Tự học InfoSec – Part 2: Làm/học an toàn thông tin thì cần những gì?

Xin chào, hôm nay mình sẽ liệt kê những yếu tố mà theo ý kiến cá nhân của mình là không thể thiếu nếu bạn quyết định làm việc hoặc học về an toàn thông tin.

1 – Ngoại ngữ (cụ thể là tiếng Anh):

Ngoại ngữ đặc biệt là tiếng Anh là điều kiện đầu tiên nhất định phải có nếu bạn muốn làm việc hoặc học về an toàn thông tin. Vì:

  • Gần như tất cả các nguồn học như sách, khóa học online, videos hướng dẫn cũng như các chứng chỉ danh tiếng trong lĩnh vực InfoSec đều là tiếng Anh. Rất ít tài liệu được dịch sang tiếng Việt, mà nếu có nhiều khả năng nó đã lỗi thời.
  • Bạn không thể trong cậy vào Google dịch vì đi thi không ai cho bạn dùng Google dịch cả. Mà nếu có cũng chẳng có gì đảm bảo Google dịch cho kết quả chính xác.
  • Không có tiếng Anh, bạn không thể trao đổi với những thành viên trong các hội, nhóm về InfoSec dẫn đến việc bạn mất đi cơ hội học từ những người đã đi làm thực tế, cũng như mất cơ hội việc làm có thể có.
  • Không có tiếng Anh, khiến cho bạn mất đi khả năng tìm được giải pháp cho những vấn đề mình đang gặp phải. Ví dụ: Bạn không biết cách cài đặt tường lửa của Paolo Alto lên đám mây Azure, tìm Google thì chỉ toàn là tiếng Anh, lúc này bạn sẽ làm gì?

Nói tóm lại, nếu không có tiếng Anh, bạn sẽ luôn là người đi sau và chỉ có thể nhìn cơ hội vụt qua bạn dù bạn có tài giỏi đến đâu đi chăng nữa. Bạn cũng chẳng cần tiếng Anh phải ở mức IELTS 8, 9.0. Chỉ cần ở mức có thể đọc được tài liệu, xem được videos không cần dịch, và giao tiếp hiệu quả là được.

2 – Khả năng tự học :

Mặc dù hiện đang ngồi trên ghế nhà trường, nhưng không chỉ mình mà cả các bạn cùng lớp đều nhiều lần tự hỏi “liệu chỉ học trên lớp có đủ để mình ra ngoài kiếm việc làm hay không?”. Khi tìm hiểu các yêu cầu về công việc trên thị trường, mình nhận ra có rất nhiều điều ở trường không dạy cả về kỹ thuật lẫn phi kỹ thuật. Ví dụ: Mặc dù là học về InfoSec, nhưng trường không dạy mình về Cloud computing, SIEM systems, Containers ví dụ Docker, LXC, hay căn bản nhất là cách sử dụng Kali Linux cho mục đích đánh giá an toàn hệ thống.

Thêm nữa, các bài giảng trên trường buộc sinh viên phải tự nghiên cứu rất nhiều. Với tốc độ 1 tuần 1 chương dạy trong 4 tiếng, việc giáo viên chỉ nêu ý chính, còn lại học sinh phải tự đọc sách tìm hiểu thêm là điều khó tránh khỏi.

Điều đó có nghĩa, nếu mình không tự học, thì sẽ chẳng ai dạy mình cả. Vì thế, mình bắt đầu tìm đến các khóa học trên Udemy, cũng như mua sách về tự bổ sung những mảng mình còn thiếu.

Khả năng tự học, không chỉ cần thiết với sinh viên, ngay cả các seniors đã làm việc lâu năm trong ngành, khi mình phỏng vấn đều thừa nhận họ luôn cố gắng dành thời gian tự học thêm các chứng chỉ, cũng như bổ sung thêm kiến thức cho mình mỗi ngày, để tránh bị lạc hậu so với nhu cầu thực tế. Một anh senior từng nói với mình “việc tự học vô cùng quan trọng, vì em không thể kiểm tra an toàn của một hệ thống mà không biết gì về hệ thống cũng như công nghệ nó đang dùng được” .

3 – Khả năng sử dụng Google:

Bạn không nhầm đâu, khả năng sử dụng Google search rất quan trọng với người làm security, vì thế mà Deloitte, một trong big4 của giới kiểm toán, yêu cầu ứng viên cho vị trí Cyber Security Analyst bắt buộc phải biết sử dụng Google search.

Một cách cụ thể, với Google search, bạn không chỉ có thể sử dụng cho mục đích đánh giá an toàn hệ thống ví dụ tìm được các files chứa thông tin tài khoản đăng nhập của những websites được bảo mật không tốt nhằm phục vụ cho mục đích giả lập tấn công, mà bạn còn có thể tự tìm ra lời giải cho những vấn đề mình đang gặp phải.

Thông thường, khi gặp một vấn đề không quá lớn, ví dụ như không cài và chạy được VMware workstation trên Kali Linux, hay github của mình có vấn đề chẳng hạn. Các giáo viên của mình đều muốn sinh viên tự giải quyết bằng cách tìm lời giải trên mạng. Họ biết việc đó có thể tốn thời gian, nhưng bù lại sinh viên sẽ học được tính tự lập đồng thời biết được cách xử lý vấn đề đó trong tương lai, chứ không phải cứ phụ thuộc cả vào giáo viên.

Nhờ vậy ở hiện tại mình hoàn toàn tự tin xử lý tất cả các vấn đề mình gặp phải trên máy tính, cũng như khi làm lab, setup các thiết bị như máy in, routers, etc. cũng như dễ dàng tìm được các tài liệu cần thiết phục vụ cho việc học của mình.

Để sử dụng Google hiệu quả, các bạn có thể search Google Hacking hoặc tìm quyển sách Google Hacking for Penetration Testers để tham khảo nhé.

4 – Đam mê đủ lớn :

Có đam mê với InfoSec thôi là chưa đủ mà đam mê phải đủ lớn nữa kìa. Vậy thế nào gọi là đam mê đủ lớn?

Lúc mình apply vào học ngành InfoSec, trường đã bắt mình phải thực hiện một nghiên cứu về chuyên ngành mình sẽ học. Cụ thể mình phải trả lời một cách chi tiết những câu hỏi sau cũng như làm những việc sau:

  1. Tại sao mình làm muốn học InfoSec?
  2. Mình biết gì về InfoSec?
  3. Mình kỳ vọng mức lương sau khi ra trường sẽ là bao nhiêu? dựa vào đâu mình có số liệu đó?
  4. Trước khi học về InfoSec mình đã biết gì về IT hay chưa? và theo mình những kiến thức đó sẽ giúp gì được cho mình trong quá trình học?
  5. Mình kỳ vọng sẽ được dạy những gì khi học tại trường?
  6. Phỏng vấn ít nhất 5 người hiện đang làm trong lĩnh vực InfoSec, tìm hiểu những đặc thù công việc, những yêu cầu với công việc, thuận lợi, khó khăn, tìm hiểu về tương lai ngành etc.
  7. Sau khi phỏng vấn, viết một báo cáo về những gì đã thu hoạch được.

Mục đích của trường là gì? đó là họ muốn cho sinh viên thấy được làm InfoSec là làm gì, và tương lai của chúng mình khi ra trường sẽ như thế nào để từ đó quyết định xem sinh viên có còn muốn học chuyên ngành đó hay không?

Họ lập luận rằng, kỳ vọng của sinh viên là vòng tròn A, thực tế là vòng tròn B. Những điều mà sinh viên kỳ vọng đúng với thực tế sẽ là vùng giao nhau giữa hai vòng tròn là vùng C. Diện tích vùng C lớn hay nhỏ là tùy thuộc vào việc kỳ vọng của sinh viên gần với thực tế bao nhiêu.

Điều đó có nghĩa rằng, nếu không cho sinh viên thấy được thực tại B thông qua bài nghiên cứu, khả năng sau khi ra trường sinh viên phát hiện ngành mình đã học không phù hợp là rất cao. Dẫn đến uổng phí cả thời gian lẫn tiền bạc.

Tóm lại, bạn có quyền đam mê, nhưng đam mê của bạn phải dựa trên những lý do thực tế xuất phát từ nhu cầu thị trường nơi bạn đang sống. Nếu bạn đã biết được học InfoSec khó (cá nhân mình đánh giá là rất khó vì phải học và thành thạo với rất nhiều kiến thức mới trong thời gian tầm 3 – 4 tháng), tương lai sau khi ra trường vẫn phải tự học thêm, đi công tác nhiều, dễ dính vào các vấn đề pháp lý khi kiểm tra an ninh hệ thống, etc. nhưng bạn vẫn muốn học và kiên trì vượt khó đến cùng, thì đó mới gọi là đam mê.

Đừng nghe những người nói học InfoSec vì lương cao, cá nhân mình thấy lương cũng chỉ bằng thậm chí còn thua cả software developer. Nhưng ở giai đoạn vừa ra trường bạn không thể kỳ vọng nhà tuyển dụng trả bạn quá cao được trong khi những người chưa có kinh nghiệm và cùng chuyên ngành như bạn rất nhiều và thực tế lương cao chỉ dành cho chuyên gia, những người mà công việc của họ không phải ai cũng làm được.

Bạn cũng đừng thắc mắc vì sao các công ty cứ than thiếu nhân lực nhưng lại không muốn thuê sinh viên. Vì cái họ thiếu là nhân lực có chuyên môn và kinh nghiệm, chứ không phải là sinh viên mới ra trường với khả năng còn là dấu chấm hỏi. Để rồi họ phải tốn thời gian training mà chưa chắc sau training bạn sẽ chịu ở lại làm việc lâu dài. Đó là lí do, sinh viên với các chứng chỉ chất lượng cao như OSCP hoặc CISSP, dù chưa có kinh nghiệm, nhưng sẽ vẫn được đánh giá cao hơn những ứng viên không có chứng chỉ nào, vì họ biết OSCPers và CISSPers thường đã biết những gì họ phải làm, chỉ cần train họ về văn hóa cũng như quy trình trong công ty là đủ.

5 – Phải luôn biết được mình muốn gì và cần gì

Cuối cùng, sau khi tìm hiểu xong về InfoSec, bạn cần phải xác định xem, bạn muốn làm ở lĩnh vực nào trong InfoSec.

InfoSec là một mảng rất rộng với các lĩnh vực như:

  • Penetration testing
  • Malware analysics/ Reversing Engineering
  • Incident/risk management
  • Forensics
  • Crytography research
  • Security Software Engineering
  • etc.

Bạn có thể đọc lại bài viết cũ của mình tại đây hoặc tự Google xem những lĩnh vực trên công việc như thế nào.

Đừng ham hố chọn tất cả, vì ở giai đoạn đầu, bạn chỉ nên tập trung nguồn lực bản thân vào một lĩnh vực nhất định, hơn là cứ phân tán học mỗi thứ một chút để rồi chẳng cái nào giỏi cả. Nên nhớ, nhà tuyển dụng tuyển người có chuyên môn vững và làm được việc, chứ không tuyển người cái gì cũng biết nhưng lại biết không sâu.

Sau khi đã chọn được lĩnh vực bạn muốn theo, bạn có thể bắt đầu tìm những tài liệu, khóa học online, cũng như những chứng chỉ uy tín để theo học.

Lưu ý: Trên thị trường hiện nay có rất nhiều chứng chỉ về các lĩnh vực như security management, penetration testing, forensics, etc. Trước khi chọn học một tài liệu hay một chứng chỉ nào đó, bạn nên tự hỏi xem, liệu chứng chỉ này có đúng với lĩnh vực mà mình đang theo đuổi hay không? Chứng chỉ này dành cho người mới bắt đầu hay dành cho chuyên gia? Chứng chỉ này sẽ dạy mình những gì và học xong mình sẽ làm được gì? Để đảm bảo bạn không uổng phí tiền bạc cũng như thời gian cho một thứ không phù hợp nhé.

Việc cuối cùng sau khi bạn đã chọn được lộ trình học đó là hãy xây dựng một phương pháp học hiệu quả, phù hợp cho bản thân. Đừng thấy người ta học CEH 3 tháng lấy bằng, mình cũng phải như vậy, trong khi khả năng tiếp thu cũng như hoàn cảnh của mỗi người là khác nhau. Bạn không cần phải là người về đích trước, cái bạn cần là kiến thức bạn đang học thật sự giúp ích được cho công việc của bạn sau này.

Chúc bạn nhiều sức khỏe và thành công,

Vincent Nguyễn

Advertisement

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s