Joe Bagdon, Developer in Bovey, MN,美国
Joe is available for hire
Hire Joe

Joe Bagdon

验证专家  in Engineering

安全专家和开发人员

Location
Bovey, MN,美国
至今成员总数
April 4, 2022

Joe是一位经验丰富的安全和基础设施工程专业人士,具有执行应用程序和网络评估的经验, 编写和执行策略, providing defense for an enterprise environment, 管理基础设施. 他对信息安全、信息技术、信息战有深入的了解. Joe是一个有能力的Python程序员,增加了自动化和集成,减少了工作量.

脆弱性管理Security系统管理信息安全Web应用程序安全威胁情报Web SecurityCloud数据丢失预防(DLP)云安全SaaS安全体系结构CloudflarePCI遵从性移动安全网络安全动态应用程序安全测试Burp SuiteWeb应用程序安全Open Web应用程序安全 Project (OWASP)VirtualenvNessusAWS Fargate漏洞评估Metasploit

Portfolio

Kompleye
渗透测试, Burp Suite, Zed攻击代理(ZAP), OWASP Top 10...
AgileSecOps
AWS Fargate, Cloudflare, Python, Python API, HIPAA合规...
BoostLingo,有限责任公司
Security, SOC 2, ISO 27001, 亚马逊网络服务(AWS), IT Security, CISO...

Experience

信息安全- 20年渗透测试——20年脆弱性评估- 18年HIPAA合规- 10年Python - 10年Cloudflare - 8年SOC 2 - 6年AWS Fargate - 5年

Availability

Part-time

首选的环境

Linux、Cloudflare、亚马逊网络服务(AWS)、应用程序安全、Python、MacOS、Docker

最神奇的...

...我所做的是为美国陆军创建和教授第一个大学生网络战争训练(UNWT)课程.S. Air Force.

工作经验

首席渗透测试员

2021年至今
Kompleye
  • 获得公司FedRAMP和CMMC渗透测试认证/资质.
  • Created and maintained the penetration testing program for Kompleye. 从头开始构建这个程序, provided direct input into the sales channel, 并且在技术上完成了所有任务.
  • Performed testing for companies of all sizes, from startups to Fortune 500s and almost every industry.
技术:渗透测试, Burp Suite, Zed攻击代理(ZAP), OWASP Top 10, OWASP, FedRAMP, NIST, HITRUST认证, Nessus, 漏洞评估, 社会工程, 网络安全, APIs, DevSecOps, 移动安全, Certified Information Systems Security Professional, Amazon S3 (AWS S3), Amazon EC2, Security Information and Event Management (SIEM), AWS IAM

首席工程师

2015年至今
AgileSecOps
  • 对策略、过程、遵从性计划和技术实现做出贡献. CISO as a service provided guidance and direction related to security, 牢记关键的业务目标.
  • 开发Python和PowerShell脚本,将其他威胁情报产品集成到特定平台,并获得了RESTful api的丰富经验.
  • Played a key role in vulnerability scanning and management, as well as penetration testing of infrastructure, mobile, 以及web应用程序.
技术:AWS Fargate, Cloudflare, Python, Python API, HIPAA合规, HITRUST认证, SOC 2, Firewalls, Web应用程序安全, DevOps, 渗透测试, 漏洞评估, IT Audits, PCI遵从性, 基于主机的入侵防御, 入侵检测系统(IDS), 入侵防御系统(IPS), App 保护, ISO 27001, 风险管理, 灾难恢复计划(DRP), Virtualenv, 技术培训, Management, Google Cloud, Web Security, 云安全, SIEM, Windows, VMware, 威胁情报, Training, Compliance, Policy, Puppet, SaltStack, 数据丢失预防(DLP), Sumo Logic, MacOS, 团队管理, 移动设备管理(MDM), 端点检测和响应(EDR), Amazon Elastic Container Service (Amazon ECS), AWS ALB, CISO, Ansible, Terraform, PCI, Web应用防火墙(WAF), Zed攻击代理(ZAP), Burp Suite, Hacking, 道德黑客, 亚马逊防火墙, VPN, IT Security, 安全审计, Security, Okta, SaaS, Flask, Web, 亚马逊网络服务(AWS), 系统管理, 网络安全, 网络安全, DevSecOps, CI / CD管道, Kubernetes, 系统级芯片(SoC), Architecture, 业务连续性 & 灾难恢复(BCDR), 安全体系结构, 安全分析, 内容分发网络(CDN), Consulting, Azure, 单点登录(SSO), OWASP, 静态应用安全测试(SAST), 动态应用程序安全测试 (DAST), Metasploit, Data Privacy, GDPR, 技术招聘, 任务分析, Interviewing, APIs, Cloud, 源代码审查, CISSP, 脆弱性识别, 身份验证, Monitoring, 杀毒软件, IDS/IPS, 亚马逊监测, 云架构, 安全工程, 数据治理, 数据保护, IT治理, Group Policy, 数据库安全, 威胁建模, WordPress, WP Engine, React Native, 微软365, SecOps, 移动安全, Certified Information Systems Security Professional, Amazon S3 (AWS S3), Amazon EC2, AWS VPN, Hardware, 基础设施, Networking, Networks, DevOps工程师, Security Information and Event Management (SIEM), AWS IAM, AWS IAM身份中心

部分CISO

2022 - 2023
BoostLingo,有限责任公司
  • Assisted in developing policies and procedures for SOC2 and ISO 27001 certifications.
  • 审查应用程序的漏洞,并向开发人员提出关于最佳补救措施的建议.
  • Provided security representation of the company to clients. 已填妥的保安问卷, answered other client security-related questions, 与销售人员沟通.
技术:安全, SOC 2, ISO 27001, 亚马逊网络服务(AWS), IT Security, CISO, DevOps, 移动安全, Certified Information Systems Security Professional, Amazon S3 (AWS S3), Amazon EC2, AWS IAM

安全顾问|安全工程师

2022 - 2023
Hearst
  • 领导一个由8名工程师组成的团队,帮助公司整体降低风险. Performed thorough technical remediation of vulnerabilities.
  • Collaborated with business units to assist in identifying and reducing risk. 执行渗透测试和源代码分析,并培训开发人员使用安全工具.
  • 应用AWS最佳实践来修复复杂的多租户环境中的漏洞.
  • 部署了带有Terraform的Azure Sentinel,并配置了规则/警报,以帮助公司满足HITRUST需求.
技术:安全, IT Security, ISO 27001, Compliance, Consulting, App 保护, Burp Suite, Zed攻击代理(ZAP), 亚马逊网络服务(AWS), Azure, Terraform, Python 3, Python, Sumo Logic, Cloudflare, Web应用防火墙(WAF), CrowdStrike, NIST, HITRUST认证, SecOps, 移动安全, Certified Information Systems Security Professional, Amazon S3 (AWS S3), Amazon EC2, 基础设施, 安全咨询, AWS IAM

首席信息安全官

2020 - 2022
Kit公司
  • Built the overall information security program for the company.
  • Achieved SOC2, Type 2 Certification, and HIPAA合规.
  • Recreated and redeployed applications into ECS and Fargate using Terraform, 提供硬, 增加安全, elasticity, 可再生环境.
技术:AWS Fargate, Docker, DevOps, GitHub, GitHub的行为, Cloudflare, SOC 2, HIPAA合规, Python, 漏洞评估, IT Audits, 基于主机的入侵防御, 入侵检测系统(IDS), 入侵防御系统(IPS), App 保护, Python API, Web应用程序安全, 风险管理, 灾难恢复计划(DRP), Virtualenv, 技术培训, 团队的领导, Management, Web Security, 云安全, SIEM, 威胁情报, Training, Compliance, Policy, 数据丢失预防(DLP), Sumo Logic, MacOS, 团队管理, 移动设备管理(MDM), Amazon Elastic Container Service (Amazon ECS), AWS ALB, CISO, Ansible, Terraform, Web应用防火墙(WAF), Zed攻击代理(ZAP), Burp Suite, 亚马逊防火墙, VPN, IT Security, 安全审计, Security, SaaS, Web, 亚马逊网络服务(AWS), 系统管理, 网络安全, 网络安全, DevSecOps, CI / CD管道, 系统级芯片(SoC), Architecture, 业务连续性 & 灾难恢复(BCDR), 安全体系结构, 安全分析, 内容分发网络(CDN), OWASP, 静态应用安全测试(SAST), 动态应用程序安全测试 (DAST), Data Privacy, GDPR, 技术招聘, 任务分析, Interviewing, APIs, Cloud, 源代码审查, CISSP, 脆弱性识别, 身份验证, Monitoring, 杀毒软件, IDS/IPS, 亚马逊监测, 云架构, 安全工程, 数据治理, 数据保护, IT治理, 数据库安全, SecOps, 移动安全, Certified Information Systems Security Professional, Amazon S3 (AWS S3), Amazon EC2, AWS VPN, 基础设施, Networking, Networks, DevOps工程师, Security Information and Event Management (SIEM), AWS IAM

信息安全高级经理

2015 - 2016
Copart
  • Rebuilt the security team to operate efficiently, with the ability to detect threats and maintain company compliances such as PCI, SOC2, ISO 27001, and Safe Harbor for over 180 locations worldwide.
  • Led recertification of PCI environment by collecting evidence, 建议更改, 纠正问题.
  • 领导内部风险管理计划,将安全风险的所有权与适当的业务所有者绑定,并向c级管理人员提供风险概述.
  • Installed Sumo Logic as the central syslog service and acted as the project lead, 转换老化的syslog和SIEM系统.
  • Architected and deployed the intrusion detection systems and file integrity monitoring, 包括hid灯, NIDS, and FIM.
技术:相扑逻辑, PCI DSS, ISO 27001, Python, 脆弱性管理, Firewalls, 漏洞评估, IT Audits, PCI遵从性, 基于主机的入侵防御, 入侵防御系统(IPS), App 保护, 风险管理, 灾难恢复计划(DRP), 团队的领导, Management, Web Security, 云安全, SIEM, Windows, 威胁情报, Training, Compliance, Policy, 数据丢失预防(DLP), 团队管理, Python API, Web应用程序安全, 端点检测和响应(EDR), Ansible, PCI, Web应用防火墙(WAF), Zed攻击代理(ZAP), VPN, IT Security, 安全审计, Security, SaaS, Web, 系统管理, 网络安全, 网络安全, 业务连续性 & 灾难恢复(BCDR), 安全体系结构, 安全分析, 内容分发网络(CDN), OWASP, 静态应用安全测试(SAST), 动态应用程序安全测试 (DAST), Data Privacy, 技术招聘, Interviewing, APIs, Cloud, CISSP, 脆弱性识别, Monitoring, 杀毒软件, IDS/IPS, 安全工程, 数据保护, Group Policy, Certified Information Systems Security Professional, 基础设施, Networks, Security Information and Event Management (SIEM)

资讯保安经理

2014 - 2015
Think Finance
  • Oversaw the daily operations of information security, networking, and telephony teams.
  • 编写和维护政策和程序,以确保符合PCI和公司标准.
  • Built and configured a central logging system based on Elasticsearch and Kibana.
  • Converted all systems from traditional antivirus to Bit9 application whitelisting.
  • Built and installed a network-based intrusion detection system.
  • 为所有Linux服务器合并了SaltStack配置管理,并编写了自动遵守Internet安全中心基准的配置.
技术:应用程序安全, 脆弱性管理, 风险管理, PCI DSS, 数据丢失预防(DLP), SaltStack, 漏洞评估, PCI遵从性, 灾难恢复计划(DRP), 团队的领导, Management, SIEM, Windows, 威胁情报, Compliance, Policy, 团队管理, Ansible, PCI, IT Security, 安全审计, Security, Web, 系统管理, 网络安全, 网络安全, Architecture, 安全体系结构, 安全分析, OWASP, 技术招聘, Interviewing, Cloud, CISSP, 脆弱性识别, Monitoring, 杀毒软件, IDS/IPS, 安全工程, 数据保护, Group Policy, Certified Information Systems Security Professional, 基础设施, Networking, Security Information and Event Management (SIEM)

安全官

2012 - 2014
集会的软件
  • 与客户沟通,回答与安全相关的问题,协调客户的安全测试.
  • Composed and enforced the security and privacy policies.
  • Oversaw all aspects of an eCommerce site's PCI compliance.
  • 获得SaaS产品的FISMA NIST 800-53适度合规性,并保持ISO 270001合规性, 欧盟安全港, and HIPAA.
  • 在公司和生产环境中部署了基于软管的入侵检测系统和基于网络的入侵检测系统.
  • 在安全和运营职能上直接与运营管理员协作.
  • 对公司提供的SaaS应用程序执行漏洞和渗透测试.
  • 在与开发人员沟通解决安全问题的同时,进行定期的应用程序审查.
  • 为生产环境编写灾难恢复策略,并担任公司灾难恢复文档的主要贡献者.
技术:应用程序安全, 脆弱性管理, PCI DSS, ISO 27001, Linux, Puppet, Python, Bash Script, Policy, 灾难恢复计划(DRP), 漏洞评估, IT Audits, PCI遵从性, 基于主机的入侵防御, 入侵防御系统(IPS), Web应用程序安全, 风险管理, 团队的领导, Management, Web Security, SIEM, VMware, 威胁情报, Training, Compliance, SaltStack, 数据丢失预防(DLP), MacOS, 团队管理, CISO, PCI, Web应用防火墙(WAF), Zed攻击代理(ZAP), VPN, IT Security, 安全审计, Security, SaaS, Web, 系统管理, 网络安全, 网络安全, 业务连续性 & 灾难恢复(BCDR), NIST, 安全体系结构, 安全分析, OWASP, 动态应用程序安全测试 (DAST), Data Privacy, 技术招聘, Interviewing, Cloud, CISSP, 脆弱性识别, 身份验证, Monitoring, 杀毒软件, IDS/IPS, 安全工程, 数据保护, PHP, SecOps, Certified Information Systems Security Professional, 基础设施, Networks, Security Information and Event Management (SIEM)

全球信息安全工程师

2012 - 2012
Prologis
  • 提供公司安全方面的支持、指导、工程和管理.
  • Built and replaced an aging network-based intrusion detection system.
  • 识别和管理位于公司全球基础设施内的几个僵尸网络和其他恶意感染系统的清理工作.
  • 安装了中央日志记录和报告功能,以支持安全和基础设施管理员.
技术:Python, 入侵检测系统(IDS), SIEM, 渗透测试, 威胁情报, Training, Policy, 风险管理, IT Security, 安全审计, Security, 系统管理, 网络安全, 网络安全, 安全分析, 脆弱性识别, Monitoring, 杀毒软件, IDS/IPS, 安全工程, 数据保护, 基础设施

Lead System, Network, and Security Engineer

2009 - 2012
卷须网络
  • 评估信息技术控制和测试应用技术的合规性, 开发项目, 数据中心运营, security, and information technology-related work processes.
  • Developed and maintained the processes to include the security incident response, 漏洞评估及扫描, 补丁管理, 安全度量和报告, 安全事件管理, 个人资料保护, 和加密.
  • 通过识别不合规的领域和识别操作弱点来评估风险和内部操作控制, 效率低下, and issues.
  • Performed penetration testing and vulnerability scans by utilizing BackTrack, Metasploit, Nessus, 开膛手约翰, Nikto, Nexpose, Burp Suite, and w3af.
技术:Python, Compliance, PCI DSS, 渗透测试, 脆弱性管理, Web Security, 威胁情报, Policy, Puppet, 风险管理, 团队管理, IT Security, 安全审计, Security, Web, 系统管理, 网络安全, 网络安全, Architecture, 安全分析, OWASP, 技术招聘, Interviewing, Cloud, 脆弱性识别, Monitoring, IDS/IPS, 安全工程, 数据保护, Hardware, 基础设施, Networks

Security and Operations Center Linux Administrator

2008 - 2009
DigitalGlobe
  • Provided the security and administration support for Linux RHEL 5, Windows (XP, 2003, 7, 2008), Solaris 10, 和IRIX系统.
  • 排除和解决基础设施组件和公司构建的专用软件应用程序的问题.
  • Wrote scripts and programs to automate the monitoring and administration processes.
技术:Python, 脆弱性管理, Linux, Windows, VMware, Policy, VPN, IT Security, Security, Web, 系统管理, 网络安全, NIST, 脆弱性识别, Monitoring, 杀毒软件, IDS/IPS, 基础设施, Networks

Intelligence and 网络安全 Administrator

1994 - 2008
U.S. Air Force
  • Managed a development project team for network security attacks.
  • 担任第一个空军本科网络战争课程的认证讲师和开发人员.
  • 指导学生防御黑客技术和使用恶意软件, 用Ruby使用Linux主机, Python, shell脚本.
  • Performed penetration testing with open source software such as NMAP, Nessus, 和Metasploit, and other malicious code found on the internet consisting of C++, Python, shell脚本.
技术:渗透测试, Python, Compliance, Training, 威胁情报, Firewalls, Virtualenv, 漏洞评估, App 保护, 技术培训, 团队的领导, Management, Web Security, Windows, Policy, 数据丢失预防(DLP), 风险管理, 团队管理, Web应用程序安全, 移动设备管理(MDM), HIPAA合规, Web应用防火墙(WAF), 军事行动, Hacking, 道德黑客, IT Security, 安全审计, Security, 系统管理, 网络安全, 网络安全, 系统级芯片(SoC), NIST, 安全分析, OWASP, 静态应用安全测试(SAST), 动态应用程序安全测试 (DAST), Metasploit, 技术招聘, 脆弱性识别, 身份验证, Monitoring, 杀毒软件, IDS/IPS, 基础设施, Networks

不可阻挡的拒绝服务

I was contacted by a Fortune 100 company with a security issue on their web application. 几乎立即, 我确定了与恶意行为者攻击端点相关的问题,这会导致长时间运行的数据库查询并使应用程序脱机. 我与开发人员和安全团队合作,迅速将web应用程序防火墙安装到位. After 24 hours, the app became tuned and effective and ran smoothly.

DevSecOps冠军

Hired to assist a startup with all things security. I quickly saw that there were noticeable issues in the production environment. There was a lack of knowledge of AWS and proper/secure code deployment pipelines. I was asked to help and get them on the right track. After a couple of weeks, I architected and implemented a new AWS environment. 新环境包括在ECS/Fargate中运行容器,以及使用GitHub的行为的自动部署管道. 该解决方案与Terraform一起部署,新环境可以在几分钟内启动. In the end, the solution was repeatable, secure, and easy to maintain.

从零到兼容- SOC 2,类型2

A recent customer had a business requirement to become SOC2, 第2类符合, 这需要尽快发生. 如果不能按时完成,就有可能失去重要的商业机会. They seem confused as to what went into becoming compliant. SOC 2 was nothing but a terrifying term they didn't want to tackle.

我带头完成了大部分的工作,日常操作几乎没有中断. Everything from policies to technical implementations was accomplished within 30 days. The auditor provided the SOC 2, Type 1 certification a week later. 监测期间没有发生任何事故,我们如期获得了SOC 2, Type 2.
2017年1月至今

AWS商业专业

亚马逊网络服务

2017年1月至今

AWS专业技术人员

亚马逊网络服务

2015年9月至今

面向大众的编程(Python)

Coursera

2015年7月至今

An Introduction to Interactive Programming in Python (Part 1)

Coursera

2012年12月至今

Certified Information Systems Security Professional

International Information Systems Security Certification Consortium (ISC)2

2007年12月- 2011年12月

GIAC认证事件处理员(GCIH)

Sans研究所

2007年7月至2011年7月

GIAC安全要件(GSEC)

SANS研究所

库/ api

Python API

Tools

AWS IAM, AWS Fargate, GitHub, Sumo Logic, SaltStack, Virtualenv, VMware, Amazon Elastic Container Service (Amazon ECS), Ansible, Terraform, Zed攻击代理(ZAP), 亚马逊防火墙, VPN, Metasploit, 亚马逊监测, Puppet, Nessus

Languages

Python, Bash Script, Python 3, PHP

Platforms

亚马逊网络服务(AWS), Amazon EC2, Docker, Linux, MacOS, Windows, AWS ALB, Burp Suite, Web, WordPress, Kubernetes, Azure, CrowdStrike

Paradigms

HIPAA合规, 渗透测试, Management, DevSecOps, DevOps

行业专业知识

网络安全, 网络安全, 安全咨询

Storage

Amazon S3 (AWS S3), Google Cloud, 数据库安全, WP Engine

Frameworks

Flask, React Native

Other

事件响应, 事件管理, 信息安全, Cloudflare, SOC 2, 漏洞评估, IT Audits, PCI DSS, PCI遵从性, 团队的领导, 基于主机的入侵防御, 入侵检测系统(IDS), 团队管理, HITRUST认证, Web应用程序安全, ISO 27001, 脆弱性管理, 风险管理, 数据丢失预防(DLP), Policy, 灾难恢复计划(DRP), Compliance, Training, 威胁情报, SIEM, Web Security, 云安全, PCI, IT Security, 安全审计, Security, SaaS, 系统管理, 系统级芯片(SoC), 业务连续性 & 灾难恢复(BCDR), 安全体系结构, 安全分析, 内容分发网络(CDN), Consulting, OWASP, 技术招聘, Interviewing, Cloud, CISSP, 脆弱性识别, 杀毒软件, IDS/IPS, SecOps, 移动安全, Certified Information Systems Security Professional, Automated Security Controls Assessment (ASCA), 基础设施, Security Information and Event Management (SIEM), AWS IAM身份中心, 事件处理, GitHub的行为, Firewalls, 技术培训, 入侵防御系统(IPS), App 保护, 移动设备管理(MDM), 端点检测和响应(EDR), CISO, Web应用防火墙(WAF), 军事行动, Hacking, 道德黑客, CI / CD管道, Architecture, NIST, 单点登录(SSO), 静态应用安全测试(SAST), 动态应用程序安全测试 (DAST), Data Privacy, GDPR, 任务分析, APIs, 源代码审查, 身份验证, 云架构, 安全工程, 数据治理, 数据保护, IT治理, 微软365, AWS VPN, Hardware, Networking, Networks, DevOps工程师, Monitoring, Teamwork, Okta, Group Policy, 威胁建模, OWASP Top 10, FedRAMP, 社会工程

有效的合作

如何使用Toptal

在数小时内,而不是数周或数月,我们的网络将为您直接匹配全球行业专家.

1

分享你的需求

Discuss your requirements and refine your scope in a call with a Toptal domain expert.
2

选择你的才能

在24小时内获得专业匹配人才的简短列表,以进行审查,面试和选择.
3

开始你的无风险人才试验

Work with your chosen talent on a trial basis for up to two weeks. 只有当你决定雇佣他们时才付钱.

对顶尖人才的需求很大.

Start hiring