مدير - استشارات تكنولوجيا - الأمن السيبراني - اختبار الاختراق Ernst & Young AE

إدارة والإشراف على التعاقدات الأمنية الهجومية، بما في ذلك:

• اختبار الاختراق للويب، الهاتف المحمول، واجهات برمجة التطبيقات، العميل السميك، والسحابة
• تقييمات الأمان الشبكي الداخلي/الخارجي والأمان اللاسلكي
• عمليات الفريق الأحمر والفريق الأرجواني (بما في ذلك OSINT، والهندسة الاجتماعية، وتقييمات الأمان الفيزيائي)

تحديد المنهجيات والأطر ومجموعات الأدوات لمحاكاة الفريق الأحمر والمعارضين بالتوافق مع MITRE ATT&CK، وسلسلة القتل السيبراني، ونموذج الماس.

توجيه استخدام أطر C2 (Cobalt Strike، Brute Ratel، NightHawk، Havoc، Sliver، Mythic، Merlin) ومنصات محاكاة الخرق والهجوم (BAS) في التعاقدات مع العملاء.

مراجعة والتحقق من الحرفية المتقدمة مثل التهرب من EDR/AV، إعداد بنية C2 التحتية، تطوير البرمجيات الضارة، والبحث والتطوير الهجومي.

ترجمة المخاطر التقنية المعقدة إلى رؤى ذات صلة بالأعمال للمستوى التنفيذي، وإنتاج تقارير وعروض تقديمية جاهزة للتنفيذ.

التصرف كخبير في الموضوع (SME) في المناقشات مع العملاء، وورش العمل، والفعاليات الصناعية

دفع أنشطة ما قبل البيع وتطوير الأعمال، بما في ذلك تطوير الاقتراحات، وجلسات تحديد النطاق، وإدارة علاقات العملاء.

إدارة الحسابات والعلاقات على أساس يومي واستكشاف فرص عمل جديدة للشركة.

المساعدة في تطوير منهجيات جديدة ومبادرات داخلية والمساعدة في إنشاء ثقافة تعلم إيجابية من خلال التدريب، والإرشاد وتطوير أعضاء الفريق المبتدئين.

ضمان الامتثال للأطر الأمنية السيبرانية المحلية والدولية (مثل NCA ECC/DCC، ISO 27001، PCI DSS).

إدارة عدة تعاقدات، وضمان التسليم في الوقت المحدد، وضمان الجودة، والامتثال لأفضل الممارسات في الصناعة.

مسؤول عن جودة تقديم الخدمة العامة للعملاء وفقًا لإرشادات الجودة ومنهجيات EY

المهارات والخصائص اللازمة للنجاح

• القيادة وإدارة الأفراد، مع القدرة على تنمية والاحتفاظ بالفرق ذات الأداء العالي.
• مهارات قوية في إدارة المشاريع، لضمان تسليم التعاقدات في الوقت المحدد، وعلى الميزانية، وبجودة عالية.
• فهم ممتاز للأعمال، مع القدرة على المساهمة في استراتيجيات دخول السوق وتطوير الخدمات.
• القدرة على موازنة الإشراف الفني العملي مع الاستشارات الاستراتيجية.
• القدرة على تفسير النتائج التقنية المعقدة وتقديم رؤى لأصحاب المصلحة في الأعمال.
• مهارات تحليلية قوية، وحل المشكلات، والتفكير النقدي.
• مهارات تواصل وتعاون ممتازة
• فهم تقني عميق لمنهجيات الأمن الهجومي.

لتكون مؤهلاً للدور، يجب أن تمتلك

• درجة بكاليوس أو ماجستير في تكنولوجيا المعلومات، الأمن السيبراني، إلخ.
• من 7 إلى 10 سنوات من الخبرة في اختبار الاختراق والتي تشمل اختبارات اختراق الإنترنت، الشبكة الداخلية، تطبيقات الويب، اللاسلكي، الهندسة الاجتماعية، وتقييمات الفريق الأحمر، مع ما لا يقل عن 2-3 سنوات في دور قيادي أو إداري.
• معرفة بنظام التشغيل Windows وLinux وUNIX، وأي أنظمة تشغيل رئيسية أخرى.
• فهم عميق لبروتوكولات الشبكة TCP/IP وخبرة في تقنيات الهجوم المختلفة على Active Directory.
• فهم لأمان الشبكة ونقاط الهجوم الشائعة.
• فهم عميق لثغرات OWASP العشر الأوائل واستراتيجيات التخفيف الخاصة بها. خبرة في الهجوم اليدوي واختبار الاختراق.
• خبرة في قيادة فريق تقني لإجراء اختبارات اختراق عن بُعد وفي الموقع ضمن قواعد المشاركة المحددة.
• سجل مثبت في قيادة عمليات الفريق الأحمر/الأرجواني، والمحاكاة المعادية، وحملات الهندسة الاجتماعية.
• إجراء تحليل متعمق لنتائج اختبار الاختراق وإنشاء تقرير يصف النتائج، وإجراءات الاستغلال، والمخاطر، والتوصيات.
• شهادات معترف بها مثل OSCP، OSWE، OSEP، OSEE، GXPN، CRTO2، SANS LDR551، GPEN، GWAPT.
• التعرض للبحث والتطوير الهجومي، وتطوير البرمجيات الضارة، والأتمتة لتوسيع نطاق التعاقدات مرغوب فيه للغاية.
• مهارات قوية في تطوير الأعمال/إدارة الحسابات وعلاقات العملاء.
• جواز سفر ساري للسفر.
• مهارات تواصل ممتازة بعقلية استشارية.

من المثالي أن يكون لديك أيضًا

• مهارات إدارة المشاريع.
• شهادات ذات صلة مثل OSCP، OSCE، OSWE، OSEP، OSEE، GXPN، CRTO، SANS GWAPT، GPEN.
• فهم قوي لأطر ومنهجيات الأمان (مثل MITRE ATT&CK، OWASP، NIST).