قناصة الثغرات الأمنية: فرصة ذهبية بالقطاع المصرفي (مختبر اختراق – Pen-Tester Officer)

نداء لكل محترفي الأمن السيبراني والـ (Ethical Hackers)! يعلن القطاع المصرفي عن فتح باب التقديم لوظيفة “مختبر اختراق” (Penetration Tester Officer) للانضمام لفرق حماية البنية التحتية والتطبيقات. هذا الدور يضعك في خط المواجهة الأول كمهاجم أخلاقي؛ مهمتك هي التفكير كـ “هاكر”، واكتشاف الثغرات في الأنظمة المعقدة وتطبيقات الويب قبل أن يستغلها المخترقون الحقيقيون.

المهام والمسؤوليات الوظيفية

• الاختراق العملي (Hands-on Testing): تنفيذ عمليات اختراق وتقييم ثغرات (Vulnerability Assessment) لتطبيقات الويب، الشبكات، والبنية التحتية المعقدة بشكل يدوي ومؤتمت.
• إدارة وتطوير الاختبارات: تطوير وصيانة خطط اختبار أمنية مستمرة، وأتمتة (Automate) اختبارات الأمان على تطبيقات الويب لاكتشاف أي عيوب برمجية أو أخطاء في الإعدادات.
• التقارير والمقاييس: كتابة تقارير اختراق واضحة ودقيقة (Action-based reports) توضح الثغرات والمخاطر، وتطوير مقاييس أداء (Metrics) تعكس الحالة الأمنية الحقيقية للبنك لدعم قرارات الإدارة.
• الاستشارات والدعم: العمل كمستشار للمطورين (Developers) ومديري الأنظمة (System Administrators) لشرح التهديدات المكتشفة، وتقديم خطط العلاج (Remediation plans) لسد هذه الثغرات.
• البحث والتطوير: إجراء أبحاث لاكتشاف ثغرات في البرمجيات والأجهزة الخاصة بالبنك، مع المتابعة اللحظية لأحدث التهديدات الأمنية العالمية والمحلية.

المؤهلات والشروط المطلوبة

• الخلفية الأكاديمية: بكالوريوس في (تكنولوجيا المعلومات IT، علوم الحاسب، أو أي مجال تقني ذي صلة).
• الخبرة المهنية: خبرة عملية تتراوح بين (1 إلى 3 سنوات) في دور مشابه. (امتلاك خبرة سابقة في القطاع المصرفي يعتبر ميزة تنافسية كبرى).
• المعرفة التقنية (Technical Skills):
  • معرفة عملية وشاملة بمعايير (OWASP) لأمن تطبيقات الويب.
  • فهم جيد للغات البرمجة (Codes languages) والقدرة على تعديل وتجميع أكواد الاستغلال (Exploit codes).
• الشهادات المهنية: الحصول على شهادات احترافية قوية مثل (CEH) أو (OSCP).
• المهارات الشخصية: إجادة تامة للغتين العربية والإنجليزية، مهارات تواصل فائقة (لشرح الثغرات التقنية المعقدة للإدارة)، وتنظيم وتخطيط ممتاز.

زاوية إيجينكس (Egyincs) لتشريح الوظيفة

مجال الأمن السيبراني لا يعتمد على التنظير. إدارة السيرفرات والمواقع وتطبيقات الويب بتعلمنا دائماً بالطريقة الصعبة أن أي ثغرة بسيطة أو إضافة غير محدثة قد تدمر مجهود شهور (مثل التعرض لهجمات المالوير الخبيثة أو الحقن العشوائي للكلمات المفتاحية بلغات أجنبية لتدمير الـ SEO). البنك هنا لا يبحث عن شخص يستخدم برامج فحص جاهزة فقط، بل يبحث عن شخص يفهم لغات البرمجة (مثل PHP و Laravel وغيرها) ليتمكن من قراءة الكود، وتعديل أدوات الاستغلال (Exploits) بنفسه. شهادة (OSCP) المذكورة في الإعلان هي شهادة مرعبة وعملية بنسبة 100%، ووجودها يثبت أنك تستطيع اختراق الأنظمة تحت ضغط الوقت.

كبسولة إيجينكس لاجتياز المقابلة (Pen-Tester Hack)

المحاور في البنوك يبحث عن المختبر الذي يحمي النظام ولا يتسبب في إيقافه أثناء الفحص (Availability vs. Exploitation).

سؤال متوقع: (أثناء قيامك باختبار اختراق (Pen-Testing) لتطبيق بنكي حي (Production)، اكتشفت ثغرة خطيرة جداً من نوع (SQL Injection) تسمح لك بالوصول لقاعدة بيانات العملاء.. ماذا ستفعل كخطوة تالية فوراً؟ هل ستقوم باستغلال الثغرة بالكامل وسحب البيانات لإثبات خطورتها في التقرير؟)

الإجابة القياسية: (في البيئة البنكية، ضمان استمرارية الخدمة (Availability) لا يقل أهمية عن اكتشاف الثغرة. أولاً: لن أقوم أبداً باستغلال الثغرة لسحب أو تدمير البيانات الفعلية (No Data Exfiltration or Dropping tables) لأن ذلك قد يعطل النظام أو ينتهك الخصوصية. ثانياً: سأكتفي بإثبات المبدأ (Proof of Concept – PoC) عبر قراءة بيانات غير حساسة كإصدار قاعدة البيانات أو اسم المستخدم الحالي (User/Version). ثالثاً: سأقوم بإيقاف الفحص على هذا الجزء فوراً، وأصعد الأمر بشكل عاجل لمدير أمن المعلومات والمطورين بخطة علاجية فورية (Remediation) قبل حتى إصدار التقرير النهائي، لأن ترك ثغرة حرجة كهذه انتظاراً للتقرير الروتيني يشكل خطراً جسيماً).