كارير السعودية
دخولتسجيل
جامعة الملك عبدالله للعلوم والتقنية
الأمن السيبراني·تقنية المعلوماتمنذ أسبوع

مدير اختبار الاختراق

Lead Penetration Tester

جامعة الملك عبدالله للعلوم والتقنية
المملكة العربية السعودية دوام كامل 5+ years سنوات

الغرض من الوظيفة

مدير اختبار الاختراق مسؤول عن التخطيط لعمليات تقييم الأمن وتنفيذها وقيادتها عبر البنية التحتية لـ KAUST، والبيئات السحابية، وأنظمة الشبكة. تجمع هذه الوظيفة التقنية العليا بين الخبرة العميقة في منهجيات الأمن الهجومي مع القدرات القيادية الاستراتيجية لتحديد نقاط الضعف قبل أن يتمكن المهاجمون الضارون من استغلالها. سيقود مدير اختبار الاختراق عمليات اختبار الاختراق، وسيقوم بإجراء اختبارات اختراق البنية التحتية السحابية المتقدمة، وتطوير أدوات استغلال مخصصة، وتقديم التوجيه الفني للأعضاء المبتدئين في الفريق. بالإضافة إلى ذلك، ستتعاون هذه الوظيفة مع أصحاب المصلحة في جميع أنحاء المنظمة لترجمة النتائج التقنية إلى استراتيجيات علاج قابلة للتنفيذ والمساهمة في التحسين المستمر لوضع الأمن العام لـ KAUST. المسؤوليات الرئيسية اختبار اختراق البنية التحتية:

  • قيادة وتنفيذ عمليات اختبار الاختراق ضد البنية التحتية المؤسسية بما في ذلك الشبكات، والخوادم، وبيئات Active Directory، وأنظمة المواقع.
  • إجراء اختبارات اختراق الشبكة المتقدمة بما في ذلك التحقق من تقسيم الشبكة، وتقييمات الحركة الجانبية، وهجمات تصعيد الصلاحيات.
  • إجراء تقييمات أمنية للاتصالات اللاسلكية بما في ذلك اكتشاف نقاط الوصول غير المشروعة، واختبار أمان WPA/WPA2/WPA3، وتقييم البنية التحتية اللاسلكية.
  • تنفيذ تقييمات الأمن المادي وحملات الهندسة الاجتماعية عند الضرورة.
  • تقييم أمن منصات التصور (VMware، Hyper-V) وتحديد نقاط الضعف على مستوى المحاكي. اختبار اختراق البنية التحتية السحابية:
  • قيادة عمليات اختبار اختراق البنية التحتية السحابية عبر منصات السحابة الرئيسية (Azure، SAP) بما في ذلك بيئات IaaS و PaaS.
  • تقييم تكوينات البنية التحتية السحابية، وسياسات إدارة الهوية والوصول، ومجموعات أمان الشبكة، وأمن التخزين.
  • تحديد التكوينات غير الصحيحة في الخدمات الأصلية للسحابة بما في ذلك الوظائف الخالية من الخوادم، وتنسيق الحاويات (Kubernetes، EKS، AKS، GKE)، وقواعد البيانات المدارة.
  • تقييم تنفيذ إدارة الهوية والوصول السحابية وتحديد مسارات تصعيد الصلاحيات.
  • اختبار بيئات السحابة الهجينة وتقييم أمن الاتصال بين السحابة والمواقع. عمليات فريق الأحمر:
  • التخطيط وتنفيذ تمارين فريق الأحمر لمحاكاة سيناريوهات التهديدات المستمرة المتقدمة.
  • إجراء تمارين محاكاة الخصم بناءً على إطار عمل MITRE ATT&CK.
  • تنسيق تمارين الفريق الوردي مع فريق SOC والأمن الدفاعي لتحسين قدرات الكشف. أبحاث نقاط الضعف والاستغلال:
  • إجراء أبحاث وتطوير استغلال مخصص ل نقاط الضعف المحددة في بيئة KAUST.
  • مواكبة تقنيات الهجوم الناشئة، ونقاط الضعف الناشئة، وأبحاث الأمن الهجومي.
  • المساهمة في مبادرات البحث الداخلي عن نقاط الضعف وعمليات الكشف المسؤولة.
  • الحفاظ على تحسين مجموعة أدوات اختبار الاختراق والبنية التحتية. الإبلاغ ودعم العلاج:
  • إنتاج تقارير تقنية تفصيلية توضح النتائج، ومسارات الهجوم، وأدلة الاستغلال.
  • تطوير ملخصات على مستوى الإدارة العليا تترجم المخاطر التقنية إلى تقييمات تأثير الأعمال.
  • التعاون مع مالكي الأنظمة وأفرقة تكنولوجيا المعلومات للتحقق من جهود العلاج من خلال إعادة الاختبار.
  • عرض النتائج على أصحاب المصلحة التقنيين وغير التقنيين بما في ذلك الإدارة العليا. القيادة والتوجيه:
  • تقديم القيادة التقنية والتوجيه لأعضاء فريق اختبار الاختراق.
  • تطوير وصيانة منهجيات اختبار الاختراق، والمعايير، وكتيبات الإجراءات.
  • إجراء جلسات مشاركة المعرفة والتدريب الداخلي على تقنيات الأمن الهجومي.
  • المساهمة في توظيف وتطوير مهارات فريق اختبار الاختراق. المتطلبات الشخصية الكفاءات الخبرة التقنية:
  • اختبار أمن البنية التحتية: كفاءة الخبراء في اختبار البيئات المؤسسية بما في ذلك أنظمة Windows/Linux، و Active Directory، وأجهزة الشبكة، ومنصات التصور.
  • تقييم أمن السحابة: خبرة عميقة في اختبار اختراق السحابة عبر AWS، و Azure، و GCP بما في ذلك الخدمات الأصلية للسحابة، و إدارة الهوية، وأمن الحاويات.
  • تطوير الاستغلال: القدرة على تطوير استغلال مخصص، و Shellcode، و Payloads ل نقاط الضعف المحددة.
  • البرمجة والتشغيل الآلي: كفاءة متقدمة في Python، و PowerShell، و Bash، ولغات البرمجة الأخرى للتشغيل الآلي وتطوير الأدوات.
  • أمن الشبكة: فهم متعمق لبروتوكولات الشبكة، وجدران الحماية، و تجنب IDS/IPS، والهجمات القائمة على الشبكة.
  • أنظمة التشغيل: معرفة الخبراء بالداخليات Windows و Linux، وتقنيات تصعيد الصلاحيات، وطرق ما بعد الاستغلال.
  • أمن الحاويات: كفاءة في تقييم أمن Docker، و Kubernetes، ومنصات تنسيق الحاويات.
  • البنية التحتية كرمز: معرفة بتقييم أمن البنية التحتية كرمز ل Terraform، و CloudFormation، و ARM templates. خبرة أمن السيبرانية:
  • منهجيات الأمن الهجومي: إتقان أطر عمل اختبار الاختراق بما في ذلك PTES، و OWASP، و MITRE ATT&CK.
  • استخبارات التهديدات: القدرة على الاستفادة من استخبارات التهديدات لإعلام سيناريوهات الاختبار والخصم.
  • إطار عمل MITRE ATT&CK: فهم الخبراء لإطار عمل MITRE ATT&CK لتكتيكات الخصم.
  • تقييم نقاط الضعف: معرفة شاملة بتحديد نقاط الضعف، وتصنيفها، وتقييم المخاطر. مهارات القيادة والإدارة:
  • قيادة الفريق: القدرة على قيادة وتنسيق عمليات اختبار الاختراق وأنشطة الفريق.
  • إدارة المشاريع: مهارات قوية في التخطيط، وتحديد النطاق، وتسليم مشاريع اختبار الاختراق.
  • التوجيه: قدرة مثبتة على تطوير وتوجيه المهنيين الأمنيين المبتدئين.
  • إدارة أصحاب المصلحة: القدرة على إدارة العلاقات مع أصحاب المصلحة التقنيين والتجاريين. الخبرة التجارية:
  • القدرة على توضيح المخاطر الأمنية من حيث تأثير الأعمال والأهمية الاستراتيجية.
  • مهارات اتصال مكتوبة وشفوية قوية للجمهور التقني والتنفيذي.
  • فهم المتطلبات التنظيمية للامتثال مثل NIST وتأثيرها...

المهارات المطلوبة

اختبار البنية التحتيةتقييم أمن السحابةتطوير الاستغلالالبرمجة والتشغيل الآليأمن الشبكةأنظمة التشغيلأمن الحاوياتالبنية التحتية كرمزخبرة أمن السيبرانيةمنهجيات الأمن الهجومي
شارك هذه الوظيفة

تنبيهات ذكية

اختر متى نخبرك. · 1 مفعّل
كل وظائف جامعة الملك عبدالله للعلوم والتقنية
جميع الوظائف الجديدة
وظائف في المملكة العربية السعودية
وظائف جديدة في هذه المدينة
وظائف الأمن السيبراني
وظائف في نفس المجال
جامعة الملك عبدالله للعلوم والتقنية
عن الشركة

جامعة الملك عبدالله للعلوم والتقنية

المملكة العربية السعودية

كل وظائفها
قــدّم على هذه الوظيفة