Cyber Security Operation Center Detection Engineer

Scopo e attività

Cerchiamo una risorsa senior, con almeno 5 anni di esperienza su compiti di identificazione e rilevazione di minacce, attacchi e incidenti cyber, in grado di lavorare in team operativi eterogenei con il compito di massimizzare le capacità di rilevazione e difesa. Il/la candidato/a selezionato/a avrà la possibilità di operare a stretto contatto con professionalità e figure competenti in un contesto internazionale, dinamico, ambizioso e in forte crescita. Il/la candidato/a dovrà supportare il team nelle attività di: • Individuazione delle minacce cyber più imminenti e attinenti rispetto al contesto operativo internazionale del Gruppo Intesa Sanpaolo; • Analisi e conoscenza della natura e del potenziale impatto delle minacce, nonché delle modalità di attacco e di frode adottate dai threat actor che operano nel settore finanziario e nel contesto operativo internazionale del Gruppo Intesa Sanpaolo; • Definizione di casistiche di minaccia, attacco e frode per le quali sviluppare, mantenere e ottimizzare le regole di correlazione e i meccanismi di monitoraggio, controllo, segnalazione e allarme; • Configurazione efficace delle piattaforme e delle soluzioni secondo le esigenze di rilevazione, identificazione, attribuzione e segnalazione, con l'obiettivo di attuare processi rapidi ed efficaci di rilevazione, triage e gestione degli eventi; • Adozione di tutte le fonti di dati, informazioni e intelligence necessarie a garantire il massimo arricchimento possibile di casi, segnalazioni e allarmi, a beneficio di tutte le funzioni coinvolte nei processi di rilevazione e risposta agli eventi cyber; • Verifica e manutenzione dei meccanismi di raccolta, centralizzazione, convalida, sanificazione, selezione, elaborazione, correlazione e analisi dei dati sorgenti prodotti dai sistemi target e da apparati e soluzioni di sicurezza; • Ottimizzazione delle capacità di rilevazione, identificazione, analisi, arricchimento e attribuzione mediante l'adozione di linguaggi di interrogazione di basi dati, scripting e programmazione, elaborazione e attuazione di regole algoritmiche e sistemi complessi di analisi dei dati; • Configuration management, change management, problem solving e troubleshooting. 

Esperienza richiesta

Ha maturato 3-5 anni di esperienza in ambito cybersecurity con compiti di analisi, approfondimento e rilevazione di minacce, attacchi, incidenti cyber e schemi di frode applicabili al contesto operativo di un gruppo bancario internazionale. 

Qualifiche richieste, Skills e Competenze

La persona che stiamo cercando:

• Conosce le principali minacce e casistiche di attacco del contesto bancario-finanziario ed è in grado di individuarne le relative misure di identificazione, correlazione e arricchimento per agevolare al massimo i processi di incident response; • Ha maturato una conoscenza comprovata delle più diffuse tecniche di attacco e delle modalità di violazione di sistemi informatici, intrusione in reti di telecomunicazione e sfruttamento di vettori di attacco (malware, ransomware, wiper, phishing, APT, ecc.);

• Conosce il funzionamento di sistemi di sicurezza (firewall, IPS, IDS, ecc.), sistemi operativi (Windows, Linux, Unix, ecc.), sistemi di comunicazione (Web, e-mail, IM, ecc.), protocolli di rete (TCP/IP, UDP, DNS, ecc.), diverse basi dati e linguaggi di programmazione e scripting (es. Python e API);

• Conosce i principi di base della cybersecurity e ha maturato competenza in materia di difesa in profondità, segregazione di rete, sistemi di identificazione e controllo degli accessi, sistemi di strong e multifactor authentication, sistemi di accesso remoto, ecc.; • Ha dimestichezza nell'uso di framework analitici come Cyber Kill Chain, Diamond Model e MITRE ATT&CK;

• Possiede una competenza comprovata nella definizione e nell'attuazione di processi efficaci e snelli per la segnalazione tempestiva di eventi e allarmi, e per l'escalation in caso di gravi minacce imminenti ed eventi ad alto impatto;

• Conosce l'ubicazione dei dati realmente significativi in sistemi operativi e dispositivi di rete e sicurezza, e adotta misure di selezione, sanificazione e formattazione dei dati per garantire che solo i dati strettamente necessari vengano raccolti e utilizzati per le analisi e la correlazione;

• Ha dimestichezza con fonti e sistemi di raccolta di log, eventi, dati e pacchetti di rete che siano funzionali per attività di monitoraggio, rilevazione e segnalazione;

• Possiede una visione prospettica e lungimirante in materia di scelte strategiche, selezione di dati e fonti di informazione, definizione di meccanismi e algoritmi di correlazione e arricchimento, con l'obiettivo di garantire la massima efficacia di rilevazione nel tempo in considerazione dell'evoluzione dello scenario di minaccia e attacco applicabile al contesto operativo internazionale del settore bancario-finanziario;

• Possiede capacità relazionali e di comunicazione che gli consentono di instaurare rapporti proficui e agevoli con i colleghi e con altre funzioni di cybersecurity e ICT, con una conoscenza avanzata della lingua inglese.

Costituisce titolo preferenziale il conseguimento della seguente certificazione: GIAC Certified Detection Analyst (GCDA).