默安科技(www.moresec.cn)成立于 2016年,云计算时代的企业安全解决方案提供商,致力于用创新技术解决企业安全问题,将威胁情报技术和人工智能技术融入企业安全防御体系,提供企业在云计算和IOT时代的安全整体解决方案,实现安全威胁数据化、检测响应智能化、攻防对抗常态化。
安全专家(20k-30k)
岗位要求:
1.三年以上安全厂商 or 互联网公司安全工作经验;
2.掌握常用安全技术手段和工具,具备较强的代码能力;
3.具备扎实的安全理论;深入了解常见Web安全漏洞原理、危害、利用方式和处理方案;
4.在渗透测试、代码审计、漏洞分析等领域某一方面有丰富实战经验,在行业内有一定的影响力;
5.较强的跨团队协调能力;
6.参加过安全会议演讲 or 挖个多个cve ,有业界影响力(加分项)。
安全服务工程师(8k-15k)
任职要求:
1.有较为丰富的网络和安全知识;
2.有较为良好的文档编写和交流沟通能力;
3.熟悉常见系统、WEB应用漏洞原理和利用方法;
4.熟悉常见安全服务项目实施流程;
5.熟悉部分行业(金融、运营商、政互联网等)的信息安全现状,参与过多个行业安全服务项目;
6.持有CISP/CISSP/CISA 证书者优先;
7.两年以上安全从业经验。
岗位职责:
负责安全服务类项目实施和交付。
资深安全研究员(15k-25k)
岗位职责:
1.跟踪国内外的最新安全技术动态;
2.各种网络、系统及应用的安全攻击和防御技术研究;
3.安全漏洞挖掘与分析相关技术研究及工具开发。
岗位要求:
1.本科或以上学历 (能力突出者,可不限学历);
2.有较强的逆向工程能力,熟练掌握至少一种逆向工具;
3.熟悉java语言,能够熟练进行程序编写;熟练掌握至少一种脚本语言;
4.熟悉各种攻防技术以及安全漏洞原理,有过独立分析或挖掘漏洞的经验;
5.有过实际漏洞挖掘和分析经验者优先。
渗透攻防研究员(10K-20K)
岗位职责:
1. 参与渗透测试给安全服务团队提供技术支持;
2. 参与安全产品开发提供渗透攻防思路;
3. 分析主流渗透测试手法,研究新型内网渗透技巧。
岗位要求:
1. 熟悉常见的渗透手法,具备一定的实战经验,无黑产背景;
2. 掌握Linux/Windows环境下的横向渗透方法;
3. 了解常见web应用漏洞,并熟知利用方法;
4. 熟练掌握各种渗透测试工具,熟知办公网络以及生产网络环境渗透测试思路。
优先考虑:
有个人博客,参与过SRC、众测活动,发布过安全相关paper者优先。
Web安全研究员(10k-20K)
岗位职责:
1.国内外WEB安全技术跟进和重现,WEB应用最新漏洞分析;
2.为公司安全产品提供代码级技术原型支持;
3.对业界前沿攻击和防御手法进行研究跟踪。
岗位要求:
1.具备一定的漏洞研究能力,能够充分理解漏洞原理;
2.熟悉HTTP协议,了解主流web技术;
3.对php/jsp/aspx等web开发语言有一定的了解;
4.熟悉Python开发,能够独立撰写POC/EXP。
优先考虑:
有个人博客,参与过SRC、众测活动,发布过安全相关paper者优先
信息安全实习生(4k-5k)
岗位职责:
渗透测试、安全研究方向实习生
岗位要求:
1.18届在读本科or硕士生(技术水平特别优秀者降低学历要求);
2.基础知识扎实,熟悉常见渗透手法,具备一定实战经验,无黑产背景;
3.了解常见web应用漏洞,并熟知利用方法;
4.具备一定的漏洞研究能力,能够充分理解漏洞原理;
5.熟悉Python开发,能够独立撰写POC/EXP;
6.有个人博客,参与过SRC、众测活动,发布过安全相关paper者优先。
安全产品经理(15k-25k)
任职岗位:
负责云计算安全产品及攻防对抗类安全产品
岗位要求:
1.熟练掌握产品经理的工作工具,包括原型图设计(axure等)、PRD文档编写;
2.对交互设计有一定的经验,并了解一些基本的原则;
3.理解网络、系统、数据库、安全等技术的基本实现原理,或有过相关的工作经验;
4.能充分理解商业目标,对市场、行业有自己的调研方法,善于与客户沟通,善于换位思考;
5.有过成功商业产品的经验,在用户数或销售额上有过成功实践;
6.三年以上产品经理相关工作经历;
7.有过安全相关经验者优先。
安全售前工程师(北京、杭州)(10k-20k)
岗位要求:
1.熟悉信息安全行业;
2.有较为丰富的网络知识及良好的文档编写能力;
3.熟悉售前以及行业咨询的工作内容;
4.具备清晰的达能力;
5.熟悉部分行业(金融、运营商、政企、互联网)的信息安全现状,能够给出行业性安全解决方案;
6.持有CISP/CISSP/CISA证书者优先;
7.适应短期出差;
8.本科以上学历,计算机等相关专业。
安全售后工程师(北京、杭州)(10k-20k)
岗位要求:
1.熟悉安全服务的基本工作内容,熟悉对各类操作系统、应用系统、数据库的基本安全检查和加固方法;
2.参与过安全产品的部署实施,如防火墙、漏洞扫描器、IDS等等;
3.沟通能力良好,性格外向,负责和客户沟通包括现场实施需求,实施进度等。
岗位职责:
1.安全产品的部署与实施;
2.网络安全项目的支持:包括技术交流、技术方案的编写、安全产品及安全服务测试;
3.网络安全服务:安全加固、渗透测试、安全评估等;
4.网络安全规划:企业网络信息安全分析、提供技术建议书及解决方案等;
5.网络安全培训:给客户进行网络安全培训和讲座;
6.公司产品推广:负责公司网络产品对外测试及产品规划调优、宣讲培训、精通防火墙、waf、ips/ids、漏洞扫描等网络安全设备。
项目管理(安全服务部)(4k-6k)
任职要求:
1.了解/掌握 /熟悉信息安全项目管理方法及流程;
2.了解/掌握 /熟悉行业(如金融、政府、运营商)信息安全标准,负责安全各类资质的申请;
3.熟悉项目管理流程(如启动、计划、实施、控制、收尾);
4.良好的文档书写能力,如项目管理过程文档等;
5.具备较强的沟通表达能力,并乐意沟通表达,愿意与客户接触。
岗位职责:
1.跟进项目进度,组织、参加项目会议、做好记录跟踪;
2.协助运营总监管理公司项目,和客户维持联系,定期了解项目、产品执行进度、使用运行、各个阶段存在的问题等情况,并及时整理和反馈给项目经理和相关负责人员。
产品助理(5k-8k)
工作职责:
1.协助产品经理对公司产品进行需求分析、竞品分析;
2.协助产品经理完成原型设计、交互说明以及产品定位等工作;
3.协助产品经理与研发、设计、市场等部门有效沟通,并协调相关工作;
4.产品日常运营维护,根据各类分析、测试结果和客户反馈,持续改进已上线产品,安排项目优先级。
任职要求:
1.本科及以上学历,1年以上互联网产品工作经验,懂网络安全优先;
2.会使用Axure,XMind,Visio等产品工具,能独立撰写产品交互说明,产品需求文档(PRD)以及会画原型图等;
3.关注细节和用户体验,注重交互,能站在用户角度去设计产品;
4.有较强的逻辑思维能力,有较强的学习能力。
总经理助理(10k-20k)
岗位职责:
1.协助创始人维护大客户关系,跟进重大项目,推进重要业务;
2.协助总经理对销售的管理,并提出建设性的规划及建议,督办落实总经理布置的各项工作
3.协助领导处理各种关系,应对各种突发事件。
许多企业正为流程、工具、安全团队和IT运营团队的配合而头疼不已。
2017年安全预算持续走高,通常情况下,这些花销被用于提高安全运营水平。根据最近发布的ESG环境、社会和治理研究,81%的网络安全专家认为企业应优先改善安全分析和运营水平。
所以,具体该从哪里着手呢?ESG研究报告也显示了企业所缺乏的东西。比如:
72%的受访者同意或坚信以下观点:企业的安全分析和运营由少数几个关键人员全权负责的。当然了,这些人本身是稀缺资源,他们如果跳槽去别处,完全可以涨薪20%左右。首席网络安全执行官必须竭尽所能地通过财务、教育、事业规划和生活方式等手段留住他们。
64%的受访者同意或坚信以下观点:由于大量的新IT项目在酝酿,企业的安全分析和运营水平很难到位。每当新项目蓄势待发时,安全团队都被要求"专心"安全而不能"越俎代庖"。要改善这个问题,真的取决于安全团队能否更多地参与业务本身。
63%的受访者同意或坚信以下观点:安全分析和运营流程远不够规范。在这种情况下,关键员工独揽安全运营,其他人则靠边站。不幸的是,这样的非正式流程不能推广或帮助新员工。首席信息安全官必须学习正规的网络安全框架(如ISO和NIST)、从事最适合的方面、建立自己的文档框架并虔诚地遵循这些。
60%的受访者同意或坚信以下观点:安全分析和运营的效果很有限,原因之一是它建立在太多的人工环节之上。在这种情况下,首席信息安全官必须评估和记录这些环节,创建规范的操作手册,然后使用自动化/编制技术来提高运营效率。对人工环节的改革引发了技术市场的一连串事件:IBM的Resilient并购案、FireEye的Invotas并购案、Rapid7的Komand并购案、微软的Hexadite并购案都在此列。
59%的受访者同意或坚信以下观点:安全分析和运营的效果很有限,这得怨安全团队和IT运营团队的协作关系中存在的问题。如果你想知道为什么ServiceNow和其Saas(软件即服务)模式在事件反应方面始终如此成功,看看这个数据。安全团队和IT运营团队往往有不同的目标、指标和薪酬方案,这导致协作中的冲突不断。首席信息安全官和首席安全官需要领导这两个部门的合作。两个团队如果"查同一本字典",这并不是什么坏事,所以相同的工具或集成体系结构(比如ESG的SOAPA)也会有所帮助。
58%的受访者同意或坚信以下观点:安全分析和运营的效果很有限,原因之一是因为员工的技能差距。全球正再次面临着网络安全技能短缺的困境。除了招聘和培训,首席信息安全官必须寻找新类型的智能安全分析技术、自动化/编排的安全运营流程,或者寻找能填补空白的第三方服务供应商来保证现有的网络安全人员有足够的工作能力。
安全分析和运营是项复杂的工程,它需要的不仅仅是某个杰出的员工。规范的流程、环节自动化/编排、安全团队和IT团队间的紧密合作应当是所有首席信息安全官的首要任务。
相关阅读
安全自动化在于信任,而非技术
成功的安全分析你需要注意这五个要素
黑客技术官网地址:http://www.hackdig.com/
没有评论:
发表评论