مدير - استشارات تكنولوجيا - الأمن السيبراني - اختبار الاختراق Ernst & Young AE

إدارة والإشراف على التعاقدات الأمنية الهجومية، بما في ذلك:

• اختبار اختراق الويب، والهواتف المحمولة، وواجهات برمجة التطبيقات، والعميل السميك، والسحابة
• تقييمات الأمن الشبكي الداخلي/الخارجي واللاسلكي
• عمليات الفريق الأحمر والفريق الأرجواني (بما في ذلك OSINT، والهندسة الاجتماعية، وتقييمات الأمن المادي)

تحديد المنهجيات والأطر وأدوات المحاكاة للتيم الأحمر والمحاكاة العدائية بما يتماشى مع MITRE ATT&CK، وسلسلة قتل السيبرانية، ونموذج الماس.

توجيه استخدام أطر C2 (Cobalt Strike، Brute Ratel، NightHawk، Havoc، Sliver، Mythic، Merlin) ومنصات محاكاة الاختراق والهجمات (BAS) في التعاقدات مع العملاء.

مراجعة والتحقق من الحرفية المتقدمة مثل التهرب من EDR/AV، وإعداد بنية C2، وتطوير البرمجيات الضارة، والبحث والتطوير الهجومي.

ترجمة المخاطر الفنية المعقدة إلى رؤى ذات صلة بالأعمال على مستوى التنفيذي، مما ينتج تقارير وعروض تقديمية جاهزة للتنفيذيين.

العمل كخبير في الموضوع (SME) للمناقشات مع العملاء، وورش العمل، والفعاليات الصناعية

دفع الأنشطة المسبقة للمبيعات وتطوير الأعمال، بما في ذلك تطوير العروض، وجلسات تحديد النطاق، وإدارة علاقات العملاء.

إدارة الحسابات والعلاقات بشكل يومي واستكشاف فرص عمل جديدة للشركة.

المساعدة في تطوير منهجيات جديدة ومبادرات داخلية والمساعدة في خلق ثقافة تعلم إيجابية من خلال التدريب، والإرشاد، وتطوير أعضاء الفريق الصغار.

ضمان الامتثال للأطر الأمنية السيبرانية المحلية والدولية (مثل NCA ECC/DCC، ISO 27001، PCI DSS).

إدارة عدة تعاقدات، مع ضمان التسليم في الوقت المحدد، وضمان الجودة، والالتزام بأفضل الممارسات الصناعية.

مسؤول عن جودة تقديم الخدمة العامة للعملاء وفقًا لإرشادات الجودة ومنهجيات EY

المهارات والخصائص للنجاح

• القيادة وإدارة الأفراد، مع القدرة على تنمية والاحتفاظ بالفرق ذات الأداء العالي.
• مهارات قوية في إدارة المشاريع، مع ضمان تسليم التعاقدات في الوقت المحدد، وفي الميزانية، وبجودة عالية.
• فطنة تجارية ممتازة، مع القدرة على المساهمة في استراتيجيات الدخول إلى السوق وتطوير الخدمات.
• القدرة على تحقيق التوازن بين الإشراف الفني العملي والاستشارات الاستراتيجية.
• القدرة على تفسير النتائج الفنية المعقدة وتقديم رؤى لأصحاب المصلحة في الأعمال.
• مهارات قوية في التحليل، وحل المشكلات، والتفكير النقدي.
• مهارات ممتازة في التواصل والتعاون
• فهم عميق لمنهجيات الأمن الهجومي.

لتكون مؤهلاً لهذا الدور، يجب أن تكون لديك

• درجة بكاليوس أو ماجستير في تكنولوجيا المعلومات، الأمن السيبراني، إلخ.
• من 7 إلى 10 سنوات من الخبرة في اختبار الاختراق والتي تشمل اختبارات اختراق الإنترنت، والشبكة الداخلية، وتطبيقات الويب، والشبكات اللاسلكية، والهندسة الاجتماعية، وتقييمات الفريق الأحمر، مع وجود سنتين إلى ثلاث سنوات على الأقل في دور قيادي أو إداري.
• معرفة بنظام Windows وLinux وUNIX، وأي أنظمة تشغيل رئيسية أخرى.
• فهم عميق لبروتوكولات الشبكة TCP/IP وخبرة في تقنيات الهجوم المختلفة على Active Directory.
• فهم أمان الشبكات وطرق الهجوم الشائعة.
• فهم عميق لأعلى 10 ثغرات OWASP واستراتيجيات التخفيف الخاصة بها. خبرة في الهجوم اليدوي واختبار الاختراق.
• الخبرة في قيادة فريق تقني لإجراء اختبارات اختراق عن بُعد وفي الموقع ضمن قواعد التعاقد المحددة.
• سجل مثبت في قيادة عمليات الفريق الأحمر/الأرجواني، والمحاكاة العدائية، وحملات الهندسة الاجتماعية.
• إجراء تحليل شامل لنتائج اختبار الاختراق وإنشاء تقرير يصف النتائج، وإجراءات الاستغلال، والمخاطر، والتوصيات.
• شهادات معترف بها مثل OSCP، OSWE، OSEP، OSEE، GXPN، CRTO2، SANS LDR551، GPEN، GWAPT.
• التعرض للبحث والتطوير الهجومي، وتطوير البرمجيات الضارة، والأتمتة لتوسيع نطاق التعاقدات أمر مرغوب فيه بشدة.
• مهارات قوية في تطوير الأعمال/إدارة الحسابات وعلاقات العملاء.
• جواز سفر ساري للسفر.
• مهارات تواصل ممتازة بعقلية استشارية.

من الناحية المثالية، يجب أن تمتلك أيضًا

• مهارات إدارة المشاريع.
• شهادات ذات صلة مثل OSCP، OSCE، OSWE، OSEP، OSEE، GXPN، CRTO، SANS GWAPT، GPEN.
• فهم قوي لأطر الأمان والمنهجيات (مثل MITRE ATT&CK، OWASP، NIST).