Squad Lead Content Engineering - Utrecht

Jij bouwt mee aan een innovatief Security Operations Center waar cyberdreigingsinformatie leidend is. Met focus op automatiseren en verbeteren, geef je detection engineering vorm als een professionele, doelgerichte discipline binnen een dynamisch team bij NS.

Daarom wil je bij NS werken

• Jij denkt niet in handmatig werk, maar in automatiseren, structureren en continu verbeteren. Je wilt bouwen aan een Security Operations Center dat verder gaat dan traditionele monitoring: een omgeving waarin detecties doelgericht worden ontwikkeld, getest en verfijnd, in plaats van ad hoc te ontstaan.
• Wij zijn bezig met de ontwikkeling van een CTI-gedreven SOC waarin cyberdreigingsinformatie daadwerkelijk richting geeft aan wat we bouwen en prioriteren. Geen losse indicatoren, maar onderbouwde keuzes. Geen reactieve aanpak, maar cyberdreigingsgestuurde engineering.
• In deze rol krijg je de ruimte om detection engineering als volwaardige discipline neer te zetten: professioneel ingericht, reproduceerbaar uitgevoerd en meetbaar verbeterd.

Dit ga je doen

Als Squad Lead Content Engineering ben je verantwoordelijk voor de inhoudelijke ontwikkeling, automatisering en kwaliteitsborging van detection content binnen onze SOC. Je ontwikkelt detecties op basis van strategische, tactische en operationele dreigingsinformatie en vertaalt dreigingscontext naar concrete detectievereisten. Daarbij ontwerp je detectielogica op basis van TTP-analyse (bijvoorbeeld MITRE ATT&CK) en prioriteer je use cases op basis van risico en relevantie voor de organisatie. Ook denk je strategisch na over het totaal aan detectie technologieën die we tot onze beschikking hebben en zet je deze zo effectief mogelijk in door middel van een integrale detectiearchitectuur.

Je richt de detection lifecycle gestructureerd en reproduceerbaar in. Dit betekent dat je versiebeheer toepast op detectielogica, use cases ontwikkelt als controleerbare configuraties en testmechanismen implementeert, zoals unit tests en validatie tegen gesimuleerde scenario’s. Je zorgt voor gecontroleerde deploymentprocessen en minimaliseert handmatige en repetitieve beheerstappen door gerichte automatisering.

Daarnaast borg je continue verbetering. Je monitort detectieprestaties, waaronder false positives en false negatives, richt feedbackloops in met Incident Response en Threat Hunting en verwerkt lessons learned structureel in content-updates. Als squad lead stuur je inhoudelijk de engineers aan, help je jouw squadleden te groeien in hun rol, bewaak je technische kwaliteit en zorg je dat werkzaamheden worden geprioriteerd op basis van dreigingsanalyses en risicobeoordeling.

Hier ga je werken

Als nieuwe collega kom je te werken binnen het Blue Cyber Shield Team, een belangrijk onderdeel van CSO (Cyber Security Operations) bij Nederlandse Spoorwegen. CSO is dé technische cybersecurityafdeling binnen NS IT, waar alle expertise en werkzaamheden op het gebied van cyberveiligheid samenkomen. Binnen CSO werken we in een unieke en moderne teamstructuur die is opgebouwd uit drie gespecialiseerde teams, ieder met hun eigen focus en expertise:

• Blue Cyber Shield Team:

  Dit is hét team voor verdediging tegen cyberdreigingen. Jij draagt direct bij aan het detecteren, analyseren en voorkomen van aanvallen op onze IT- en OT-systemen. Als onderdeel van dit team ben je de bewaker van de veiligheid van onze digitale infrastructuur en zorg je ervoor dat NS continu beveiligd blijft tegen de meest geavanceerde dreigingen.

• Red Cyber Strike Team:

  Dit team bestaat uit ervaren ethische hackers en pentesters die actief op zoek gaan naar kwetsbaarheden binnen onze systemen. Door het simuleren van aanvallen helpen zij onze verdediging te versterken en leren zij ons om slimmer en weerbaarder te worden tegen kwaadwillende.

• Green Cyber Support Team:

  Dit team biedt technische en implementatieondersteuning aan onze DevOps teams. Zij zorgen ervoor dat security op een pragmatische en integrale manier wordt meegenomen in de ontwikkeling en uitrol van nieuwe digitale diensten, waardoor security vanaf het eerste moment is ingebed in onze systemen.

Samen vormen deze drie teams een krachtig en innovatief security ecosysteem binnen NS IT, waarin je volop mogelijkheden krijgt om je te specialiseren, samen te werken over disciplines heen en continu te groeien in je rol.

Dit zijn de functie-eisen

• HBO/WO werk- en denkniveau.
• Minimaal 5 jaar ervaring binnen SOC, Detection Engineering of Security Automation.
• Je bent analytisch sterk, besluitvaardig en onderbouwt technische keuzes vanuit risico- en dreigingscontext.

Aantoonbare ervaring met:

• Ontwikkeling van SIEM-detecties (bij voorkeur Microsoft Sentinel).
• Automatisering (d.m.v. SOAR platformen of via Python, PowerShell of vergelijkbaar).
• Gestructureerde deploymentprocessen.
• Testgedreven ontwikkeling van use cases of playbooks.
• Kennis van MITRE ATT&CK en threat modeling.
• Ervaring met het toepassen van threat intelligence in detectieontwikkeling.
• CISSP-certificering.
• Ervaring met het inhoudelijk aansturen van engineers is een pré.