Ali Yazdani

Leitender Ingenieur für Produktsicherheit

Avatar placeholder
Berlin, Deutschland

Erfahrungen

Juli 2024 - Dez. 2024
6 Monaten

Leitender Ingenieur für Produktsicherheit

Payrails GmbH

  • Umfassendes Sicherheits-Roadmap definiert und umgesetzt: Shift-Left Security, CNAPP und DevSecOps-Prinzipien integriert, um eine sichere Produktentwicklung zu optimieren und das Risikopotenzial zu senken.
  • Ein robustes Threat-Modeling-Framework etabliert: Sicherheit in Designprozesse eingebettet, um Schwachstellen frühzeitig zu erkennen und Risiken zu minimieren.
  • Ein skalierbares Schwachstellenmanagement-Programm entwickelt: Erkennung und Behebung neuer Schwachstellen beschleunigt und den Reaktionszyklus deutlich verkürzt.
  • Cloud- und Container-Sicherheit verbessert: Einsatz fortschrittlicher Tools wie Tetragon für tiefere Einblicke und Umsetzung einer Defense-in-Depth-Strategie.
  • Sicherheitskontrollen in CI/CD-Pipelines automatisiert: Sicherheitsmaßnahmen in den Entwicklungszyklus integriert, um eine kontinuierliche Auslieferung mit zuverlässigen Schutzmechanismen aufrechtzuerhalten.
  • Funktionsübergreifende Zusammenarbeit vorangetrieben: Mit Entwicklungs- und Infrastrukturteams zusammengearbeitet, um Bedrohungen zu priorisieren und Abhilfemaßnahmen abzustimmen, und so eine einheitliche Sicherheitskultur geschaffen.
  • Einhaltung von Vorschriften und Auditfähigkeit sichergestellt: Enge Zusammenarbeit mit dem InfoSec-Team, um interne Richtlinien einzuhalten und Audits nach Standards wie PCI-DSS und SOC2 erfolgreich zu unterstützen.
Aug. 2022 - Juni 2024
1 Jahr 11 Monaten

Leitender Sicherheitsingenieur

ScoutBee GmbH

  • Sichere Entwicklungspraktiken verankert: Mit Entwicklungsteams zusammengearbeitet, sichere Coding-Praktiken eingeführt und robuste CI/CD-Leitplanken etabliert, um die Einhaltung der sich weiterentwickelnden Sicherheitsziele sicherzustellen.
  • Cloud-Sicherheitslage verbessert: Mit Infrastruktur- und SRE-Teams zusammengearbeitet, um Schwachstellen und Fehlkonfigurationen zu identifizieren; Infrastructure-as-Code-Scanning, Cloud-Native Application Protection Platforms (CNAPP) und Policy-as-Code eingeführt und so Cloud-Sicherheit und operative Transparenz deutlich gesteigert.
  • Fortgeschrittene Schulungen zur Bedrohungsabwehr durchgeführt: Threat-Modeling- und Secure-Coding-Workshops geleitet, Teams befähigt, Risiken während Design und Entwicklung proaktiv zu erkennen und zu mindern, und damit eine Shift-Left-Sicherheitsmentalität gestärkt.
  • Umfassende Sicherheitskontrollen integriert: SAST, Software Composition Analysis (SCA), IaC-Sicherheits-Scanning, Policy-as-Code und DAST in CI/CD-Pipelines von vier Schlüsselprojekten eingeführt, wodurch Behebungskosten und Durchlaufzeiten reduziert wurden.
  • IAM/PAM und Zero Trust implementiert: Lösung für Identity- und Access-Management (IAM) sowie Privileged Access Management (PAM) entworfen und eingeführt, um Least-Privilege-Zugriff über die Infrastruktur sicherzustellen. Zero-Trust-Architektur integriert durch Just-in-Time-Zugriff (JIT), rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA) und kontinuierliches Zugriffsmonitoring zum Schutz des Infrastrukturzugriffs.
  • Design-Schwachstellen reduziert: Gezielte Threat-Modeling-Übungen geleitet, die potenzielle Software-Schwachstellen vor der Entwicklung verringert haben.
  • Schwachstellenmanagement optimiert: Penetrationstests und Schwachstellenmanagementprogramme in Zusammenarbeit mit Entwicklungs- und Betriebsteams geleitet, was die Zeit bis zur Behebung verkürzt und die Produktsicherheit insgesamt verbessert hat.
  • DevSecOps-Kultur gefördert: Shift-Left-Strategien im gesamten Softwareentwicklungszyklus (SDLC) vorangetrieben, um Bedrohungen früh zu erkennen und zu beheben und Sicherheitsrisiken zu reduzieren.
  • Einhaltung von Vorschriften sichergestellt: Umfassende Sicherheitsbewertungen und Audits für Anwendungen und Infrastruktur durchgeführt und so strikte Einhaltung von Standards wie ISO 27001, TISAX, SOC 2 und DSGVO gewährleistet.
Feb. 2022 - Juli 2022
6 Monaten

Staff-Sicherheitsingenieur

NewStrore GmbH

  • Umfassende Strategien für Anwendungs- und API-Sicherheit entwickelt und implementiert, sichere Coding-Praktiken sowie robuste Authentifizierungs- und Autorisierungsmechanismen integriert.
  • Maßgeschneiderte Sicherheitskontrollen für Cloud-Infrastrukturen entworfen und implementiert, um die Sicherheitslage in AWS-Umgebungen und Kubernetes-Deployments zu stärken.
  • Umfangreiche Penetrationstests und Schwachstellenmanagement-Initiativen geleitet, um Sicherheitslücken in Anwendungen, APIs und unterstützender Infrastruktur proaktiv zu identifizieren und zu beheben.
  • Umfassende Sicherheitsbewertungen und Audits durchgeführt, um kontinuierliche Einhaltung von Industriestandards und gesetzlichen Vorgaben wie ISO 27001, SOC 2 und DSGVO sicherzustellen.
Sept. 2021 - Feb. 2022
6 Monaten

Leitender DevSecOps-Engineer

Henkel AG

  • Fortgeschrittene DevSecOps-Technologien in CI/CD-Pipelines integriert, um Anwendungs- und Infrastruktursicherheit zu stärken und sicherzustellen, dass neue Services stets den besten Sicherheitspraktiken folgen.
  • Umfassende Threat-Modeling-Sitzungen geleitet, um Sicherheitslücken in Softwarearchitekturen proaktiv aufzudecken, und effektive Gegenmaßnahmen zur Risikominderung entwickelt.
  • Eine Shift-Left-Strategie vorangetrieben, indem mit DevOps-Teams zusammengearbeitet wurde, um Sicherheitskontrollen im gesamten SDLC zu verankern und so eine Kultur der kontinuierlichen Verbesserung und erhöhten Sicherheitsbewusstseins zu fördern.
Juli 2019 - Aug. 2021
2 Jahren 2 Monaten

Senior Sicherheitsingenieur

Raisin GmbH

  • Regelmäßige Schwachstellenanalysen und Penetrationstests durchgeführt, um Sicherheitslücken in Anwendungen, APIs und Infrastruktur aufzudecken und zu beheben.
  • Cloud- und Hybridinfrastruktur-Lösungen auf Azure IaaS und PaaS entworfen und bewertet, um einen robusten Datenschutz und Servicekontinuität sicherzustellen.
  • Bedrohungsmodellierung eingesetzt, um Softwarearchitekturen und Infrastruktur zu bewerten, potenzielle Sicherheitsprobleme zu identifizieren und effektive Gegenmaßnahmen umzusetzen.
  • Umfassende Sicherheitstests und Code Reviews im SDLC durchgeführt, SAST-, SCA- und DAST-Tools in CI/CD-Pipelines integriert, um eine Shift-Left-Sicherheitsstrategie zu unterstützen.
  • Eng mit Entwicklungs-, Betriebs- und Sicherheitsteams zusammengearbeitet, um Sicherheitspraktiken in DevOps-Workflows zu integrieren und eine Kultur der kontinuierlichen Verbesserung und erhöhten Sicherheitsbewusstseins zu fördern.
Dez. 2016 - Bis heute
9 Jahren 1 Monate

Open-Source-Sicherheitsbeiträge

OWASP Foundation

  • Projektleiter: OWASP DevSecOps-Leitfaden – leitete die Entwicklung und Pflege eines umfassenden Leitfadens zur Integration von Sicherheit in DevOps-Praktiken und beeinflusste damit die globale Sicherheitscommunity.
  • Mitwirkender: OWASP Mobile Security Testing Guide (MSTG) – trug zur Erstellung und Verfeinerung eines weithin anerkannten Frameworks für Mobile-App-Sicherheitstests bei.
Nov. 2015 - Apr. 2019
3 Jahren 6 Monaten

Technischer Leiter Red Team

MTN Irancell

  • Führte Schwachstellenbewertungen und Penetrationstests durch, um Sicherheitslücken in Netzwerken, Anwendungen und Systemen aufzudecken und zu beheben.
  • Überprüfte Service-Architekturen und erstellte umfangreiche Bedrohungsanalysen für kritische Dienste, entwarf wirksame Gegenmaßnahmen zum Schutz von Daten und Diensten.
  • Entwickelte und erzwang umfassende Sicherheits-Checklisten für neue und bestehende IT-Infrastrukturen, um die Einhaltung gesetzlicher und branchenspezifischer Standards sicherzustellen.
  • Entwickelte Sicherheitstools und Automatisierungsskripte, die Sicherheitsprozesse optimierten und die Betriebseffizienz steigerten.
  • Trug zur Erstellung und Umsetzung von Sicherheitsrichtlinien, -verfahren und -standards bei, die sich an den besten Branchenpraktiken orientieren und so die Sicherheitslage des Unternehmens insgesamt stärkten.
März 2010 - Dez. 2018
8 Jahren 10 Monaten

Penetrationstester

Freelancer

  • Führte umfassende Penetrationstests von Webanwendungen mit Tools wie Burp Suite, OWASP ZAP und Nmap durch, um Schwachstellen wie XSS, SQL-Injection und unsichere Authentifizierung zu identifizieren.
  • Führte umfangreiche Tests von mobilen Anwendungen für iOS- und Android-Plattformen mit MobSF, APK Analyzer und Frida durch und deckte Probleme wie unsichere Datenspeicherung, fehlerhafte Authentifizierung und schwache Verschlüsselung auf.
  • Erstellte ausführliche Schwachstellenberichte mit detaillierten Risikobewertungen und klaren Empfehlungen zur Behebung und kommunizierte die Ergebnisse effektiv an technische und Management-Teams.

Zusammenfassung

Erfahrener Sicherheitsingenieur mit über 10 Jahren Erfahrung in den Bereichen Telekommunikation, FinTech, Einzelhandel und SaaS. Ich integriere robuste Sicherheitspraktiken in die Softwareentwicklung durch DevSecOps, Bedrohungsmodellierung, Penetrationstests und Schwachstellenmanagement – und schließe damit die Lücke zwischen technischen und fachlichen Teams. Als Leiter des OWASP-DevSecOps-Guideline-Projekts und regelmäßiger Branchenredner treibe ich sichere und kosteneffiziente Innovationen voran und fördere eine Kultur proaktiver Anwendungssicherheit.

Sprachen

Persisch
Muttersprache
Englisch
Verhandlungssicher

Ausbildung

Okt. 2011 - Juni 2013

jdeihe.ac.ir

Bachelor · Softwaretechnik · Iran, Islamische Republik

Okt. 2006 - Juni 2009

jdeihe.ac.ir

Associate-Abschluss · Softwaretechnik · Iran, Islamische Republik

Sie suchen Freelancer?Passende Kandidaten in Sekunden!
FRATCH GPT testen
Weitere Aktionen

Ähnliche Freelancer

Entdecken Sie andere Experten mit ähnlichen Qualifikationen und Erfahrungen.

Maryam Mouzarani
Maryam Mouzarani

KI-Red-Team-Ingenieur

Profil ansehen
Pierre Gronau
Pierre Gronau

Ansible-Automatisierung, Windows Third-Level-Support

Profil ansehen
Alexander Nagy
Alexander Nagy

Sicherheitsexperte

Profil ansehen
Valeri Milke
Valeri Milke

Associate Partner - Informationssicherheitsberatung

Profil ansehen
Nils Klawitter
Nils Klawitter

Schwachstellenmanagement und sicherer SDLC

Profil ansehen
Sascha Leitner
Sascha Leitner

Geschäftsführer

Profil ansehen
Seyed farhad Miri
Seyed farhad Miri

Senior Produkt-Sicherheitsingenieur

Profil ansehen
Stanislav Stolberg
Stanislav Stolberg

Interim-CTO / IT-Berater (Cloud- & App-Sicherheit · KI & Web3)

Profil ansehen
Siegfried-thor Bolz
Siegfried-thor Bolz

AI-Lösungsarchitekt & Entwickler

Profil ansehen
Lothar Hinsche
Lothar Hinsche

Solution Manager für die Untersuchung PoC sowie Austausch und Verfeinerung einer bestehenden Cloud- und IoT-Kraftwerkssteuerung

Profil ansehen
Syed ghazanfar Abbas
Syed ghazanfar Abbas

Informationssicherheitsberater

Profil ansehen
Henryk Orantek
Henryk Orantek

Sicherheitsberater

Profil ansehen
Kazim Rizvi
Kazim Rizvi

Principal Security Architect – Hands-on (Vertrag)

Profil ansehen
Patrick Eichler
Patrick Eichler

Kubernetes-Experte | Google Cloud Platform-Ingenieur

Profil ansehen
Chitrung Nguyen
Chitrung Nguyen

Staff Software Engineer - Infrastruktur

Profil ansehen
Alagi Mansaray
Alagi Mansaray

Senior Projektmanager S4HANA im Energiesektor

Profil ansehen
Rick Grassmann
Rick Grassmann

Interim IT-Sicherheitsanalyst

Profil ansehen
Michael König
Michael König

Architekt und Full-Stack-Entwickler

Profil ansehen
Stanislaus Stelle
Stanislaus Stelle

Sicherheitsberater bei Rohde & Schwarz AG

Profil ansehen
Patrick Beck
Patrick Beck

AML-Beauftragter

Profil ansehen
Martin Wilhelmi
Martin Wilhelmi

Sicherheitsauditor

Profil ansehen
Manuel Reinfurt
Manuel Reinfurt

Cloud-Architekt & Lead-Entwickler

Profil ansehen
Benedek Galácz
Benedek Galácz

CTO/CISO

Profil ansehen
Niels Aerts
Niels Aerts

Azure-Architekt

Profil ansehen
Daniel Jüntgen
Daniel Jüntgen

Berater für Informationssicherheit

Profil ansehen
Mahesh Simha
Mahesh Simha

Azure Solution Architekt

Profil ansehen
Bernhard Bowitz
Bernhard Bowitz

Senior Sicherheitsarchitekt

Profil ansehen
Kai Held
Kai Held

Backend-Python-Entwickler

Profil ansehen
Kevin Engelhardt
Kevin Engelhardt

CISO als Service

Profil ansehen
Tezcan Dilshener
Tezcan Dilshener

Solution Architekt / Projektleiter

Profil ansehen