- Kiểm thử Xâm nhập (Penetration Testing): Trực tiếp thực hiện kiểm thử xâm nhập (Blackbox/Graybox) định kỳ và theo các đợt phát hành dự án cho đa nền tảng: Web App, Mobile App (iOS/Android), API, và Winform.
- Quản lý Lỗ hổng (Vulnerability Management): Vận hành công tác dò tìm lỗ hổng (VA) hàng ngày. Phân tích report, phân loại mức độ rủi ro, cập nhật lỗ hổng trên hệ thống nội bộ và lên phương án đốc thúc các team liên quan xử lý triệt để.
- Gia cố Hệ thống (Hardening): Rà soát cấu hình an ninh, thực hiện đánh giá Hardening cho hàng loạt hệ thống máy chủ (Windows Server, Linux), cơ sở dữ liệu (SQL), thiết bị mạng, lưu trữ và các giải pháp quản lý đặc quyền (PAM).
- Hỗ trợ Tuân thủ: Cung cấp các bằng chứng kỹ thuật (Technical evidences), log rà quét lỗ hổng để hỗ trợ tổ chức duy trì chứng chỉ PCI DSS và SWIFT-CSP.
- Ban hành Tiêu chuẩn: Chủ động nghiên cứu, chuẩn hóa và định kỳ nâng cấp các Quy định/Quy trình đánh giá bảo mật, áp dụng các tiêu chuẩn quốc tế (OWASP, NIST) vào thực tiễn ngân hàng.
- Đào tạo & Nhận thức (Security Awareness): Thiết kế tài liệu, lên kịch bản và trực tiếp điều phối các chiến dịch đào tạo, giả lập tấn công (Phishing mô phỏng) nhằm nâng cao nhận thức an ninh cho người dùng nội bộ.
- Đánh giá rủi ro cấp cao: Đề xuất, thử nghiệm các giải pháp công nghệ bảo mật mới và tư vấn phương án giảm thiểu rủi ro cho Ban Giám đốc.
- Cùng tham gia Thiết kế Kiến trúc (Security Architecture): Phối hợp chặt chẽ với các trung tâm Phát triển, Kiến trúc và Vận hành để xây dựng, thẩm định kiến trúc bảo mật cho các dự án CNTT mới, đảm bảo an toàn xuyên suốt vòng đời phát triển phần mềm (SDLC/DevSecOps).
Chuyên viên Đánh giá an ninh thông tin (Pentest Engineer)
Ngân Hàng TMCP Sài Gòn - Hà Nội ( SHB )
77 Trần Hưng Đạo - Hoàn Kiếm - Hà Nội
Posted date:
Experience
1 - 0 Years
Job level
Experienced (Non - Manager)
Salary
Job Descriptions
Job Requirement
- Trình độ & Kinh nghiệm:
- Đại học/Sau Đại học chuyên ngành ATTT, CNTT, Mật mã học hoặc các khối ngành liên quan.
- Tối thiểu 1 năm kinh nghiệm kiểm thử xâm nhập chuyên sâu ứng dụng Mobile (iOS/Android).
- Tối thiểu 1 năm kinh nghiệm kiểm thử xâm nhập ứng dụng Web, API, hệ thống máy chủ và thiết bị mạng.
- (Nâng cao nếu có) Có kiến thức/kinh nghiệm thực tế về thiết kế kiến trúc hệ thống CNTT đảm bảo an toàn bảo mật.
- Kiến thức chuyên môn
- Am hiểu sâu về các kỹ thuật tấn công mạng (Hacking), OWASP Top 10 và phương pháp rà quét điểm yếu.
- Hiểu rõ cơ chế hoạt động của hệ thống mạng, bảo mật, máy chủ (Windows/Linux) và cơ sở dữ liệu.
- Thành thạo ít nhất 1 ngôn ngữ lập trình/scripting (Python, Bash, C/C++) để hỗ trợ công tác tự động hóa rà quét.
- Có nền tảng tốt về tư duy lập trình (hiểu mã nguồn PHP, Python, Java, JavaScript...) để có thể review và tư vấn luồng logic an toàn cho Developer.
- (Nâng cao nếu có) Nắm vững kiến trúc mạng, hệ thống máy chủ, Middleware và luồng dữ liệu hệ thống Ngân hàng.
- (Nâng cao nếu có) Am hiểu bộ tiêu chuẩn PCI DSS, SWIFT-CSP và OWASP.
- Kỹ năng:
- Sử dụng điêu luyện các công cụ thu thập thông tin, rà quét và khai thác (Nmap, Burp Suite, Nessus, Metasploit...).
- Tỉ mỉ, kỷ luật cao, không bỏ sót các rủi ro tiềm ẩn (Low/Medium) khi phân tích hàng nghìn dòng cảnh báo.
- Kỹ năng quản trị rủi ro, phân tích và tổng hợp thông tin.
- Kỹ năng giao tiếp, đàm phán và trình bày văn bản chuẩn mực để làm việc liên phòng ban.
- Điểm cộng Ưu tiên (Nice-to-have)
- Sở hữu các chứng chỉ chuyên môn thực chiến: CEH, LPT, GPEN, OSCP hoặc các chứng chỉ tương đương.
- Có thành tích phát hiện và được cấp mã CVE mức trung bình trở lên.
More Information
- Degree: Bachelor
- Age: Unlimited
- Type of employment: Permanent
You should be skill
Apply for:
Your Contact Information
