مهندس أمان البريد الإلكتروني الأول - L3

IT-Security C&T

المهندس يعمل كنقطة التصعيد النهائية لحوادث أمان البريد الإلكتروني، يقود استجابة الحوادث، ويعزز التحسين المستمر في فعالية الكشف والسيطرة على الإيجابيات الكاذبة. البريد الإلكتروني هو حالياً أعلى وسيلة هجوم في معظم المؤسسات. التي تدعمها بائعي مثل Trellix وForcepoint التي تبرز البريد الإلكتروني كنقطة دخول رئيسية للبرامج الضارة والهجمات المستهدفة.

المسؤوليات الرئيسية

1. الدعم المتقدم وإدارة التصعيد

• تكون نقطة التصعيد النهائية للحوادث المتعلقة بالبريد المزعج، والتصيد، والبرامج الضارة، وعناوين URL أو المرفقات الضارة، والتزوير، وهجمات نمط BEC.
• قيادة التحقيقات حيث وصل بريد إلكتروني ضار أو مشبوه إلى المستخدمين. بما في ذلك تتبع الرسائل، وتحليل الرؤوس، ونتائج صندوق الرمل، والتنسيق مع SOC.
• تنسيق إجراءات الاحتواء السريعة. مثل استرداد البريد، وضبط الحجر الصحي، أو الحظر المؤقت على المرسلين والنطاقات.

2. تصميم السياسة، والتكوين، والضبط

• تصميم وصيانة سياسات أمان البريد الإلكتروني على Cisco ESA. Forcepoint Email Security. Trellix أو FireEye EX. وTrend Micro ScanMail لتحقيق التوازن بين الأمان وتجربة المستخدم.
• تكوين مضادات البريد المزعج، ومرشحات السمعة، ومرشحات تفشي، وصندوق الرمل، وإعادة كتابة أو تصفية URL، وسياسات فحص أو حظر المرفقات.
• ضبط السياسات بناءً على ملاحظات الإيجابيات الكاذبة أو السلبية الكاذبة، وبيانات التهديد، وبيانات SOC. مع سير عمل واضح للموافقة.
• الحفاظ على سياسات تشفير TLS للبريد الإلكتروني الوارد والصادر وتنسيق إدارة الشهادات مع فرق PKI والرسائل.

3. مصادقة البريد الإلكتروني وضوابط الثقة

• تنفيذ وصيانة سياسات SPF وDKIM وDMARC بالتعاون مع فرق DNS والرسائل لتقليل التزوير واستغلال النطاقات.
• مراجعة حالات فشل المصادقة وضبط سياسات المحاذاة مع حماية تدفقات العمل التجارية المشروعة.

4. تكامل DLP وحماية البيانات للبريد الإلكتروني

• العمل بشكل وثيق مع مهندسي حماية البيانات وDLP لتكامل Forcepoint DLP وسياسات التصنيف أو DRM على قنوات البريد الإلكتروني. لضمان اكتشاف البيانات الحساسة والسيطرة عليها.
• دعم تصميم وضبط سياسات DLP للبيانات الشخصية، والبيانات المالية، وأنواع البيانات المنظمة الأخرى وفقاً لمتطلبات SAMA CSF وNCA ECC.
• إدارة سير العمل لحوادث DLP، والاستثناءات، والموافقات التجارية.

5. استجابة الحوادث، وصيد التهديدات، والتقارير

• قيادة الاستجابة خلال الحوادث الكبيرة المعتمدة على البريد الإلكتروني، مثل حملات التصيد الكبيرة أو تفشي البرامج الضارة.
• إجراء عمليات بحث مستهدفة أو صيد التهديدات عبر سجلات البريد الإلكتروني لتحديد المستخدمين أو الحملات المتأثرة الإضافية.
• إنتاج تقارير RCA مفصلة وتقارير إدارة للحوادث البريدية ذات التأثير العالي.
• تقديم مقاييس منتظمة. حظر البريد المزعج أو التصيد، اكتشافات البرامج الضارة، محاولات BEC، ومعدلات الإيجابيات الكاذبة.

6. الحوكمة، والامتثال، وITIL

• تنفيذ التغييرات من خلال إدارة التغيير مع تقييم التأثير، وخطط التراجع، والاختبار.
• ضمان أن تكوينات أمان البريد الإلكتروني والمراقبة تتوافق مع SAMA CSF وNCA ECC، والسياسات الداخلية للاتصالات الآمنة، وحماية البيانات، والتسجيل.
• الحفاظ على أدلة جاهزة للتدقيق. صادرات السياسات، وأساسيات التكوين، ونتائج الاختبار، وسجلات الحوادث، والموافقات.

7. التعاون ومشاركة أصحاب المصلحة

• العمل مع فرق الرسائل والتعاون لتوجيه البريد، والبريد السحابي الهجين، ومشاريع الهجرة.
• التنسيق مع مهندسي أمان الشبكة L3 عندما تتقاطع القضايا عبر الطبقات مثل مصافحات TLS، أو DNS، أو الاتصال.
• التوافق مع فرق SOC وSIEM وتهديد المعلومات لتحسين منطق الكشف وكتب استجابة الحوادث.
• التفاعل مع مسؤول امتثال الأمان لإنتاج أدلة للتدقيق والمراجعات التنظيمية.

نطاق الأدوات

يجب أن تكون لديك خبرة عملية عميقة في اثنين على الأقل، ومعرفة عملية بجميع

• Cisco Secure Email أو ESA أو IronPort. بوابة البريد الإلكتروني الآمنة وحماية التهديدات المتقدمة.
• بوابة أمان البريد الإلكتروني من Forcepoint. بما في ذلك قدرات مكافحة التصيد، وصندوق الرمل، وDLP.
• Trellix أو FireEye Email Security EX أو Email MPS. صندوق الرمل المتقدم، وتحليل URL والمرفقات.
• Trend Micro ScanMail لـ Exchange.

من الجيد أن تمتلك

• خبرة التكامل مع Forcepoint DLP وFortra Titus وSeclore وSIEM.