مهندس امنیت - (مرکز تحقیق و نوآوری همراه اول)

فردی با بیش از 5 سال تجربه در زمینه امنیت برنامه و DevSecOps برای کاهش ریسک در مقیاس بزرگ. مسئولیت اصلی شامل تعبیه امنیت در چرخه توسعه نرم‌افزار (SSDL) و CI/CD، اجرای تست نفوذ جامع، توسعه ابزارهای اتوماسیون امنیتی، و تعریف راهبردهای امنیتی برای فناوری‌های نوظهور مانند هوش مصنوعی مولد (GenAI).

شایستگی‌های تخصصی:

• آشنایی با متدلوژی  OWASP (ASVS & WSTG)
• تسلط بر حملات Server-side & Client-side 
• توانایی تضمین امنیت SDLC و CI/CD پیاده‌سازی و مدیریت ابزارهای SAST/SCA/DAST با هدف کاهش آسیب‌پذیری‌ها بدون کاهش سرعت استقرار 
• توانایی جاسازی امنیت در گیت‌های CI/CD (GitHub, GitLab, Jenkins)، مدیریت SBOM (CycloneDX)، اسکن IaC (Checkov/tfsec)، اتوماسیون با Python/Bash
• توانایی تامین امنیت محیط کانتینر و زیرساخت: معماری و پیاده‌سازی راهکارهای امنیتی متمرکز برای کانتینرها و محیط‌های Kubernetes (K8s) برای کاهش آسیب‌پذیری‌های بحرانی 
• توانایی انجام تست نفوذ و ارزیابی ریسک: اجرای تست‌های نفوذ API، شبکه و ارائه گزارش‌های دقیق با راهکارهای اصلاحی
• داشتن دانش عمیق TCP/IP، DNS، فایروال‌ها، IDS/IPS (Suricata)، Load Balancing، استفاده از ابزارهایی مانند Wireshark
• تسلط به زبان‌های برنامه‌نویسی و اسکریپت‌نویسی Python (FastAPI, Django) برای اتوماسیون، Bash، PowerShell، SQL 
• تسلط بر استانداردها و چارچوب‌های OWASP Top 10/ASVS/WSTG، CIS Benchmarks،NIST CSF/800-53، MITRE ATT&CK
• توانایی تعریف کنترل‌های امنیتی برای LLM/GenAI امنیت داده‌ها، Prompt Injection
• توانایی استقرار امنیت هوش مصنوعی مولد (GenAI): تعریف چارچوب‌ها و کنترل‌های امنیتی برای استقرار ایمن برنامه‌های مبتنی بر LLM
• تسلط بر تجزیه‌ و تحلیل آسیب‌پذیری‌ها و توانایی اجرا و تغییر اکسپلویت‌ها
• تسلط بر کار با ابزارهای تست نفوذ  (Burp suite, nuclei, …)
• تسلط بر گزارش‌نویسی و ارائه راهکارهای برطرف‌سازی آسیب‌پذیری
• آشنایی با وب اپلیکیشن فایروال‌های متداول و تسلط بر تکنیک‌های ارزیابی و دور زدن آن‌ها

شایستگی‌های عمومی:

• دارای رویکرد دقیق، تحلیلی و جزئی نگر
• مهارت در تحلیل مسائل پیچیده و ارائه راهکارهای فنی عملی
• توانایی مستندسازی دقیق و شفاف از یافته‌ها و فرآیندها
• پیگیری و پشتکار
• مهارت‌های ارتباطی قوی
• برخورداری از مهارت کار تیمی

مهارت‌هایی که برخورداری از آنها مزیت محسوب می‌شود:

• علاقه‌مند به اجرای فرآیند‌های Red Teaming آشنا با فریمورک MITRE ATT&CK 
• دارا بودن تفکر تحلیلی و علاقه‌مند به رویارویی با چالش‌های فنی تست نفوذ
• علاقه‌مند به R&D در حوزه حملات پیشرفته و تحلیل آسیب‌پذیری‌ها

تحصیلات:

• مدرک کارشناسی ارشد در رشته‌های علوم کامپیوتر، امنیت سایبری یا رشته‌های مرتبط
• گواهینامه‌های معتبر امنیتی مانند CISSP، CISM و CCSP نیز می‌توانند مفید باشند.