Chuyển đến nội dung chính

Suy nghĩ về việc theo đuổi lĩnh vực An ninh mạng.


Tình cờ hôm nay có đọc được bài viết có rất nhiều tips dành cho những ai đang muốn bước chân vào lĩnh vực bảo mật. Khá là hay nên dịch ra và chia sẻ cho mọi người đọc tham khảo và thảo luận.
SUY NGHĨ VỀ VIỆC THEO ĐUỔI LĨNH VỰC AN NINH MẠNG?
Mỗi năm trên thế giới hàng nghìn người tốt nghiệp từ các trường cao đẳng và đại học với tấm bằng an ninh mạng hoặc khoa học máy tính tìm đến những nhà tuyển dụng chẳng mấy hứng thú về những kỹ năng nền tảng mà họ đã được từ trường lớp. Dưới đây là một khảo sát được thực hiện nhằm xác định những khoảng trống trong các kỹ năng nghề nghiệp trong lĩnh vực an ninh mạng và một vài suy nghĩ về việc làm thế nào những ứng viên trở nên nổi bật hơn khi tìm kiếm nghề nghiệp trong lĩnh vực này.
Hầu như mỗi tuần KrebsOnSecurity nhận được ít nhất một email với nội dung tìm kiếm lời khuyên trong việc làm thế nào để bước chân vào lĩnh vực an ninh mạng. Trong hầu hết các trường hợp, những người khao khát bước vào nghề hỏi về các chứng chỉ hoặc chuyên môn nào trong bảo mật máy tính họ nên theo học để có được triển vọng trong nghề.
Hiếm khi tôi được hỏi những kỹ năng nào mà họ nên học hỏi để trở thành những ứng viên tiềm năng khi ra trường. Trong khi tôi luôn mở đầu với mọi phản hồi với cảnh báo rằng tôi không có có bất kỳ chứng chỉ nào liên quan đến máy tính nhưng việc nói chuyện thường xuyên với các quản lý cấp cao trong lĩnh vực an ninh mạng và những người làm công tác tuyển dụng cho tôi thấy được cái nhìn của họ đối với các ứng viên an ninh mạng tiềm năng.
Cái nhìn chung của những nhà quản lý cấp cao đối với các ứng viên an ninh mạng là rất nhiều người thiếu kinh nghiệm thực tiễn trong các lĩnh vực quan trọng như vận hành, bảo trì và bảo vệ các hệ thống thông tin.
Hiển nhiên là hầu hết những người vừa tốt nghiệp sẽ thiếu kinh nghiệm thực tiễn. Nhưng may mắn thay, ở một khía cạnh nào đó trong lĩnh vực an ninh mạng, chúng ta có thể có nắm vững những kỹ năng thực tiễn và các kiến thức nền thông qua định hướng tự học tập và phương pháp học từ những lần mắc lỗi.
Một trong những lời khuyên mà tôi vẫn luôn đính kèm trong các phản hồi đó là hãy tìm hiểu các nội dung cốt lõi trong cách máy tính và các thiết bị điện tử khác kết nối với nhau. Tôi nói điều ra điều này bởi lẽ rằng tinh thông trong lĩnh vực mạng máy tính là một kỹ năng thiết yếu mà rất nhiều lĩnh vực khác được xây dựng nên. Cố gắng tìm kiếm một công việc trong lĩnh vực an ninh mạng khi không có một kiến thức đủ sâu về cách các gói dữ liệu hoạt động như thế nào như thể cố gắng trở thành một nhà hoá học mà không hiểu gì về bảng tuần hoàn các nguyên tố hoá học.
Viện SANS, một công ty nghiên cứu và đào tạo bảo mật có trụ sở tại Bethesda gần đây đã tiến hành một khảo sát gồm hơn 500 nhân viên an ninh mạng tại 284 công ty khác nhau trong một nỗ lực tìm ra những kỹ năng họ thấy hữu ích nhất và những kỹ năng còn thiếu ở các ứng viên.
Cuộc khảo sát yêu cầu những người tham gia đánh giá các kỹ năng khác nhau theo mức độ từ “then chốt" đến “không cần thiết". 85% người tham gia cho rằng networking là kỹ năng rất quan trọng, theo đó là hệ điều hành Linux (77%), Windows (73%), các kỹ thuật tấn công thông thường (73%), cấu trúc máy tính và ảo hoá (67%), dữ liệu và mật mã (58%). Ngạc nhiên là chỉ 39% những người tham gia cho rằng lập trình là kỹ năng đóng vai trò quan trọng trong lĩnh vực an ninh mạng.
Alan Paller, giám đốc nghiên cứu viện SANS cho biết “Những nhà tuyển dụng thông báo rằng sự chuẩn bị của các sinh viên an ninh mạng là không đầy đủ và họ thường nản lòng khi phải dành ra hàng tháng để tìm kiếm được những nhân viên đủ tiêu chuẩn đầu vào". “Chúng tôi đưa ra giả thuyết rằng sự khởi đầu hướng tới giải quyết những thách thức trong lĩnh vực nhân sự ngành an ninh mạng có thể là cô lập những khả năng mà các nhà tuyển dụng mong đợi nhưng chúng cũng không được tìm thấy ở các ứng viên tốt nghiệp ngành an ninh mạng".
Sự thật là những chuyên gia thông minh nhất, tài năng nhất trong lĩnh vực an ninh mạng mà tôi biết đều không có các chứng chỉ liên quan đến máy tính. Thực tế, rất nhiều trong số họ chưa từng đến các trường cao đẳng hoặc hoàn thành một chương trình để có một tấm bằng đại học. Thay vào đó, họ bước chân vào lĩnh vực an ninh mạng bởi đam mê và trí tò mò về lĩnh vực này, sự tò mò đó dẫn dắt họ tìm tòi và học tập hết sức có thể - chủ yếu thông qua việc đọc, thực hành và các sai lầm.
Tôi nhắc đến điều này không phải để can ngăn bạn đọc theo đuổi những tấm bằng hoặc các chứng chỉ trong lĩnh vực an ninh mạng mà để nhấn mạnh rằng những giấy tờ này không nên được xem là những tấm vé vàng cho một nghề nghiệp xứng đáng, ổn định và có mức lương cao. Quan trọng hơn hết, việc không thuần thục một trong những kỹ năng được nhắc đến ở trên, bạn đơn giản không thể trở thành một ứng viên có đủ sức hút và nổi trội khi thời cơ đến.
Nhưng … Làm thế nào?
Vậy bạn nên tập trung vào đâu và đâu là con đường tốt nhất để bắt đầu? Đầu tiên, việc hiểu được rằng trong khi có vô vàn các cách khác nhau để thu thập kiến thức và hầu hết không có giới hạn cho việc bạn khám phá, bắt tay vào làm một cái gì đó là cách nhanh nhất để học tập.
Đừng hiểu nhầm, tôi không nói về việc xâm nhập vào network của một ai nó hoặc hack những trang web kém bảo mật. Đừng thực hành kỹ năng này khi không được phép. Nếu bạn nhắm vào các dịch vụ bên thứ ba hoặc các website, hãy quan tâm tới những dịch vụ và trang web cho bạn sự công nhận hoặc những phần thưởng thông qua các chương trình bug bounty và đảm bảo rằng bạn tôn trọng những giới hạn của những chương trình này.
Bên cạnh đó, hầu hết những thứ bạn muốn học thông qua thực hành có thể tìm thấy dễ dàng. Bạn muốn master các kỹ thuật tấn công và nắm được các lỗ hổng phổ biến? Có vô số nguồn miễn phí bạn có thể tìm; các bộ công cụ tấn công được xây dựng sẵn như Metasploit, WebGoat, và các bản phân phối tùy chỉnh như Kali Linux đều được hỗ trợ bởi các hướng dẫn trên mạng. Có vô vàn những công cụ khám phá lỗ hổng như Nmap, Nessus, OpenVAS và Nikto. Dĩ nhiên đây không phải là một bản liệt kê đầy đủ.
Xây dựng cho mình những phòng thí nghiệm hacking ? Bạn có thể làm điều đó với một chiếc máy tính hoặc server dự phòng, hoặc với những phần cứng cũ được bày bán trên eBay hoặc Craigslist, đa dạng về chủng loại với một mức giá hạt giẻ. Các công cụ ảo hoá như VirtualBox có thể giúp bạn dễ dàng hơn trong việc làm quen với các hệ điều hành khác nhau mà không cần thêm các phần cứng.
Hoặc bạn có thể trả tiền cho một ai đó giúp bạn thiết lập một máy chủ ảo bằng các dịch vụ Amazon's EC2 cũng là một sự lựa chọn có chi phí thấp. Nếu kiểm tra các ứng dụng web là thứ mà bạn muốn học, bạn có thể cài đặt bất cứ dịch vụ web trên các máy tính trong mạng cục bộ của mình như các phiên bản cũ của WordPress, Joomla hay các hệ thống giỏ hàng như Magento.
Muốn học networking? Bắt đầu bằng cuốn sách đầy đủ về TCP/IP và thực sự học về các ngăn xếp về mạng và các lớp mạng tương tác với nhau như thế nào.
Và trong khi bạn tiếp thu thông tin này, hãy học cách sử dụng một vài công cụ giúp bạn thực hành trong thực tế. Ví dụ, làm quen với Wireshark và Tcpdump, những công cụ hữu ích được các quản trị viên mạng dựa vào để khắc phục sự cố mạng và các vấn đề bảo mật hay để hiểu cách thức hoạt động của các ứng dụng mạng. Bắt đầu bằng việc kiểm tra lưu lượng mạng bạn đang dùng, duyệt web và việc sử dụng máy tính hàng ngày. Cố gắng hiểu được các ứng dụng trên máy tính hoạt động như thế nào bằng cách nhìn vào các dữ liệu chúng gửi và nhận ra sao, đi tới đâu.
LẬP TRÌNH
Trong khi khả năng lập trình các ngôn ngữ như Go, Java, Perl, Python, C hay Ruby có hoặc không phải là kỹ năng hàng đầu được yêu cầu bởi các nhà tuyển dụng, có được một hoặc một vài ngôn ngữ trong bộ kỹ năng của bạn không chỉ giúp bạn trở nên cuốn hút hơn trong mắt nhà tuyển dụng mà nó còn giúp bạn đào dễ dàng phát triển sâu hơn trong lĩnh vực này.
Nhiều người cảm thấy bị ngăn cản bởi suy nghĩ phải học một ngôn ngữ lập trình, hãy bắt đầu bằng việc làm quen với các công cụ có các dòng lệnh đơn giản trên Linux. Chỉ cần học cách viết các cú pháp đơn giản phục vụ cho việc tự động hoá các tác vụ thủ công cụ thể cũng đã là một bước ngoặt tuyệt vời. Còn nữa, thành thạo trong việc tạo ra các shell script sẽ mang đến cho bạn những mức lương tuyệt vời trong suốt sự nghiệp liên quan đến máy tính của bạn.
SỰ GIÚP ĐỠ
Không có lỗi lầm: Cũng giống như việc học một nhạc cụ hay một ngôn ngữ mới, tìm kiếm các kỹ năng an ninh mạng yêu cầu chúng ta đầu tư một lượng lớn thời gian và nỗ lực. Nhưng đừng nản lòng nếu bạn thấy một vấn đề nào đó trông quá sức; hãy dành thời gian cho nó và tiếp tục tìm hiểu.
Đó là lý do vì sao có những group giúp giải quyết những vấn đề như thế. Trong lĩnh vực an ninh mạng, mạng lưới kết nối giữa con người với con người được thể hiện qua các hội nghị và các cuộc gặp gỡ theo vùng miền. Tôi không thể nhấn mạnh hơn nữa tầm quan trọng của những kết nối này khi bạn dành thời gian tham gia với những người cùng chí hướng một cách thường xuyên.
Rất nhiều những buổi tụ họp là miễn phí như các sự kiện bảo mật BSides, các nhóm DEFCON và các chi hội OWASP. Khi cánh mày râu vẫn chiếm một lượng lớn trong lĩnh vực công nghệ, có rất nhiều những cuộc gặp gỡ về an ninh mạng dành riêng cho phụ nữ như Women's Society of Cyberjutsu.
Trừ khi bạn sống ở một nơi xa xôi hẻo lánh, rất có thể sẽ có một số hội nghị bảo mật và cuộc hội họp được tổ chức trong khu vực chung của bạn. Nhưng ngay cả khi bạn cư trú tại các chiến trường thì tin tốt là rất nhiều những cuộc gặp gỡ này sẽ diễn ra trực tuyến nhằm tránh nạn dịch Covid-19.
Tổng kết lại, đừng dựa vào một tấm bằng hoặc chứng chỉ để chuẩn bị cho mình những kỹ năng các nhà tuyển dụng mong chờ bạn sở hữu. Nghe có vẻ không công bằng nhưng bạn phải phát triển và nuôi dưỡng những kỹ năng này trong lĩnh vực an ninh mạng.
Dịch: Van Dong Bui

Nhận xét

Bài đăng phổ biến từ blog này

So sánh giấy phép mã nguồn mở Apache, MIT, GPL

Mã nguồn mở ngày nay đã và đang trở nên phổ biến hơn bao giờ hết, những dự án mã nguồn mở có thể được tìm thấy hầu như ở bất kì đâu trên không gian mạng rộng lớn này. Tuy nhiên dù có “mở” đi chăng nữa thì những phần mềm mã nguồn mở phải tuân theo những giấy phép nhất định. Điển hình là 3 loại giấy phép phổ biến nhất là Apache, MIT và GPL. Vậy, giữa chúng có gì khác nhau. Trước hết, giấy phép mã nguồn mở là một loại giấy phép được sử dụng cho các phần mềm mã nguồn mở. Giấy phép này cho phép bất kì cá nhân hay tổ chức nào cũng có thể nghiên cứu, thay đổi, chỉnh sửa và cải tiến phần mềm, và phân phối ở các dạng khác nhau như thay đổi hoặc chưa thay đổi. Giấy phép Apache Giấy phép Apache ra đời bởi Quỹ Phần mềm Apache (Apache Software Foundation - ASF). Đây là một giấy phép phần mềm tự do, không có copyleft, bắt buộc trong việc thông báo bản quyển và lời phủ nhận. Giấy phép này hoạt động như các giấy phép phần mềm mã nguồn mở khác, trao cho người sử dụng phần mềm quyền tự do trong b

Mã hóa đối xứng và bất đối xứng

Hôm nay mình xin được nói về hai thuật toán cơ bản và quan trong nhất trong bảo mật đó là mã hóa đối xứng và mã hóa bất đối xứng . 1. Mã hóa đối xứng (mã hóa không công khai- symmetric-key algorithms ) - Là lớp thuật toán các mã hóa trong đó việc mã hóa và giải mã đều dùng chung cho 1 khóa (secret key) 1.1 Các loại thuật toán khóa đối xứng Thuật toán đối xứng có thể được chia ra làm hai thể loại, mật mã luồng ( stream ciphers ) và mật mã khối ( block ciphers ). Mật mã luồng mã hóa từng bit của thông điệp trong khi mật mã khối gộp một số bit lại và mật mã hóa chúng như một đơn vị. Cỡ khối được dùng thường là các khối 64 bit. Thuật toán tiêu chuẩn mã hóa tân tiến ( Advanced Encryption Standard ), được NIST công nhận tháng 12 năm 2001, sử dụng các khối gồm 128 bit. Các thuật toán đối xứng thường không được sử dụng độc lập. Trong thiết kế của các hệ thống mật mã hiện đại, cả hai thuật toán bất đối xứng ( asymmetric ) (dùng chìa khóa công khai) và thuật toán đối xứng được sử

Chuyện nghề Kiểm thử an toàn thông tin

Từ hồi đi làm đến giờ, tôi gặp nhiều tình huống không biết nên trả lời thế nào cho đúng, hôm nay ghi lại đây để mai mốt ai có gặp tham khảo. Khi được liên hệ, tôi thấy đa phần các đơn vị làm xong rồi mới nghĩ đến chuyện kiểm thử, thậm chí là bị hack rồi mới nghĩ tới. Việc pentest nên được triển khai ngay từ khi Phân tích thiết kế hệ thống . Các luồng đi của dữ liệu khi phác thảo ý tưởng ở trên giấy cũng cần kiểm tra tính an toàn, nếu để đến khi đã ra sản phẩm rồi thì đi sửa lại mất nhiều thời gian, công sức hơn nhiều, thậm trí sửa lại sinh ra lỗi mới. Nhiều người vẫn đánh giá các sản phẩm cầm nắm được giá trị hơn sản phẩm trí tuệ, hay sáng tạo. Giống thằng em tôi làm graphic designer hay "được nhờ" vẽ hộ logo hai cái này cái kia, có khi mất cả ngày hoặc nhiều hơn, trong khi không được đồng nào, có khi còn bị chê :)). Nếu làm tốt việc gì đó, đừng bao giờ làm miễn phí hoặc lấy giá quá rẻ . Nghe đồn Louis Vutton đốt trụi rũi hàng ế, chứ chưa bao giờ chịu giảm giá. Relax với chuy