Qantra تعلن عن وظيفة Embedded Offensive Security Engineer في الرياض
تفاصيل الوظيفة
يبحث فريق Qantra عن مهندس أمن هجومي مضمن (Embedded Offensive Security Engineer) للعمل في الرياض، السعودية. سيكون المهندس المسؤول التقني الرئيسي عن التشغيل اليومي والضبط والاستقرار المستمر لمنصات محاكاة الهجوم وإدارة السطح الخارجي (EASM) المنشورة في بيئة العميل، مع الجمع بين خبرة الأمن الهجومي العميقة وإدارة الأنظمة القوية والقدرة على المعالجة العملية.
المهام والمسؤوليات
- تشغيل ومراقبة وفرز جميع التنبيهات الناتجة عن منصات EASM والاختبارات الآلية للاختراق يومياً.
- جدولة وتنفيذ محاكاة الهجوم الداخلي المعتمدة، بما في ذلك اختبار مسارات هجوم الهوية/Active Directory، سيناريوهات الحركة الجانبية، والتحقق من تقسيم الشبكة.
- الحفاظ على سجلات تدقيق كاملة لجميع أنشطة المحاكاة والقطع الأثرية والوصول إلى النظام بما يتوافق مع متطلبات حوكمة العميل.
- إجراء إعادة الاختبار والتحقق من الانحدار بعد المعالجة، وإنتاج أدلة إغلاق رسمية لكل نتيجة.
- التنسيق مع فرق تقنية المعلومات وDevOps والبنية التحتية ومالكي التطبيقات لدفع المعالجة في الوقت المناسب للثغرات والتكوينات الخاطئة.
- العمل مباشرة مع مالكي الأنظمة والخدمات لتنفيذ التصحيحات وتغييرات التكوين وإجراءات التعزيز الأمني.
- استكشاف وحل فجوات اكتشاف الأصول والإسناد والتغطية التي تؤثر على رؤية المنصة أو دقة التقييم.
- دعم تكوين المنصة وعمليات التكامل (EDR، SIEM، CMDB، ITSM) وأنشطة الضبط حتى الوصول إلى تشغيل مستقر.
- إدارة وتحديث منصة EASM باستمرار، بما في ذلك إدخال مخزون الأصول المعتمد (نطاقات، نطاقات IP، كيانات تابعة، معرفات العلامات التجارية).
- مراقبة وتوصيف الأصول المكشوفة خارجياً، بما في ذلك المنافذ المفتوحة والخدمات المكشوفة والشهادات المنتهية ونقاط ضعف DNS.
- تحديد الأصول غير المعروفة والمهجورة والظلية على السطح الخارجي ودفعها إلى سير عمل المعالجة.
- ربط نتائج EASM بالمنصات المؤسسية لتتبع المعالجة المتكامل.
- إجراء نمذجة التهديدات اليدوية وتحليل مسارات الهجوم لأنظمة الأعمال الحرجة وعالية المخاطر، داعماً اتخاذ القرارات المبنية على المخاطر.
- رسم سيناريوهات الهجوم المنفذة إلى أطر الخصوم المعترف بها، بما في ذلك MITRE ATT&CK، مع توثيق سلسلة الهجوم من البداية إلى النهاية.
- التحقق من فعالية الضوابط الدفاعية عبر WAF وEDR وSIEM وضوابط الهوية مع أدلة زمنية للإخراج.
- ترجمة النتائج التقنية إلى سرديات مخاطر واضحة موجهة للأعمال مناسبة لكبار القيادة والإدارة التنفيذية.
- إنتاج وتقديم تقارير منتظمة عن حالة المنصة ووضع المخاطر والنتائج المفتوحة وتقدم المعالجة إلى رئيس الأمن السيبراني.
- المساهمة في توثيق الجاهزية للتدقيق وحزم الأدلة وتقارير الحوكمة الداخلية.
- تطوير وصيانة كتيبات تشغيلية (runbooks) موثقة بالكامل لجميع قدرات المنصة.
- تقديم جلسات نقل معرفة منظمة لفريق الأمن السيبراني الداخلي للعميل.
- دعم عملية التسليم الرسمية لتمكين فريق العميل من تحقيق العمليات المستقلة والمستقرة.
الشروط والمتطلبات
- خبرة عملية لا تقل عن 4-6 سنوات في الأمن الهجومي، بما في ذلك أدوار اختبار الاختراق أو عمليات الفريق الأحمر أو محاكاة الهجوم.
- خبرة مثبتة في نشر وتشغيل واستكشاف الأخطاء في منصات محاكاة الهجوم أو الاختبار الآلي للاختراق على مستوى المؤسسات (مثل Cymulate، Pentera، Horizon3.ai، AttackIQ، أو ما يعادلها).
- خلفية قوية في إدارة الأنظمة: Windows Server، Active Directory، Linux، والشبكات المؤسسية.
- خبرة عملية في تقنيات مسارات هجوم الهوية وActive Directory: الوصول إلى بيانات الاعتماد، تصعيد الامتيازات، الحركة الجانبية، Kerberoasting، Pass-the-Hash، وما يعادلها.
- معرفة عملية باختبار تقسيم الشبكة والتحقق من evasion EDR ومنطق كشف SIEM.
- خبرة في منصات إدارة السطح الخارجي للهجوم (EASM) ومنهجيات اكتشاف الأصول.
- القدرة على إنتاج تقارير مخاطر واضحة على المستوى التنفيذي من النتائج التقنية المعقدة.
- شهادة CREST حالية (CRT، CCT، أو ما يعادلها) أو OSCP، GPEN، GXPN، أو مؤهل أمن هجومي مماثل.
- الاستعداد والقدرة على العمل في الموقع في الرياض، المملكة العربية السعودية، خمسة أيام في الأسبوع.
- (مرغوب) خبرة سابقة في نموذج الانتداب لدى البائع أو موقع العميل.
- (مرغوب) الإلمام ببيئات المؤسسات في دول مجلس التعاون الخليجي أو المملكة العربية السعودية، والتوقعات التنظيمية (NCA ECC، SAMA CSF)، ومتطلبات سيادة البيانات.
- (مرغوب) خبرة في بيئات مؤسسات واسعة النطاق في قطاعات مثل السلع الاستهلاكية سريعة الحركة أو إنتاج الغذاء أو الخدمات اللوجستية أو البنية التحتية الحيوية الوطنية.
- (مرغوب) معرفة بأطر MITRE ATT&CK، TIBER-EU، أو CBEST للفريق الأحمر.
- (مرغوب) مهارات في اللغة العربية (إجادة مهنية أو أعلى).
- (مرغوب) خبرة في دمج منصات الأمان مع CMDB، SIEM (مثل Splunk، Microsoft Sentinel)، EDR (مثل CrowdStrike، Microsoft Defender)، وITSM (مثل ServiceNow).
عرض النص الأصلي للإعلان
The Embedded Offensive Security Engineer will serve as the primary technical resource responsible for the day-to-day operation, tuning, and ongoing stabilisation of the attack simulation and EASM platforms deployed within the Client environment. The role combines deep offensive security expertise with strong systems administration and hands-on remediation capability.
This individual will act as the technical bridge between the vendor platform, the Client internal cyber security team, and cross-functional stakeholders including IT, infrastructure, DevOps, and application owners.
3. Key Responsibilities
3.1 Platform Operations and Alert Management
- Operate, monitor, and triage all alerts generated by the EASM and automated penetration testing platforms on a daily basis.
- Schedule and execute approved internal attack simulations, including identity/Active Directory attack-path testing, lateral movement scenarios, and network segmentation validation.
- Maintain full audit logs of all simulation activity, generated artefacts, and system access in line with Client governance requirements.
- Conduct retesting and regression validation following remediation, producing formal closure evidence for each finding.
3.2 Remediation Leadership and Hands-On Hardening
- Coordinate with IT, DevOps, infrastructure, and application owners to drive timely remediation of identified vulnerabilities and misconfigurations.
- Work directly with system and service owners to implement patches, configuration changes, and security hardening measures.
- Troubleshoot and resolve asset discovery, attribution, and coverage gaps impacting platform visibility or assessment accuracy.
- Support platform configuration, integrations (EDR, SIEM, CMDB, ITSM), and tuning activities until stable operations are achieved.
3.3 External Attack Surface Management
- Manage and continuously refine the EASM platform, including onboarding of approved asset inventories (domains, IP ranges, subsidiary entities, brand identifiers).
- Monitor and profile externally exposed assets, including open ports, exposed services, expiring certificates, and DNS weaknesses.
- Identify unknown, orphaned, and shadow IT assets on the external attack surface and drive their inclusion in remediation workflows.
- Correlate EASM findings with enterprise platforms for integrated remediation tracking.
3.4 Threat Modelling and Attack-Path Analysis
- Conduct manual threat modelling and attack-path analysis for critical and high-risk business systems, supporting informed risk-based decision-making.
- Map executed attack scenarios to recognised adversary frameworks, including MITRE ATT&CK, with end-to-end attack-chain documentation.
- Validate defensive control effectiveness across WAF, EDR, SIEM, and identity controls with timestamped evidence outputs.
3.5 Executive and Management Reporting
- Translate technical findings into clear, business-focused risk narratives suitable for senior leadership and executive management at Client.
- Produce and present regular reports on platform status, risk posture, open findings, and remediation progress to the Head of Cyber Security.
- Contribute to audit readiness documentation, evidence packs, and internal governance reporting.
3.6 Knowledge Transfer and Runbook Development
- Develop and maintain fully documented operational runbooks for all platform capabilities.
- Deliver structured knowledge transfer sessions to Client's internal Cyber Security team.
- Support the formal handover process to enable the Client team to achieve independent, steady-state operations.
4. Required Qualifications and Experience
4.1 Essential
- Minimum 4-6 years of hands-on offensive security experience, including penetration testing, red team operations, or attack simulation roles.
- Demonstrable experience deploying, operating, and troubleshooting enterprise-grade attack simulation or automated penetration testing platforms (e.g., Cymulate, Pentera, Horizon3.ai, AttackIQ, or equivalent).
- Strong background in systems administration: Windows Server, Active Directory, Linux, and enterprise networking.
- Hands-on experience with identity and AD attack-path techniques: credential access, privilege escalation, lateral movement, Kerberoasting, Pass-the-Hash, and equivalent.
- Practical knowledge of network segmentation testing, EDR evasion validation, and SIEM detection logic.
- Experience with External Attack Surface Management platforms and asset discovery methodologies.
- Ability to produce clear, executive-level risk reporting from complex technical findings.
- Current CREST certification (CRT, CCT, or equivalent) OR OSCP, GPEN, GXPN, or equivalent offensive security qualification.
- Willingness and ability to work on-site in Riyadh, KSA, five days per week.
4.2 Highly Desirable
- Prior experience in a vendor-embedded or client-site secondment model.
- Familiarity with GCC or KSA enterprise environments, regulatory expectations (NCA ECC, SAMA CSF), and data sovereignty requirements.
- Experience with large-scale enterprise environments in sectors such as FMCG, food production, logistics, or critical national infrastructure.
- Knowledge of MITRE ATT&CK, TIBER-EU, or CBEST red team frameworks.
- Arabic language skills (professional working proficiency or above).
- Experience with integration of security platforms into CMDB, SIEM (e.g., Splunk, Microsoft Sentinel), EDR (e.g., CrowdStrike, Microsoft Defender), and ITSM (e.g., ServiceNow).