Information security specialist / penetration tester
Mar*** ***** (XX Anni)
Security Consultant / Penetration Tester a Business-e S.p.A.
Università degli studi di Roma "Tor Vergata", Roma (Italia)
Roma,
Lazio
|
Esperienza
Security Consultant / Penetration Tester
Business-e S.p.A.
feb 2013
-
Attualmente
Cyber Security Consultant: Gestione degli apparati di sicurezza per primaria Azienda italiana: ▫ Gestione progetti di security ▫ Gestione apparati di sicurezza (Authentication Server, Log Manager, Firewall, NAC, SIEM, ...) ▫ Analisi del traffico e dei log di sistema, installazione, configurazione SIEM (Novell Sentinel) ▫ Analisi Log e gestione Firewall, Application Control e URL Filtering (Check Point) ▫ Event log management per attività di security e compliance (InTrust) ▫ Real-time audit, alert e report per Active Directory/Exchange/SharePoint (ChangeAuditor) ▫ Gestione tramite McAfee ePolicy Orchestrator di sistemi e policy riguardanti l'Application and Change Control (SolidCore) ▫ Classificazione, security checks, verifica della compliance ed enforce delle policy degli apparati presenti in rete, gestione e configurazione ForeScout CounterACT ▫ Gestione, configurazione ed enforce delle policy riguardanti Anti-Malware, Personal Firewall, Application Control, Compliance Check (Check Point Endpoint Security) ▪ Attività di Ethical Hacking (Penetration Test, Vulnerability Assessment) per importanti Clienti su territorio nazionale: ▫ Penetration Test e Vulnerability Assessment sulle componenti di un'architettura three-tier delle web application (Web Server: Apache, Microsoft IIS, ...; Application Server: JBoss, Tomcat, ...; Database: Oracle, MySQL, MSSQL, PostgreSQL, ...) e sui sistemi operativi più diffusi in ambito aziendale (RHEL, Windows Server, sistemi UNIX-like); ▫ Decifratura traffico SSL tramite certificati, exploiting, privilege escalation e command injection, utilizzo avanzato dei payload di Metasploit (encoding, upload manuale del Meterpreter), analisi del codice ▫ Password guessing su ambienti Microsoft e Linux (JTR, Rainbow Tables) ▫ Ricerca di vulnerabilità note e successivo sfruttamento tramite tool (Metasploit, Sqlmap, Burp Suite) o manualmente (scripting bash/Java/Python, testing manuale delle principali vulnerabilità della Owasp TOP10) ▫ Ricerca e sfruttamento di Cross Site Scripting e Cross Site Request Forgery, SQL Injection, Command Injection, Remote File Upload; analisi della gestione di cookie (lato client, lato server) e delle informazioni in essi contenute ▫ Verifica della conformità dei sistemi testati nei confronti delle normative cogenti (D.Lgs. 196/03, provvedimento del 27 Novembre 2008 del Garante della Privacy sugli Amministratori di Sistema) ▫ Valutazione di conformità a standard internazionali (ISO, BS) per le infrastrutture testate Attività di Analisi dei Rischi, Gap Analysis ▪ Supporto al Cliente per attività di Analisi del Rischio ▪ Definizione ed Implementazione di Sistemi di Gestione della Continuità (BCMS), Business Impact Analysis, stesura Business Continuity Plan, Business Continuity Management System ▪ Definizione di policy e procedure di sicurezza ▪ Assessment GDPR (General Data Protection Regulation - Regolamento UE 2016/679) Certificazione Lead Auditor ISO/IEC 27001:2013 conseguita a Aprile 2015 ▪ Certificazione Lead Auditor ISO 22301 conseguita a Febbraio 2016 ▪ Ottima conoscenza delle principali componenti del Security Gateway Check Point (Firewall, Application Control/URL Filtering, IPS, Anti-Bot, Compliance, ...) ▪ Ottima conoscenza delle applicazioni che compongono la SmartConsole Check Point (SmartDashboard, SmartEvent, SmartLog, SmartView Tracker, ...) ▪ Ottima conoscenza di Check Point Endpoint Policy Management Software Blade, ForeScout CounterACT ▪ ForeScout CounterACT ▪ Buona conoscenza SolidCore, InTrust, ChangeAuditor
Formazione
Laurea Magistrale in Ingegneria delle Telecomunicazioni
Università degli studi di Roma "Tor Vergata", Roma (Italia)
feb 2008
-
apr 2011
Titolo della tesi: Applicazione di tecniche di "Secure Multi-Party Computation" a problematiche di monitoraggio di rete: algoritmi e protocolli. Votazione finale 105/110
Lingue
Italiano - Madelingua
Inglese - Avanzato
Curriculum simili