资产暴露面管理工程师

负责公司内部全资产漏洞的全生命周期管理，包括漏洞发现、分级、上报、修复跟踪、验证闭环及归档，建立完善的漏洞管理体系；
开展企业网络安全暴露面梳理工作，识别内部可被外部访问的资产、端口、服务及潜在漏洞，形成暴露面清单，评估暴露面风险；
制定漏洞管理及暴露面管控策略、流程及考核标准，推动业务团队、技术团队落实漏洞修复及暴露面收敛工作；
跟踪国内外漏洞情报及行业动态，及时同步高危漏洞信息，组织开展紧急漏洞排查及应急修复工作，防范零日漏洞风险；
优化漏洞管理工具及暴露面监测工具的使用，推动漏洞管理自动化、智能化，提升漏洞处置效率及暴露面管控水平；
定期编制漏洞管理报告、暴露面分析报告，汇总漏洞修复率、暴露面收敛情况等数据，向团队及相关负责人汇报工作成效。
资格要求：
1.至少2年漏洞管理、暴露面管理相关工作经验，有企业内部安全资产管理、漏洞闭环管理经验者优先；
2.熟悉漏洞管理流程及标准，掌握漏洞分级、修复优先级判定方法，能高效推进漏洞全生命周期管理；
3.熟练使用漏洞扫描工具、资产探测工具、暴露面监测工具（如Nessus、AWVS、Shodan、FOFA等），能独立完成资产梳理、漏洞排查及暴露面分析；
4.熟悉网络拓扑、资产分类方法，了解各类系统（Windows、Linux）、应用、设备的暴露面特点，能识别潜在暴露风险；
5.了解ATT&CK攻击模型及常见攻击路径，能结合暴露面情况分析潜在攻击风险，制定针对性管控措施；
6.具备良好的沟通协调能力、项目推进能力，能推动各团队落实漏洞修复及暴露面收敛工作，具备一定的流程优化能力；
7.具备CISP、CISP-PTE、CISAW、OSCP、CEH等相关证书，有资产梳理、暴露面收敛相关项目经验者优先。