Chuyển đến nội dung chính

Suy nghĩ về việc theo đuổi lĩnh vực An ninh mạng.


Tình cờ hôm nay có đọc được bài viết có rất nhiều tips dành cho những ai đang muốn bước chân vào lĩnh vực bảo mật. Khá là hay nên dịch ra và chia sẻ cho mọi người đọc tham khảo và thảo luận.
SUY NGHĨ VỀ VIỆC THEO ĐUỔI LĨNH VỰC AN NINH MẠNG?
Mỗi năm trên thế giới hàng nghìn người tốt nghiệp từ các trường cao đẳng và đại học với tấm bằng an ninh mạng hoặc khoa học máy tính tìm đến những nhà tuyển dụng chẳng mấy hứng thú về những kỹ năng nền tảng mà họ đã được từ trường lớp. Dưới đây là một khảo sát được thực hiện nhằm xác định những khoảng trống trong các kỹ năng nghề nghiệp trong lĩnh vực an ninh mạng và một vài suy nghĩ về việc làm thế nào những ứng viên trở nên nổi bật hơn khi tìm kiếm nghề nghiệp trong lĩnh vực này.
Hầu như mỗi tuần KrebsOnSecurity nhận được ít nhất một email với nội dung tìm kiếm lời khuyên trong việc làm thế nào để bước chân vào lĩnh vực an ninh mạng. Trong hầu hết các trường hợp, những người khao khát bước vào nghề hỏi về các chứng chỉ hoặc chuyên môn nào trong bảo mật máy tính họ nên theo học để có được triển vọng trong nghề.
Hiếm khi tôi được hỏi những kỹ năng nào mà họ nên học hỏi để trở thành những ứng viên tiềm năng khi ra trường. Trong khi tôi luôn mở đầu với mọi phản hồi với cảnh báo rằng tôi không có có bất kỳ chứng chỉ nào liên quan đến máy tính nhưng việc nói chuyện thường xuyên với các quản lý cấp cao trong lĩnh vực an ninh mạng và những người làm công tác tuyển dụng cho tôi thấy được cái nhìn của họ đối với các ứng viên an ninh mạng tiềm năng.
Cái nhìn chung của những nhà quản lý cấp cao đối với các ứng viên an ninh mạng là rất nhiều người thiếu kinh nghiệm thực tiễn trong các lĩnh vực quan trọng như vận hành, bảo trì và bảo vệ các hệ thống thông tin.
Hiển nhiên là hầu hết những người vừa tốt nghiệp sẽ thiếu kinh nghiệm thực tiễn. Nhưng may mắn thay, ở một khía cạnh nào đó trong lĩnh vực an ninh mạng, chúng ta có thể có nắm vững những kỹ năng thực tiễn và các kiến thức nền thông qua định hướng tự học tập và phương pháp học từ những lần mắc lỗi.
Một trong những lời khuyên mà tôi vẫn luôn đính kèm trong các phản hồi đó là hãy tìm hiểu các nội dung cốt lõi trong cách máy tính và các thiết bị điện tử khác kết nối với nhau. Tôi nói điều ra điều này bởi lẽ rằng tinh thông trong lĩnh vực mạng máy tính là một kỹ năng thiết yếu mà rất nhiều lĩnh vực khác được xây dựng nên. Cố gắng tìm kiếm một công việc trong lĩnh vực an ninh mạng khi không có một kiến thức đủ sâu về cách các gói dữ liệu hoạt động như thế nào như thể cố gắng trở thành một nhà hoá học mà không hiểu gì về bảng tuần hoàn các nguyên tố hoá học.
Viện SANS, một công ty nghiên cứu và đào tạo bảo mật có trụ sở tại Bethesda gần đây đã tiến hành một khảo sát gồm hơn 500 nhân viên an ninh mạng tại 284 công ty khác nhau trong một nỗ lực tìm ra những kỹ năng họ thấy hữu ích nhất và những kỹ năng còn thiếu ở các ứng viên.
Cuộc khảo sát yêu cầu những người tham gia đánh giá các kỹ năng khác nhau theo mức độ từ “then chốt" đến “không cần thiết". 85% người tham gia cho rằng networking là kỹ năng rất quan trọng, theo đó là hệ điều hành Linux (77%), Windows (73%), các kỹ thuật tấn công thông thường (73%), cấu trúc máy tính và ảo hoá (67%), dữ liệu và mật mã (58%). Ngạc nhiên là chỉ 39% những người tham gia cho rằng lập trình là kỹ năng đóng vai trò quan trọng trong lĩnh vực an ninh mạng.
Alan Paller, giám đốc nghiên cứu viện SANS cho biết “Những nhà tuyển dụng thông báo rằng sự chuẩn bị của các sinh viên an ninh mạng là không đầy đủ và họ thường nản lòng khi phải dành ra hàng tháng để tìm kiếm được những nhân viên đủ tiêu chuẩn đầu vào". “Chúng tôi đưa ra giả thuyết rằng sự khởi đầu hướng tới giải quyết những thách thức trong lĩnh vực nhân sự ngành an ninh mạng có thể là cô lập những khả năng mà các nhà tuyển dụng mong đợi nhưng chúng cũng không được tìm thấy ở các ứng viên tốt nghiệp ngành an ninh mạng".
Sự thật là những chuyên gia thông minh nhất, tài năng nhất trong lĩnh vực an ninh mạng mà tôi biết đều không có các chứng chỉ liên quan đến máy tính. Thực tế, rất nhiều trong số họ chưa từng đến các trường cao đẳng hoặc hoàn thành một chương trình để có một tấm bằng đại học. Thay vào đó, họ bước chân vào lĩnh vực an ninh mạng bởi đam mê và trí tò mò về lĩnh vực này, sự tò mò đó dẫn dắt họ tìm tòi và học tập hết sức có thể - chủ yếu thông qua việc đọc, thực hành và các sai lầm.
Tôi nhắc đến điều này không phải để can ngăn bạn đọc theo đuổi những tấm bằng hoặc các chứng chỉ trong lĩnh vực an ninh mạng mà để nhấn mạnh rằng những giấy tờ này không nên được xem là những tấm vé vàng cho một nghề nghiệp xứng đáng, ổn định và có mức lương cao. Quan trọng hơn hết, việc không thuần thục một trong những kỹ năng được nhắc đến ở trên, bạn đơn giản không thể trở thành một ứng viên có đủ sức hút và nổi trội khi thời cơ đến.
Nhưng … Làm thế nào?
Vậy bạn nên tập trung vào đâu và đâu là con đường tốt nhất để bắt đầu? Đầu tiên, việc hiểu được rằng trong khi có vô vàn các cách khác nhau để thu thập kiến thức và hầu hết không có giới hạn cho việc bạn khám phá, bắt tay vào làm một cái gì đó là cách nhanh nhất để học tập.
Đừng hiểu nhầm, tôi không nói về việc xâm nhập vào network của một ai nó hoặc hack những trang web kém bảo mật. Đừng thực hành kỹ năng này khi không được phép. Nếu bạn nhắm vào các dịch vụ bên thứ ba hoặc các website, hãy quan tâm tới những dịch vụ và trang web cho bạn sự công nhận hoặc những phần thưởng thông qua các chương trình bug bounty và đảm bảo rằng bạn tôn trọng những giới hạn của những chương trình này.
Bên cạnh đó, hầu hết những thứ bạn muốn học thông qua thực hành có thể tìm thấy dễ dàng. Bạn muốn master các kỹ thuật tấn công và nắm được các lỗ hổng phổ biến? Có vô số nguồn miễn phí bạn có thể tìm; các bộ công cụ tấn công được xây dựng sẵn như Metasploit, WebGoat, và các bản phân phối tùy chỉnh như Kali Linux đều được hỗ trợ bởi các hướng dẫn trên mạng. Có vô vàn những công cụ khám phá lỗ hổng như Nmap, Nessus, OpenVAS và Nikto. Dĩ nhiên đây không phải là một bản liệt kê đầy đủ.
Xây dựng cho mình những phòng thí nghiệm hacking ? Bạn có thể làm điều đó với một chiếc máy tính hoặc server dự phòng, hoặc với những phần cứng cũ được bày bán trên eBay hoặc Craigslist, đa dạng về chủng loại với một mức giá hạt giẻ. Các công cụ ảo hoá như VirtualBox có thể giúp bạn dễ dàng hơn trong việc làm quen với các hệ điều hành khác nhau mà không cần thêm các phần cứng.
Hoặc bạn có thể trả tiền cho một ai đó giúp bạn thiết lập một máy chủ ảo bằng các dịch vụ Amazon's EC2 cũng là một sự lựa chọn có chi phí thấp. Nếu kiểm tra các ứng dụng web là thứ mà bạn muốn học, bạn có thể cài đặt bất cứ dịch vụ web trên các máy tính trong mạng cục bộ của mình như các phiên bản cũ của WordPress, Joomla hay các hệ thống giỏ hàng như Magento.
Muốn học networking? Bắt đầu bằng cuốn sách đầy đủ về TCP/IP và thực sự học về các ngăn xếp về mạng và các lớp mạng tương tác với nhau như thế nào.
Và trong khi bạn tiếp thu thông tin này, hãy học cách sử dụng một vài công cụ giúp bạn thực hành trong thực tế. Ví dụ, làm quen với Wireshark và Tcpdump, những công cụ hữu ích được các quản trị viên mạng dựa vào để khắc phục sự cố mạng và các vấn đề bảo mật hay để hiểu cách thức hoạt động của các ứng dụng mạng. Bắt đầu bằng việc kiểm tra lưu lượng mạng bạn đang dùng, duyệt web và việc sử dụng máy tính hàng ngày. Cố gắng hiểu được các ứng dụng trên máy tính hoạt động như thế nào bằng cách nhìn vào các dữ liệu chúng gửi và nhận ra sao, đi tới đâu.
LẬP TRÌNH
Trong khi khả năng lập trình các ngôn ngữ như Go, Java, Perl, Python, C hay Ruby có hoặc không phải là kỹ năng hàng đầu được yêu cầu bởi các nhà tuyển dụng, có được một hoặc một vài ngôn ngữ trong bộ kỹ năng của bạn không chỉ giúp bạn trở nên cuốn hút hơn trong mắt nhà tuyển dụng mà nó còn giúp bạn đào dễ dàng phát triển sâu hơn trong lĩnh vực này.
Nhiều người cảm thấy bị ngăn cản bởi suy nghĩ phải học một ngôn ngữ lập trình, hãy bắt đầu bằng việc làm quen với các công cụ có các dòng lệnh đơn giản trên Linux. Chỉ cần học cách viết các cú pháp đơn giản phục vụ cho việc tự động hoá các tác vụ thủ công cụ thể cũng đã là một bước ngoặt tuyệt vời. Còn nữa, thành thạo trong việc tạo ra các shell script sẽ mang đến cho bạn những mức lương tuyệt vời trong suốt sự nghiệp liên quan đến máy tính của bạn.
SỰ GIÚP ĐỠ
Không có lỗi lầm: Cũng giống như việc học một nhạc cụ hay một ngôn ngữ mới, tìm kiếm các kỹ năng an ninh mạng yêu cầu chúng ta đầu tư một lượng lớn thời gian và nỗ lực. Nhưng đừng nản lòng nếu bạn thấy một vấn đề nào đó trông quá sức; hãy dành thời gian cho nó và tiếp tục tìm hiểu.
Đó là lý do vì sao có những group giúp giải quyết những vấn đề như thế. Trong lĩnh vực an ninh mạng, mạng lưới kết nối giữa con người với con người được thể hiện qua các hội nghị và các cuộc gặp gỡ theo vùng miền. Tôi không thể nhấn mạnh hơn nữa tầm quan trọng của những kết nối này khi bạn dành thời gian tham gia với những người cùng chí hướng một cách thường xuyên.
Rất nhiều những buổi tụ họp là miễn phí như các sự kiện bảo mật BSides, các nhóm DEFCON và các chi hội OWASP. Khi cánh mày râu vẫn chiếm một lượng lớn trong lĩnh vực công nghệ, có rất nhiều những cuộc gặp gỡ về an ninh mạng dành riêng cho phụ nữ như Women's Society of Cyberjutsu.
Trừ khi bạn sống ở một nơi xa xôi hẻo lánh, rất có thể sẽ có một số hội nghị bảo mật và cuộc hội họp được tổ chức trong khu vực chung của bạn. Nhưng ngay cả khi bạn cư trú tại các chiến trường thì tin tốt là rất nhiều những cuộc gặp gỡ này sẽ diễn ra trực tuyến nhằm tránh nạn dịch Covid-19.
Tổng kết lại, đừng dựa vào một tấm bằng hoặc chứng chỉ để chuẩn bị cho mình những kỹ năng các nhà tuyển dụng mong chờ bạn sở hữu. Nghe có vẻ không công bằng nhưng bạn phải phát triển và nuôi dưỡng những kỹ năng này trong lĩnh vực an ninh mạng.
Dịch: Van Dong Bui

Nhận xét

Bài đăng phổ biến từ blog này

HttpOnly Flag và Secure Flag của chiếc Cookie để làm gì?

Cookies rất hữu ích nhưng cũng tồn tại không ít rủi ro. Bài viết sau đây giúp tìm hiểu rõ thêm về 2 thuộc tính giúp bảo vệ Cookies là Httponly flag   và Secure flag.   Nếu anh em mò vào được bài này thì chắc cũng biết về Cookie rồi, nhưng còn hiểu lơ mơ    thì click vào đây trước nhé -  Cookie . Chuyện kể rằng, ngày xửa ngày xưa, có một "nghệ sĩ" nọ do không sao kê tiền từ thiện nên đã bị hacker tấn công chiếm rất nhiều tài khoản do bị mất cookie.  1. Tại sao lại mất?   Nguyên nhân "nghệ sĩ" bị mất thông tin cá nhân là do quá chủ quan khi click đọc email do rất nhiều "fan" gửi cho, trong những email đó có gắn đường link chứa mã độc đánh cắp cookie của 1 trang web nào đó.  Do cookies phản hồi từ server mà các đường link đó dẫn tới không được bảo vệ     nên đã bị đối tượng xấu lấy mất cookies chứa xác thực đăng nhập -> dẫn tới mất thông tin. Về mặt bản chất, cũng có thể hiểu đây như là một cuộc tấn công XSS , đối tượng gửi email sẽ execute một đoạn scri

Những câu hỏi phỏng vấn kỹ sư bảo mật thường gặp.

Dưới đây là một danh sách các câu hỏi thường được sử dụng trong việc phỏng vấn tuyển dụng chuyên gia bảo mật. Nhiều câu hỏi được thiết kế buộc người được phỏng vấn phải suy nghĩ, và không thể chuẩn bị trước cho dạng câu hỏi này. Ở đó, các phản ứng của ứng viên cũng quan trọng  như câu trả lời. Một số câu hỏi được pha trộn giữa kỹ thuật và lý thuyết, hoặc câu hỏi tìm hiểu quan điểm của ứng viên để tạo ra những câu hỏi khó khăn hơn. Các câu hỏi cũng thường được chia thành các thể loại khác nhau, một số câu hỏi mẹo sẽ được chèn vào giữa. Mục đích của những câu hỏi dạng đánh đố này là tìm kiếm những điểm yếu kỹ thuật thường chỉ xuất hiện khi ứng viên đi vào làm việc :| . Nhóm câu hỏi chung 1. Giữa các dự án mã mở và mã đóng, bên nào bảo mật hơn? Câu trả lời của ứng viên sẽ nói rất nhiều về họ. Nó cho thấy 1) họ biết những khái niệm gì trong phát triển phần mềm, 2) cho thấy mức độ chín chắn của ứng viên. Mục tiêu chính của câu hỏi là đưa ra được ưu/ nhược điểm của hệ mã đóng và mã m

[Relax] Cuốn sách "300 bài code thiếu nhi" phiên bản "Có thật"

Lưu ý: sách ở cuối bài nhé! Trong giới IT từ lâu đã lưu truyền giai thoại về cuốn sách đổi đời có tên "300 bài code thiếu nhi". Theo đó, nhiều người thuộc tầng lớp khác nhau đã thành đạt, lương ngàn đô nhờ vô tình nhặt được và học theo những bài code trong cuốn sách này. Những câu chuyện đổi đời nhờ cuốn sách "300 bài code thiếu nhi" 1. Bà hàng xóm nhà mình đây, trước đi buôn đồng nát, tình cờ có thằng sinh viên khoa CNTT nó bán đống sách cũ. Thế nào mà bà ấy mua "300 bài code thiếu nhi" cầm về đọc. Rồi sáng đi mua đồng nát, tối về đọc sách, cuối tuần ra quán net thực hành. Sáu tháng sau bà ấy khăn gói lên Hà Nội đi phỏng vấn, cũng nhờ code trên giấy nhiều mà mấy bài "white board" bà ấy làm ngon ơ. Cũng 5 năm rồi, giờ đang làm lead ở một công ty khá lớn. Đúng là cái nghề này mang lại cơ hội đổi đời cho nhiều người. 2. Quê tôi miền biển, có gia đình cạnh nhà làm nghề chài lưới. Bữa đi kéo lưới, anh chồng thấy nặng nặng tưởng được mẻ cá to, ai ngờ