Gerente Em Pentest - Manager 2

Principais Responsabilidades:

-

Planejar, executar e liderar pentests de alta complexidade, com abordagem manual e exploratória.

-

Definir metodologia, escopo, premissas e critérios de sucesso; gerir riscos e comunicação com stakeholders.

-

Explorar vulnerabilidades (privesc, pivots, AD attacks, cloud misconfig, web vulns) e comprovar impacto de negócio.

-

Produzir relatórios executivos e técnicos (evidências, PoCs, priorização por CVSS / risco).

-

Mapear TTPs a MITRE ATT&CK e propor controles de mitigação e hardening.

-

Conduzir exercícios Purple Team com Blue Team (detecção, contenção, lições aprendidas).

-

Mentorar analistas, revisar entregáveis, padronizar playbooks e boas práticas. Requisitos técnicos (obrigatórios)

-

Sólida experiência (5–8+ anos) em Pentest e exploração manual (web/infra/Mobile/AD/cloud).

-

Proficiência em: Burp Suite, Nmap, Metasploit, entre outros.

-

AD: enumeração, abuso de ACLs, Kerberoasting/AS-REP, privesc, movimento lateral, persistência.

-

Web/API: OWASP Top 10, auth flows (OAuth/OIDC), SSRF, deserialização, IDOR, race conditions.

-

Cloud: exploração de misconfigs (AWS/Azure/GCP) e IAM abuses (desejável).

-

Scripting para automação/PoCs: Python e Bash (PowerShell desejável).

-

Conhecimento de CVSS, MITRE ATT&CK, e prática de reporting de alto nível.

Soft skills esperadas:

-

Liderança técnica e comunicação executiva

-

Capacidade de priorização por risco de negócio e negociação de prazos/escopo.

-

Pensamento crítico, curiosidade técnica, autonomia e postura colaborativa.

Diferenciais / desejáveis:

-

Experiência em Threat Emulation e bypass de EDR/EDR evasion.

-

Integração com SIEM/EDR/SOAR em exercícios Purple Team.

-

Desenvolvimento de scripts/ferramentas próprias (ofensivas).

-

Certificações: OSCP, OSEP, CRTO, GXPN, PNPT, eCPPT (ou equivalentes).

-

Conhecimento em SDLC seguro (SAST/DAST/IAST) e revisão de design.

Formação Acadêmica:

Graduação em tecnologia (Ciência da Computação, Sistemas de Informação ou Defesa Cibernética), afins.