1、设计并实现面向Windows平台的终端检测策略,覆盖恶意进程注入、内存加载、EDR绕过、行为混淆等典型攻击技术;
2、基于行为、内存、注册表、文件等多维数据建模,实现对高阶威胁的高精准度识别与拦截;
3、深入研究国内外典型黑产与APT组织的攻击链、TTPs与工具集,结合样本溯源、沙箱分析、行为分析等手段,构建针对性检测/阻断策略;
4、复现并分析主流与自研EDR产品的致盲、绕过、Patch等对抗技术,参与终端安全相关告警的分析、事件响应与复盘,熟悉通用攻击模型转化为检测策略;
5、推动终端检测策略与云端规则的协同联动,实现端到端的策略闭环,与威胁情报、溯源、安全运营等团队协同作战,持续提升检测与对抗能力。
职位要求
1、熟悉Windows操作系统内核机制,如进程调度、内存管理、权限维持、文件系统、注册表、驱动加载、凭据管理等;
2、精通常见攻击技术:进程注入、内存加载、EDR绕过手段等,具备终端行为日志分析能力,能从海量事件中提取异常行为并建模;
3、有红蓝对抗、安全研究、EDR产品研发或终端安全运营经验;
4、熟悉主流黑产及APT攻击者的技术与工具链(TTPs);
5、具备独立完成样本分析、攻击链还原与检测策略实现的能力。
加分项:
1、熟悉Sysmon、ETW、YARA、Sigma、驱动采集等安全工具或检测框架者优先;
2、有实际开发终端检测/响应产品(如EDR检测模块)经验者优先;
3、具备病毒分析经验,熟悉常见黑客工具框架优先;
4、安全社区、CTF活跃参与者优先;
5、良好的英文技术阅读能力,能够跟进国际安全报告、技术博客与白皮书者优先。
字节跳动成立于2012年3月,公司使命为“Inspire Creativity, Enrich Life(激发创造,丰富生活)”。公司业务覆盖150个国家和地区,拥有15万名员工。
字节跳动在全球推出了多款有影响力的产品,包括今日头条、抖音、西瓜视频、飞书、Lark、PICO、剪映、TikTok等。截至2021年6月,字节跳动旗下产品全球月活跃用户数超过19亿。