Trong suốt quãng thời gian học đại học tới tận thời điểm hiện tại đã đi làm, hầu như mọi người ở quê đều không có ai biết mình đang học và làm gì ở ngoài Hà Nội.
Không phải vì gia đình không quan tâm, mà là ngành ATTT ở VN hiện tại còn khá là lạ lẫm đối với cộng đồng,
Nhắc tới CNTT thì có thể còn biết là mấy ô hay làm việc với máy tính, còn nhắc tới ATTT thì ít ai có thể biết được thực tế nghề này là làm gì.
Nếu search trên google thì có thể có vài trang blog nói về nghề ATTT, nhưng hầu hết 8/10 kết quả của page 1 google search đều lấy thông tin từ blog của a thaidn và xào nấu lên để thành content mới (ref: https://vnhacker.blogspot.com/2012/05/lam-toan-thong-tin-thi-hoc-gi.html).
Những thông tin đã được đề cập trong blog của a Thái rất đúng, nhưng cần phải có ít nhất một vài hiểu biết nào đó về CNTT/ATTT thì mới có thể hiểu được nội dung trong đó.
Một số thuật ngữ như: sản phẩm, kiểm định, lỗ hổng … nó rất chung chung, và mang ý nghĩa bao hàm.
Thành ra khi mà những người không có khái niệm về chúng đọc sẽ không hiểu được hết và vẫn mơ hồ về ngành ATTT này,
Do vậy, mình viết bài này để cho những người chưa có khái niệm gì về Công nghệ thông tin/An toàn thông tin cũng có thể hiểu được dân bảo mật làm công việc gì và để sinh viên KMA không còn phải bối rối khi được hỏi:
“Cháu học trường mật mã rồi sau ra trường sẽ làm gì?”
.
.
Bài viết này cũng dựa trên một số nội dung chính trong blog của a thaidn, nhưng có một chút thực tế hơn là sẽ được liên hệ trực tiếp với công việc mà mình đang làm tại tổ chức: Trung tâm An toàn thông tin — VNPT IT.
Trung tâm mình được chia thành các phòng nhỏ để dễ dàng hơn trong việc xử lý công việc,
- Phòng Kiểm thử xâm nhập
Hiện tại mình đang làm việc tại phòng Kiểm thử xâm nhập, TT ATTT — VNPT IT. Nếu đối sánh với blog post của a Thái, thì phòng mình sẽ được xếp vào phần “An toàn sản phẩm”.
- Mục đích hoạt động của phòng
Theo quy trình phát triển sản phẩm tại VNPT, tất cả các sản phẩm từ nhỏ nhất như cái trang web chỉ có mỗi cái chữ “chào mừng” cho tới các “Mega Project” như hệ thống chính phủ điện tử đều phải qua tay của phòng Kiểm thử xâm nhập.
Mục đích là để kiểm tra và tìm ra các lỗ hổng, các nguy cơ tồn tại bên trong sản phẩm đó, giảm thiểu và đảm bảo cho sản phẩm được an toàn nhất có thể. Tránh nguy cơ một ngày đẹp trời nào đó, sản phẩm bị kẻ xấu hack và gây thất thoát dữ liệu và ảnh hưởng tới uy tín của tổ chức.
Hiểu đơn giản, chúng tôi là những hacker “lương thiện”, sẽ đi hack sản phẩm của nhà mình trước khi bị những hacker phe “phản diện” hack được.
Đây là lý do tại sao phòng mình tại có tên là “Kiểm thử xâm nhập” — “Penetration Testing”.
Công việc pentest này dựa rất nhiều vào mindset của người thực hiện, có thể cùng 1 lỗi mà người này không phát hiện nhưng người khác lại thấy, do đó việc đảm bảo an toàn cho các sản phẩm này cũng chỉ mang tính tương đối.
Việc này được giảm thiểu bằng cách cho các thành viên trong nhóm check chéo sản phẩm với nhau, sẽ tìm ra được những sai sót mà người kia để lại, từ đó làm cho số lượng lỗ hổng trong sản phẩm được giảm thiểu đáng kể!
Bên cạnh việc đảm bảo an toàn cho các sản phẩm nội bộ, hiện nay phòng mình cũng làm dịch vụ pentest cho khách, đảm bảo về tính an toàn bảo mật cho các trang web, app, hệ thống của khách hàng.
Ngoài công việc là pentest ra, còn có một nhóm nhỏ chuyên làm về việc nghiên cứu các lỗ hổng 0day, 1day của các nền tảng phổ biến, mà mình cũng đang hoạt động chính ở lĩnh vực này, gọi tạm là các Researcher.
Nếu như những Pentester là thợ săn, thì đội Researcher là những người đi mài rìu, chuẩn bị các vũ khí tốt nhất cho các Pentester.
Những mục tiêu mà nhóm mình nhắm tới đa phần đều là các đối tượng được nhiều người sử dụng, có liên quan tới công việc của nhóm pentest, ví dụ như: Weblogic, Liferay, … Nắm trong tay 1day/0day của các nền tảng này sẽ giúp cho đội Pentest chiếm được nhiều ưu thế hơn trong công việc.
- Sinh viên cần biết những gì để làm Kiểm thử xâm nhập
Công việc kiểm thử xâm nhập khá là kén người, nó là nghề chọn người chứ ko phải người chọn nghề.
👉 Đầu tiên là sự chăm chỉ, thì đương nhiền là ngành nào/nghề nào cũng cần có rồi, ở đây là chăm chỉ ngày đêm học hỏi, cập nhật kiến thức/kỹ thuật mới.
Trong thời đại bùng nổ của thông tin hiện này, các kỹ thuật, lỗ hổng mới thường được cộng đổng chia sẻ và lan tỏa nhanh chóng qua các kênh như: Twitter, Telegram, …
Nhiều khi chỉ cần tắt máy có nửa ngày thôi mà đã bị tối cổ so với thời đại cả chục năm rồi, (¯\_( ͡° ͜ʖ ͡°)_/¯ còn 7 năm thì mình ko biết nha).
👉 Tiếp tới là cái mindset, điều này tạo ra sự khác biệt của một pentester, đây là điều thứ hai được xem xét tới khi phòng mình xem xét tuyển dụng ngay từ vị trí thực tập sinh!
Công việc chính của Pentester là đi tìm những sai sót, những lỗ hổng trong sản phẩm, quote lại một câu đã được quote bởi người ae trong phòng mình:
Ví dụ đơn giản như với chức năng mua hàng trong một trang web nào đó, theo tư duy của người dev thì sẽ cho nhập vào số lượng món hàng cần mua để thuận tiện hơn khi mua hàng với số lượng lớn. Người dùng thông thường cũng sẽ nhập vào một số lượng nguyên dương nào đó, đơn hàng sẽ trở thành 69$ * 5 = 345$ chẳng hạn!
Những người có tư duy bất thường sẽ nhập vào một số nguyên âm, từ đó giá trị đơn hàng sẽ trở thành 69$ * (-5) = -345$, không những không mất tiền mà còn được cộng thêm tiền 🤣.
Từ đó cho thấy mindset là thứ rất quan trọng để xác định được có phù hợp với nghiệp pentest được hay không,
Nếu bạn tự cảm thấy mình có tư duy khác người bình thường, có sở thích làm cho sản phẩm/thứ gì đó hoạt động không tuân theo thiết kế ban đầu thì xin chúc mừng, bạn có một tương lai rộng mở với nghiệp pentest! (còn nếu ko thì xin hãy thận trọng!).
👉Vấn đề cũng rất quan trọng cầ n nhắc tới đó là kỹ năng tự học, đây cũng là tiêu chí thứ ba được phòng mình xem xét mỗi khi phòng vấn.
Công việc pentest đã xuất hiện và trở nên thịnh hành trong khoảng thời gian độ 10 năm trở lại đây. Tuy nhiên, vẫn chưa có một giáo trình, lộ trình gì cụ thể để đào tạo từ thực tập sinh cho tới một pentester có thể làm được việc.
Mấy năm trước có nổi lên một số trung tâm gì gì đó, dán mác đào tạo các hacker/pentester chuyên nghiệp, chất lượng thì không biết thực hư ra sao nhưng hiện tại mình chưa gặp bạn nào từng học từ các trung tâm đó ra mà có tiếng tăm gì trong giới tuyển dụng cả (bên lề một chút: mình cũng đang đảm nhiệm công việc tuyển dụng và head hunting cho phòng pentest).
Cứ 10 người mình gặp trong ngành ATTT nói chung và trong nghề Pentest nói riêng thì có tới 11 người đều đi từ quá trình tọc mạch, táy máy hay nghịch ngợm công nghệ để đi được tới công việc như bây giờ. Tất cả đều có khả năng tự học, tự nâng cao kiến thức và chủ động trong công việc.
Ngay như với các bạn thực tập được tuyển vào phòng mình, khâu phỏng vấn ban đầu cũng khá là gắt gao.
Vừa rồi có đợt phỏng vấn 20 bạn svien năm cuối của trường K* vào thực tập thì cuối cùng chỉ nhận được đúng một bạn sinh viên vào thực tập, mà về sau hỏi lại thì bạn này lại học trường P* =))). (nghĩ cũng tội mà thôi cũng …)
Phòng mình cũng không có một cái lộ trình nào gọi là cụ thể để đào tạo các bạn sinh viên thực tập cả, hầu như những người qua được phỏng vấn đều là các bạn có một cái base gì đó về ATTT/pentest sẵn rồi.
Các bạn thực tập sẽ được giao những task nhỏ để làm và theo dõi, sẽ được chấn chỉnh lại thêm trong suốt quá trình thực tập.
Theo mình, giao việc là cách tốt nhất để học được kiến thức mới.
Bao nhiêu kiến thức đã được dạy ở trường nhưng không có chỗ thực hành, đều trả lại với sách vở hết.
Khi đi làm, được va chạm thực tế thì cùng là một kiến thức đó nhưng nó không được đánh giá bằng điểm số, mà đôi khi còn phải trả giá bằng tiền mặt và uy tín. Không muốn nhớ cũng không được!
👉Vấn đề cuối cùng, cũng như là thứ quan trọng nhất mỗi khi tuyển dụng tại Trung tâm của mình, đó là đạo đức và lòng tin!
Điều đầu tiên được xem xét trước khi ứng viên được gọi tới phỏng vấn kín, đó là xem xét về mặt đạo đức, sự trung thực và trung thành của ứng viên với những tổ chức mà ứng viên đã tham gia trước đó.
Giả sử như trong vòng 6 tháng nhảy tới 3 cái công ty liền thì không ai dám tuyển dụng vào cả.
Hoặc như là sử dụng dữ liệu của công ty để phục vụ cho mục đích tư lợi, đem bán dữ liệu các thứ … Đây là những điều tối kỵ của một pentester!
Bởi trong thực tế, những hệ thống/sản phẩm mà pentester được giao cho đa số là được bên yêu cầu tự nguyện, có bao gồm rất nhiều thông tin nhạy cảm của tổ chức/người dùng trong đó. Trong quá trình pentest, hoàn toàn có thể lấy được hết các thông tin nhạy cảm này, việc sử dụng những thông tin đó như thế nào phụ thuộc hoàn toàn vào đạo đức/nhân cách của người pentest.
Nhiều khi những thông tin đó có thể trị giá lên tới hàng trăm triệu/hàng tỉ đồng, hoặc khiến cho một tổ chức nào đó sụp đổ chỉ với một mẩu nhỏ dữ liệu bị phát tán ra!
Tiếp tới cũng giống như về đạo đức, đó là về sự trung thành:
“Không ai có thể làm tôi hai chủ: vì hoặc nó sẽ ghét người này, và yêu mến người kia, hoặc nó chuộng chủ này, và khinh chủ nọ.”
.
.
Như vậy là mình đã nói qua về nội dung làm việc của những người làm kiểm thử xâm nhập nói riêng, trong ATTT được phân mảnh thành khá nhiều lĩnh vực nhỏ, trong bài viết sau mình sẽ nói thêm về chúng!
Cảm ơn các bạn đã theo dõi!
__Jang of VNPT ISC__