Recommended expert
Seyed farhad (Farhad) Miri
Senior Produkt-Sicherheitsingenieur
Erfahrungen
Nov. 2022 - Bis heute
3 Jahren 3 MonatenBerlin, Deutschland
Senior Produkt-Sicherheitsingenieur
Delivery Hero
- Ein eigenes Tool entwickelt, das mit dem Mistral 7B LLM Sicherheitslücken scannt, validiert und meldet.
- KI-Agenten, Bots und andere LLMs auf Sicherheit getestet, mit Schwerpunkt auf Prompt-Injektion, Modell-Inversion, Daten-Vergiftung, EDR/AV-Bypass- und Umgehungstechniken, Mitgliedschaftsinferenz, Modell-Umgehung, Overfitting auf bösartige Eingaben und kontextuelle Manipulation.
- Git-Repositories in SAST-Lösungen für Sicherheits-Scans eingebunden, Secrets-Scanning, DAST und SCA implementiert und ZAP für DAST in CI/CD-Pipelines genutzt.
- Schulungen zum Sicherheitsbewusstsein durchgeführt, CTF-Challenges und Schulungsmaterialien entwickelt, um das Sicherheitswissen der Entwickler zu verbessern.
- Halbjährliche Red-Teaming-Operationen nach dem MITRE-ATT&CK-Framework geplant und durchgeführt sowie interne und externe Pentests nach dem OWASP-Top-10-Framework für über 70 Anwendungen weltweit geleitet, was zur Entdeckung, Meldung und Behebung von Hunderten von Schwachstellen führte.
- HackerOne-Berichte triagiert.
Nov. 2021 - Nov. 2022
1 Jahr 1 MonateSenior Offensive-Security-Ingenieur – Red Team
Ernyka Holding
- Red-Team-Übungen halbjährlich durchgeführt.
- Web-, API-, Netzwerk- und Mobile-Pentests von Assets durchgeführt.
- Services auf Härtungen geprüft und implementiert sowie Schwachstellenscans nach CIS-Standards durchgeführt.
- Blockchain-Sicherheitsbewertungen inklusive Smart-Contract-Sicherheit durchgeführt.
- Secure-Code-Trainings und Capture-the-Flag-Events angeboten.
- Cloud-Sicherheit für Microsoft Azure-Inlands-Cloud-Lösungen implementiert.
- DevSecOps-Prozesse mit Snyk, SonarQube und GitLab integriert.
Juni 2015 - Juli 2016
1 Jahr 2 MonatenPenetrationstests / Bewertung von Schwachstellenentwicklungsprojekten / Härtung
Rightel
- Einen Security-Scanner mit lokalem LLM entwickelt, um Ergebnisse zu analysieren, validieren, korrelieren und zu melden.
- Einen KI-gesteuerten Triage-Bot erstellt, um Sicherheitsprobleme und Tickets zu bewerten, analysieren und priorisieren.
- Ein Anti-Ransomware-Framework entwickelt, das Ransomware-Aktivitäten erkennt und Alarm schlägt.
- Ein Tool zur Bewertung von Firewall-Regeln für Netzwerkgeräte erstellt.
- Einen Web-Schwachstellenscanner für Bug-Bounty-Jagden automatisiert.
- Schwachstellenbewertungen und Penetrationstests in Windows- und *nix-Umgebungen durchgeführt sowie OWASP-Top-10-Schwachstellen identifiziert und behoben.
- CIS-Härtungs-Best-Practices auf Betriebssystemen, Webservern und Datenbankdiensten implementiert und automatisiert.
- Abwehr gegen Social Engineering und Client-seitige Angriffe durch simulierte Tests und Security-Awareness-Kurse gestärkt.
Dez. 2011 - Nov. 2021
10 JahrenSenior Penetrationstester/Red Teamer
MCI
- APTs (Advanced Persistent Threats) und Post-Exploitation-Aktivitäten simuliert, dabei CobaltStrike, Empire und BloodHound gemäß MITRE ATT&CK-TTPs eingesetzt.
- Zielgerichtete Penetrationstests und Sicherheitsbewertungen nach den OWASP-Top-10-Richtlinien mit Tools wie Burp Suite Enterprise, Metasploit und Nmap durchgeführt.
- DevSecOps-Pipelines mit Jenkins, Kubernetes, Terraform, AWS, GitLab SAST, GitGuardian zum Secrets-Scanning und OWASP Dependency-Check für Abhängigkeitsanalysen abgesichert.
- Umfassendes Schwachstellenmanagement durchgeführt, Schwachstellen in Systemen identifiziert, priorisiert und behoben und Jira zur Nachverfolgung der Maßnahmen genutzt.
Zusammenfassung
Ich arbeite seit 2010 (über 15 Jahre) in der Sicherheitsbranche. Ich habe als Penetrationstester begonnen (über 4 Jahre), danach als Red Teamer weitergemacht (über 6 Jahre) und war außerdem an Shift-Left-Security-Initiativen beteiligt, wie DevSecOps, Schulungen zum Sicherheitsbewusstsein, Secure-Code-Trainings und Capture-the-Flag-(CTF)-Events.
Ich leite und betreibe zwei Teams zur Durchführung von Red-Teaming- und Penetrationstest-Projekten. In letzter Zeit konzentriere ich mich hauptsächlich darauf, LLM-basierte KI-Agenten in verschiedenen Sicherheitsaktivitäten und -services einzusetzen. Ich schreibe Code in vielen Sprachen, bevorzuge aber Python und mache auch selbst Bug-Bounties sowie die Triage von HackerOne-Berichten. Ich habe über 200.000 Studenten mit vier sicherheitsfokussierten Kursen auf Udemy und habe auf der HackTheBox-CTF-Plattform den Guru-Status erreicht. Ich bin leidenschaftlich daran interessiert, Probleme zu lösen.
Fähigkeiten
- Red-teaming
- Gegneremulation
- Post-exploitation
- Rechteerweiterung (Windows/linux)
- Ki-agenten/llm-sicherheit
- Social Engineering & Phishing-kampagnen
- Shift-left-security
- Entwicklung Von Exploits
- Edr/av-bypass- & Umgehungstechniken
- Mitre Att&ck
- Cobaltstrike
- Kali Linux
- Devsecops
- Sast, Dast, Sca
- Owasp Top 10
- Zero-trust-architekturen
- Web-app-sicherheit
- Api-sicherheit
- Mcp
- Ci/cd-sicherheit
- Mobile-app-sicherheit
- Sichere Code-überprüfung
- Terraform
- Cloud-sicherheit (Aws, Gcp, Azure)
- Kubernetes-sicherheit
- Container-sicherheit (Docker, Podman)
- Llm-schwachstellen
- Infrastructure-as-code-(iac)-sicherheit
- Bedrohungsmodellierung
- Identity And Access Management (Iam)
- Schwachstellen-management
- Active-directory-sicherheit
- Atomic Red Team
- Cis-härtungen
- Schwachstellenscans
- Blockchain-sicherheit
- Smart-contract-sicherheit
- Secure-code-trainings
- Capture-the-flag (Ctf)
Sprachen
Englisch
MutterspracheDeutsch
FortgeschrittenAusbildung
QIAU
Software-Engineering · Qazvin, Iran, Islamische Republik
Zertifikate & Bescheinigungen
MCI RPT CRTP – Zertifizierter Red-Team-Professional
ACRTP – AWS-zertifizierter Red-Team-Professional
AWS Security Specialty
CEH V8: Zertifizierter Ethical Hacker
EC Council
GCRP – GCP-zertifizierter Red-Team-Professional
MCRTA – Multi-Cloud-Red-Teaming-Analyst
MCRTP – Microsoft Azure Red-Team-Professional
Python-zertifizierter Programmierer
Udemy
Sie suchen Freelancer?Passende Kandidaten in Sekunden!
FRATCH GPT testenWeitere Aktionen
Ähnliche Freelancer
Entdecken Sie andere Experten mit ähnlichen Qualifikationen und Erfahrungen.
Maryam Mouzarani
KI-Red-Team-Ingenieur
Profil ansehen
Alexander Nagy
Sicherheitsexperte
Profil ansehen
Niels Aerts
Azure-Architekt
Profil ansehen
Markus Willems
Berater KRITIS
Profil ansehen
Erlijn Van genuchten
Wissenschaftskommunikator und Change-Manager
Profil ansehen
Henryk Orantek
Sicherheitsberater
Profil ansehen
Matthias Steinmann
Senior Consultant Security (freiberuflich)
Profil ansehen
Martin Wilhelmi
Sicherheitsprüfer
Profil ansehen
Valeri Milke
Associate Partner - Informationssicherheitsberatung
Profil ansehen
Pierre Gronau
Ansible-Automatisierung, Windows Third-Level-Support
Profil ansehen
Mike Barthel
System- und Endpunkthärtung
Profil ansehen
Nils Klawitter
Schwachstellenmanagement und sicherer SDLC
Profil ansehen
Bernhard Bowitz
Senior Sicherheitsarchitekt
Profil ansehen
Stefan Radushev
ISO27001-Zertifizierung
Profil ansehen
André Görst
IT Consulting Projektmanagement / Teilprojektleitung Engineering
Profil ansehen
Kevin Engelhardt
CISO als Service
Profil ansehen
Christian Decker
Geschäftsführer und Senior-Berater
Profil ansehen
Chitrung Nguyen
Staff Software Engineer - Infrastruktur
Profil ansehen
Ilayda Dede
Cybersecurity & Ethical Hacking Programm
Profil ansehen
Monika Müller
Cybersecurity-Ingenieur
Profil ansehen
Alexander Sänn
Inhaber und Geschäftsführer
Profil ansehen
Tan Pham
DevOps Engineer im DevOps-Team
Profil ansehen
Stanislaus Stelle
Sicherheitsberater bei Rohde & Schwarz AG
Profil ansehen
Martin Grambauer
Berater SAP Testdatenmanagement
Profil ansehen
Erald Kerciku
AWS-Cloud-Lösungsarchitekt
Profil ansehen
Ali Yazdani
Leitender Ingenieur für Produktsicherheit
Profil ansehen
Christian Gebhardt
Stellvertretender Chief Information Security Officer
Profil ansehen
Arne Hendricks
Embedded Fullstack-Entwickler
Profil ansehen
Maxim Anikeev
Externer Dozent (Privatdozent)
Profil ansehen
Mevlüt Yıldırım
Projekt
Profil ansehen
