن عمل وأصحاب العمل معا. وينصح المتقدمون بالبحث في حسن نية صاحب العمل المحتمل بشكل مستقل. نحن لا نؤيد أي طلبات لدفع الأموال وننصح بشدة ضد تبادل المعلومات الشخصية أو المصرفية ذات الصلة. نوصي أيضا زيارة نصائح أمنية للمزيد من المعلومات. إذا كنت تشك في أي احتيال أو سوء تصرف ، راسلنا عبر البريد الإلكتروني abuse@naukrigulf.com

K20s Kinetic Technologies

https://app.pyjamahr.com/careers?company=K20S%20Kinetic%20Technologies%20Private%20Limited&job_id=354705&company_uuid=4189F86384