وظائف الرياض

يتولى هذا الدور محاكاة الهجمات السيبرانية الواقعية لاكتشاف الثغرات في تطبيقات وأنظمة وشبكات وبنية البنك التحتية. ويهدف إلى الكشف الاستباقي عن نقاط الضعف الأمنية قبل استغلالها من قبل الجهات المعادية، ودعم الالتزام بالمتطلبات التنظيمية ومعايير الصناعة، والمساهمة في تعزيز الوضع العام للأمن السيبراني في البنك.

المسؤوليات

• تخطيط وتحديد نطاق وتنفيذ اختبارات الاختراق على التطبيقات والشبكات وواجهات البرمجة (APIs) والبنية التحتية.

• إجراء تقييمات الثغرات واستغلال نقاط الضعف المكتشفة لإظهار مستوى التعرض للمخاطر.

• تطوير وتنفيذ سيناريوهات تهديد تشمل هجمات الويب والجوال والسحابة والهندسة الاجتماعية.

• تنفيذ تمارين الفريق الأحمر ومحاكاة الخصوم، بما في ذلك تكتيكات التهديدات المتقدمة المستمرة (APT).

• تحديد النتائج وتوثيقها وترتيب أولوياتها، مع تقديم إرشادات تفصيلية لمعالجة الثغرات للفرق المعنية.

• العمل عن كثب مع المطورين ومسؤولي الأنظمة ومهندسي الأمن لمعالجة النتائج.

• إجراء اختبارات أمنية على التطبيقات والمنتجات والأنظمة الجديدة قبل الإطلاق الفعلي.

• مواكبة التهديدات والثغرات وتقنيات الهجوم الناشئة.

• تطوير نماذج إثبات المفهوم (PoC) للهجمات لإظهار المخاطر العملية للثغرات المكتشفة.

• ضمان توافق أنشطة اختبارات الاختراق مع الأنظمة واللوائح المعمول بها (مثل: إطار الأمن السيبراني لـ SAMA، ومتطلبات NCA ‏ECC/DCC/CCC، ومعيار PCI DSS، وISO 27001، وNIST).

• دعم نشر الوعي من خلال مشاركة رؤى التهديدات والدروس المستفادة مع أصحاب المصلحة الداخليين.

• المساهمة في تحسين معايير وسياسات الأمن وممارسات التطوير الآمن.

• أداء أي مهام أخرى يكلف بها المدير المباشر ذات صلة بطبيعة العمل.

• فرض ودمج والالتزام بجميع الضوابط اللازمة وسياسات وإجراءات وممارسات أمن المعلومات ذات الصلة، بما في ذلك التدريب والتقارير والعناية الواجبة واليقظة الشخصية ضمن أنشطة وعمليات القسم/الوحدة.

المؤهلات
المؤهلات المفضلة

• مؤهل جامعي من مؤسسة معترف بها.

• يُفضل الحصول على شهادات معتمدة في الأمن الهجومي أو SANS أو شهادات ذات صلة أخرى.

سنوات وطبيعة الخبرة

• يُوصى بخبرة مهنية من 3 إلى 5 سنوات في اختبار الاختراق أو الاختراق الأخلاقي أو أنشطة الفريق الأحمر.

• خبرة عملية في استخدام أدوات وأطر اختبار الاختراق (مثل: Burp Suite، Metasploit، Cobalt Strike، Nmap، Kali Linux، Wireshark، BloodHound).

• سجل مثبت في اكتشاف واستغلال وتوثيق الثغرات عبر بيئات مختلفة (الويب، الجوال، البنية التحتية، السحابة، واجهات البرمجة).

• يُفضل بشدة وجود خبرة في إجراء اختبارات اختراق ضمن بيئات مالية خاضعة للتنظيم.

• معرفة قوية ببروتوكولات الشبكات وأنظمة التشغيل (Windows وLinux) وتقنيات الويب ومنصات الحوسبة السحابية.

• فهم نمذجة التهديدات وتحليل سلسلة القتل (Kill Chain) وإطار عمل MITRE ATT&CK.

• القدرة على كتابة وتخصيص السكربتات والاستغلالات باستخدام لغات مثل Python وPowerShell وBash وJavaScript.

• الإلمام بممارسات الترميز الآمن والثغرات الشائعة (مثل OWASP Top 10 وSANS CWE Top 25).

الكفاءات التقنية

• كتابة الشيفرة البرمجية

• المتطلبات التنظيمية والامتثال (SAMA، ‏NCA، ‏PCI DSS، ‏ISO 27001، ‏NIST)

• أمن السحابة

الكفاءات السلوكية

• التواصل

• حل المشكلات

• الاهتمام بالتفاصيل

• التفكير التحليلي