Bạn hỏi: Cách học cybersecurity và những projects bạn nên làm để lấy kinh nghiệm thực tế

Xin chào, mở đầu cho số thứ nhất của chuyên mục hỏi đáp cách học cybersecurty hôm nay chúng ta sẽ đến với câu hỏi của một bạn tên Khang.

Câu hỏi như sau:

Làm sao để có kiến thức sâu rộng trong lĩnh vực cybersecurity và liệu có những projects nào mà sinh viên cao đẳng/đại học có thể làm để lấy kinh nghiệm thực tế không?

---

Trả lời:

Mình sẽ phân câu hỏi bạn ra thành 2 ý chính:

1. Làm sao để có kiến thức sâu rộng trong lĩnh vực cybersecurity?
2. Projects để có kinh nghiệm thực tế

Ý số 1:

Cách duy nhất để có kiến thức sâu rộng trong lĩnh vực cybersecurity là tự tìm tòi, học hỏi không ngừng, vì công nghệ gần như thay đổi mỗi ngày và bạn sẽ không thể pentest hay bảo vệ một hệ thống nếu như bạn không biết gì về nó hết.

Tuy nhiên, để việc học có hiệu quả, cá nhân mình nghĩ trước tiên bạn cần xác định đúng lĩnh vực mà mình muốn dấn thân vào cái đã. Vì cybersecurity rất rộng và không một ai dám tự khẳng định mình biết hết tất cả mọi thứ. Một số mảng lớn trong cybersecurity có thể kể đến như:

• Penetration testing
• Reversing engineering
• Security research
• Security consultant
• Software security
• System security
• Security auditing
• Security management
• Malware analysis
• Incident response
• Forensic

Cũng giống như trong IT, nhiều anh viết phần mềm không biết cách cài win, thì trong cybersecurity cũng có nhiều security manager không biết reversing engineering. Mình đã từng được phỏng vấn với security manager của một công ty về quốc phòng khá lớn của Canada, bác này thừa nhận rằng mình không phải cái gì cũng biết, nếu kêu bác reversing engineering một con malware hay một phần mềm thì bác ấy xin thua.

Nói ra để thấy việc chọn đúng mảng mà bạn yêu thích để đi vô cùng quan trọng và là yêu cầu tiên quyết đầu tiên bạn cần đạt được. Ở trường có thể bạn sẽ được đào tạo tất cả các mảng trên, nhưng thực tế có lẽ sẽ không ai nói với bạn rằng bạn phải chọn 1 trong các mảng đã học, cố gắng tự học và tìm hiểu sâu để đạt tới mức đủ khả năng để đi làm.

Sau khi đã biết mình muốn làm gì rồi, bạn có thể nâng cao kiến thức về mảng mình thích bằng cách:

• Tìm bài viết, sách học, khóa học online, video You Tube
• Tham gia discord, clubs, về mảng bạn yêu thích
• Tự học một chứng chỉ trong mảng mà bạn muốn làm
• Đọc báo để cập nhật những thông tin về cybersecurity mới nhất
• Tìm hiểu xem các doanh nghiệp ở thị trường bạn đang sống đang muốn thuê người làm security có những kỹ năng gì và nếu có thể hãy tập trung phát triển những kỹ năng đó.

Mình sẽ lấy bản thân mình làm ví dụ:

• Mình hay tìm các bài viết về pentesting trên Medium, chủ yếu là các bài giải các boxes trong HackTheBox mà không dùng Metasploit, các kỹ thuật xâm nhập và nâng cấp quyền sau xâm nhập. Bên cạnh đó, mình cũng có follow những websites của những bạn viết hẳn code để tối ưu hóa việc xâm nhập rất hay. Một số ít các trang mà mình đang theo dõi:
  • https://www.abatchy.com/
  • https://0xdf.gitlab.io/
  • https://null-byte.wonderhowto.com/
  • https://medium.com/@ranakhalil101
  • https://medium.com/@bondo.mike
  • http://www.fuzzysecurity.com/index.html
  • https://www.sans.org/reading-room
• Về khóa học online, mình học chủ yếu trên nền tảng Udemy và mình rất thích các khóa học chuyên sâu của thầy Heath Adams nhất là 2 khóa chuyên sâu về privilege escalation trên Windows và Linux của thầy. Nền tảng Udemy cũng rất hay giảm giá sâu các khóa học của mình, một khóa học chất lượng sau khi giảm chỉ có giá tầm $15 – $20 theo mình là quá rẻ. Ngoài ra mình còn học trên LinkedIn Training nữa.
• Video You Tube thì mình hay xem của IPP Sec, chủ yếu là các cách giải boxes của HackTheBox; anh này còn phát triển cả website cho phép người dùng search các kỹ thuật tấn công mà anh đã demo trong videos của mình. Ngoài ra mình còn theo dõi các tài khoản như:
  • https://www.youtube.com/channel/UC9-y-6csu5WGm29I7JiwpnA
  • https://www.youtube.com/channel/UCXXXoi68Hv6caNLWfw7j8MQ
  • https://www.youtube.com/user/DEFCONConference/videos
  • https://www.youtube.com/channel/UC0ZTPkdxlAKf-V33tqXwi3Q
  • https://www.youtube.com/channel/UCa6eh7gCkpPo5XXUDfygQQA
  • https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w
  • https://www.youtube.com/channel/UCthV50MozQIfawL9a_g5rdg
  • https://www.youtube.com/channel/UC0ArlFuFYMpEewyRBzdLHiw (Đây là kênh của anh Heath Adams mà mình đã đề cập ở trên)
• Club thì hiện tại mình đang tham gia câu lạc bộ infosec của đại học Calgary
• Chứng chỉ thì mình hiện đang theo OSCP và tương lai sẽ là OSCE và OSWE. CISSP mình chỉ học để có thêm kiến thức về quản lý thôi. Nếu bạn băn khoăn không biết nên học chứng chỉ nào thì có thể tham khảo map sau
• Báo thì hiện nay mình đang theo dõi các báo:
  • https://thehackernews.com/
  • https://cyware.com/cyber-security-news-articles
• Về sách thì mình có đọc vài cuốn như:
  • Giáo trình của PWK
  • Coding for penetration testing
  • Series Hacker handbook
  • Hacking: The Art of Exploitation 2
  • Python: Penetration testing for developers
  • Advanced penetration testing for highly-secured environments (2nd edition)
  • Penetration testing: A hand on introduction to hacking

Đọc đến đây chắc sẽ có nhiều bạn nghĩ mình chắc là một thằng cuồng hacking và học 18, 19 tiếng/ngày :)). Nhưng thú thật là mình khá lười, lại có tính hay trì hoãn, nên một ngày mình chỉ học được tối đa tầm 4, 5 tiếng thôi, nhưng hôm nào có hứng hay gặp phải chuyên đề hay là mình chơi một lèo luôn 9, 10 tiếng liên tục. Ngoài giờ học, mình cũng dành thời gian chơi guitar và piano, đọc sách ngoài chuyên ngành, tập thể dục, xem anime, đọc manga, xem You Tube để giữ cuộc sống luôn cân bằng. Khi nào học không nổi nữa là mình ngưng học luôn 3, 4 ngày, chơi cho đã rồi sau đó quay lại học tiếp. Vì lẽ đó tiến độ công việc hiện tại của mình không nhanh và đôi khi thành quả không như mong muốn :)), thế nên mình đang cố gắng cải thiện mọi thứ mỗi ngày một chút, nhưng cố gắng không gây quá nhiều áp lực lên bản thân để bản thân bị stress không cần thiết.

Tụ chung lại, với ý số 1 của câu hỏi, mình sẽ tóm lại 4 ý chính sau:

Để có được kiến thức sâu rộng trong lĩnh vực cybersecurity, cách duy nhất là bạn phải tự tìm tòi và học hỏi.

Để việc học có hiệu quả, bạn cần phải xác định được mảng mà mình yêu thích.

Sau khi xác định xong, bạn nên tìm các bài viết, sách, khóa học online, chứng chỉ, videos về mảng đó để học những kiến thức cần thiết đồng thời đọc báo để cập nhật những thông tin mới nhất về cybersecurity.

Đừng để bản thân stress một cách không cần thiết.

Ý số 2:

Theo mình thấy thì bên cạnh việc đi thực tập để lấy kinh nghiệm. Nếu bạn muốn tham gia vào một project có giáo viên hướng dẫn và giám sát, bạn có thể thử tham khảo 2 links sau:

• Project course 1
• Project course 2

Ngoài ra bạn có tự làm những project cá nhân nho nhỏ dựa trên những ý tưởng sau:

• Thực hành trên HackTheBox, TryHackMe hoặc nền tảng PG Play
• Tập viết một chương trình tối ưu hóa cách xâm nhập một box nào đó trên HackTheBox
• Thử khôi phục lại nội dung đã xóa trên ổ cứng hoặc tìm hiểu xem các phần mềm chuyên dụng đã làm điều đó như thế nào
• Mua một chiếc prone hoặc một thiết bị IoT như smartlight về và thử pentest nó
• Reversing engineering một phần mềm nào đó ví dụ như trò chơi Bomb trên Windows chẳng hạn, nghiên cứu xem liệu bạn có thể ăn gian được không
• Xây dựng một môi trường thực tập malware analysis và nghiên cứu cách malware hoạt động bằng máy ảo
• Nghiên cứu malware traffic với trang sau
• Xây dựng một hệ thống với pfSence làm tường lửa và sử dụng Snort làm IDS/IPS và thử xâm nhập vào hệ thống trên
• v.v

Bên cạnh đó, việc tham gia các cuộc thi CTF hay các chương trình bug bounty do các doanh nghiệp tổ chức cũng là một trong những cách giúp bạn có kinh nghiệm thực tế nếu bạn muốn làm pentester.

Nói chung, ý tưởng có rất nhiều, nhưng bạn nên nhớ, nếu bạn muốn thực hành ví dụ như nmap một website chẳng hạn, bạn không được phép thực hành trên những hệ thống mà bạn không sở hữu hay không được phép của chủ sở hữu hợp pháp của hệ thống đó. Vì hành động đó là một hành động vi phạm pháp luật. Và nếu chẳng may bạn làm sập hệ thống của người ta dù không có ý phá hoại, nhưng bạn vẫn có khả năng bị kiện và buộc bồi thường.

Mình cũng có một gợi ý với các bạn đó là các bạn hãy lập một website như trang tuhocnetworksecurity này trên WordPress.com, hoàn toàn miễn phí các bạn à. Khi các bạn có một website, hãy tập trình bày thành quả thực tập của mình một cách chỉnh chu nhất có thể và hãy để đường link của website của bạn vào resume khi bạn đi xin việc. Mục đích của hành động này đó là cho nhà tuyển dụng thấy những projects, những kỹ năng và kinh nghiệm mà bạn đã đạt được. Nó sẽ giúp bạn nổi bật hơn so với những ứng viên khác.

---

Hy vọng phần trả lời của mình đã phần nào làm hài lòng bạn Khang,

Nếu bạn cũng muốn được mình hoặc anh Khoa trả lời thắc mắc trong việc học cybersecurity như bạn Khang, hãy đặt câu hỏi tại đây nhé.

Xin cám ơn,

Vincent Nguyễn