مدير - استشارات تكنولوجيا - الأمن السيبراني - اختبار الاختراق Ernst & Young AE

إدارة والإشراف على التعاقدات الأمنية الهجومية، بما في ذلك:

• اختبارات الاختراق على الويب، والمحمول، وواجهات برمجة التطبيقات، والعميل السميك، والسحابة
• تقييمات الأمان الشبكي الداخلي/الخارجي والأمان اللاسلكي
• عمليات الفريق الأحمر والفريق الأرجواني (بما في ذلك OSINT، والهندسة الاجتماعية، وتقييمات الأمان الفيزيائي)

تحديد المنهجيات، والأطر، ومجموعات الأدوات لمحاكاة الفريق الأحمر والمحاكاة المعادية بما يتماشى مع MITRE ATT&CK، وسلسلة قتل الأمن السيبراني، ونموذج الماس.

إرشاد استخدام أطر C2 (Cobalt Strike، Brute Ratel، NightHawk، Havoc، Sliver، Mythic، Merlin) ومنصات محاكاة الاختراق والهجوم (BAS) في التعاقدات مع العملاء.

مراجعة والتحقق من الحرفية المتقدمة مثل التهرب من EDR/AV، وإعداد بنية C2 التحتية، وتطوير البرمجيات الخبيثة، والبحث والتطوير الهجومي.

ترجمة المخاطر التقنية المعقدة إلى رؤى ذات صلة بالعمل للمستوى التنفيذي، وإنتاج تقارير وعروض تقديمية جاهزة للتنفيذ.

العمل كخبير في الموضوع (SME) لمناقشات العملاء، وورش العمل، والفعاليات الصناعية

قيادة أنشطة ما قبل البيع وتطوير الأعمال، بما في ذلك تطوير المقترحات، وجلسات تحديد النطاق، وإدارة علاقات العملاء.

إدارة الحسابات والعلاقات على أساس يومي واستكشاف فرص عمل جديدة للشركة.

المساعدة في تطوير منهجيات جديدة ومبادرات داخلية والمساعدة في خلق ثقافة تعلم إيجابية من خلال التدريب، والإرشاد وتطوير أعضاء الفريق الجدد.

ضمان الامتثال للأطر المحلية والدولية للأمن السيبراني (مثل NCA ECC/DCC، ISO 27001، PCI DSS).

إدارة عدة تعاقدات، وضمان التسليم في الوقت المناسب، وضمان الجودة، والالتزام بأفضل الممارسات الصناعية.

مسؤول عن جودة خدمة العملاء بشكل عام وفقًا لإرشادات الجودة ومنهجيات EY

المهارات والسمات للنجاح

• القيادة وإدارة الأشخاص، مع القدرة على تنمية والاحتفاظ بالفرق ذات الأداء العالي.
• مهارات إدارة المشاريع القوية، لضمان تسليم التعاقدات في الوقت المحدد، وفي الميزانية، وبجودة عالية.
• فطنة تجارية ممتازة، مع القدرة على المساهمة في استراتيجيات الذهاب إلى السوق وتطوير الخدمات.
• القدرة على الموازنة بين الإشراف الفني العملي والاستشارات الاستراتيجية.
• القدرة على تفسير النتائج التقنية المعقدة وتقديم الرؤى لأصحاب المصلحة في الأعمال.
• مهارات تحليلية، وحل المشكلات، وتفكير نقدي قوية.
• مهارات تواصل وتعاون ممتازة
• فهم تقني عميق لمنهجيات الأمن الهجومي.

للتأهل للدور، يجب أن يكون لديك

• درجة بكاليوس أو ماجستير في تكنولوجيا المعلومات، الأمن السيبراني، إلخ.
• 7-10 سنوات من الخبرة في اختبارات الاختراق تشمل الإنترنت، الشبكة الداخلية، اختبارات اختراق تطبيقات الويب، اللاسلكي، الهندسة الاجتماعية، وتقييمات الفريق الأحمر، مع ما لا يقل عن 2-3 سنوات في دور قيادي أو إداري.
• معرفة بأنظمة Windows، Linux، UNIX، وأي أنظمة تشغيل رئيسية أخرى.
• فهم عميق لبروتوكولات الشبكة TCP/IP وخبرة في تقنيات هجوم Active Directory المختلفة.
• فهم أمان الشبكة والوسائط الهجومية الشائعة.
• فهم عميق لثغرات OWASP Top 10 واستراتيجيات التخفيف الخاصة بها. خبرة في الهجوم اليدوي واختبار الاختراق.
• خبرة في قيادة فريق تقني لإجراء اختبارات اختراق عن بُعد وعلى الموقع وفقًا لقواعد المشاركة المحددة.
• سجل مثبت في قيادة عمليات الفريق الأحمر/الأرجواني، والمحاكاة المعادية، وحملات الهندسة الاجتماعية.
• إجراء تحليل متعمق لنتائج اختبارات الاختراق وإنشاء تقرير يصف النتائج، وإجراءات الاستغلال، والمخاطر والتوصيات.
• شهادات معترف بها مثل OSCP، OSWE، OSEP، OSEE، GXPN، CRTO2، SANS LDR551، GPEN، GWAPT.
• التعرض للبحث والتطوير الهجومي، وتطوير البرمجيات الخبيثة، والأتمتة لتوسيع نطاق التعاقدات أمر مرغوب فيه بشدة.
• مهارات قوية في تطوير الأعمال/إدارة الحسابات وعلاقات العملاء.
• جواز سفر صالح للسفر.
• مهارات تواصل ممتازة مع عقلية استشارية.

من الناحية المثالية، يجب أن يكون لديك أيضًا

• مهارات إدارة المشاريع.
• شهادات ذات صلة مثل OSCP، OSCE، OSWE، OSEP، OSEE، GXPN، CRTO، SANS GWAPT، GPEN.
• فهم قوي للأطر والمنهجيات الأمنية (مثل MITRE ATT&CK، OWASP، NIST).