Nghề bảo mật: Cơ hội và thách thức

Lâu lâu, lại có người gửi email “phấn khích” hỏi tôi vài lời khuyên để bắt đầu sự nghiệp trong ngành bảo mật (máy tính, thông tin, mạng…). Thật tuyệt! chúng ta cần thêm những con người đam mê, sáng tạo, và chăm chỉ giúp môi trường công nghệ của ta thêm an toàn.

Với nạn hack tăng đột biết ở nước ta năm nay (điển hình là sự cố Vietnam Airlines). Các doanh nghiệp có lẽ đang cân nhắc đầu tư “mạnh tay” hơn nữa vào bảo mật. Và đây cũng là một ngành nghề mang lại nguồn tài chính khá “khủng”.

CHÚ Ý: Không giống như phim đâu.

Làm việc trong ngành bảo mật không giống như những gì bạn thấy ở Hollywood. Tôi CỰC KỲ THÍCH xem mấy phim liên quan đến hacker để “ảo tưởng” và giải trí, nhưng công việc thường nhật (theo kinh nghiệm của tôi) lại chẳng dồn dập và “sexy” như trên màn ảnh.

Tuy vậy, đây vẫn là một lĩnh vực rất quan trọng, thách thức, và cũng không kém phần xứng đáng.

Không có quy chuẩn nào cả.

Bảo mật là một ngành nghề rất rộng, chuyên sâu, và thực dụng. Hiện thị trường đang có nhu cầu khà cao cho những ai có thể thiết kế và xây dựng hệ thống bảo mật, những người (tìm cách) break hệ thống, những người (tìm cách) xác định xâm nhập,… Theo tôi, khi bạn đã đi theo ngành này, sẽ không có con đường định sẵn duy nhất. Có thể điều này sẽ thay đổi khi lĩnh vực bảo mật phát triển hơn nữa, nhưng việc này cũng rất khó xảy ra. Cũng không giống như những ngành nghề khác cần bằng cấp (như luật hay y dược), nghề này vừa tự do, lại vừa đáng sợ.

Bạn cũng sẽ có lợi thế nếu có nhiều kinh nghiệm và kiến thức về khoa học máy tính ứng dụng, hoặc nguyên tắc làm việc của máy tính và phần mềm. Phần lớn kiến thức “khoa học máy tính ứng dụng” là về việc giải quyết các vấn đề với lớp trừu tượng, và bảo mật thường xoay quanh những giả định sai lệch về những điểm trừu tượng này… và rồi tìm cách xử lý tốt nhất.

Bản thân tôi, với bằng kỹ sư khoa học máy tính từ một trường đại học công, đã thu được ít nhiều kiến thức nói trên. Một số đề tài khá hữu ích với tôi là: hệ điều hành, mạng, cấu trúc máy tính, và complier. Hơn nữa, tôi chỉ theo học những khóa học nào mà mình thấy thích (VD: xử lý tín hiệu số, kỹ thuật y sinh, trí tuệ nhân tạo,…), đồng thời tham gia các hội nhóm sinh viên/thực tập để tìm hiểu thêm về bảo mật mạng, công nghệ tăng cường tính riêng tư, và ứng dụng bảo mật (web, client).

Bạn cũng sẽ có lợi thế lớn nếu hiểu được cách sử dụng công nghệ của con người (người dùng, khách hàng,…). Nếu có thể quay lại thời đại học (vô lo vô nghĩ), tôi sẽ không ngần ngay đăng ký liên mấy lớp tâm lý học, xã hội học,…

Ngành bảo mật rất đa dạng, nhưng đa dạng tới mức nào? Tôi đã từng gặp qua nhiều chuyên gia, có người thì có bằng cấp “truyền thống” (kỹ thuật máy tính, khoa học máy tính, toán,…), cũng có người thì bằng cấp “vô duyên” hơn (hóa, dựng phim, tâm lý học, thiết kế,…) và có cả những anh bỏ học trước khi vớ được cái bằng.

Như bạn thấy, cả có lời giải nào cho câu hỏi “Làm bảo mật cần bằng gì?” cả, và các bạn cũng không nên giới hạn bản thân vì vấn đề bằng cấp. Có thì tốt, mà nếu không có cũng không cần quá lo lằng làm gì.

Ngưng đọc, làm đi!

Nghề nào cũng vậy, bạn nên tích lũy kinh nghiệm thực tế càng nhanh càng tốt. Như vậy, bạn có thể hiểu thêm về sở thích, điểm mạnh và định hướng tương lai của bản thân. Bạn cũng sẽ hiểu được một ngày gồm những công việc gì, môi trường làm việc như thế nào,… Một trong những kinh nghiệm hữu ích nhất tôi từng có được là một công việc thực tập làm tôi… ghét cay ghét đằng, từ đó có thêm biết bao động lực để nhảy sang hướng khác.

Về vấn đề làm sao để có kinh nghiệm, chính bản thân tôi cũng không có câu trả lời rõ ràng. Các bạn có thể tham gia hội thảo, hội chợ việc làm, ứng tuyển thực tập lương thấp (hoặc không lương nếu bạn thật sự thích và muốn học hỏi). Biến cố này dẫn đến biến cố khác, hãy đi từ thấp đến cao, làm việc và học tập chăm chỉ, bạn sẽ sớm đạt được mục tiêu của mình.

Viết code.

Những chuyên gia bảo mật tôi từng gặp qua, ai cũng chủ động ngồi viết code cả. Viết code sẽ cho bạn những kinh nghiệm về việc viết phần mềm, bao gồm những lỗi bảo mật vô ý (và cũng không thể tránh khỏi).

Nếu bạn chưa rõ mình phải bắt đầu ở đâu với project của mình. Bạn cũng có thể thử fix bug trong các project nguồn mở. Ai cũng thích các anh chàng/cô nàng fix được bug! Chủ project sẽ cảm ơn bạn, và đây là một cách tìm kinh nghiệm thực tế rất hay, giúp bạn phần nào làm quen với công việc trong tương lai.

Break code.

Hãy dành thời gian tìm bug trong phần mềm, học cách dùng debugger, network scanner, web debugging proxy, và software fuzzer. Tìm đến các sân chơi cho hacker (ở cấp trình độ nào cũng có). Để có thể tự trâu dồi được, tiếng Anh cũng vô cùng quan trọng.

Đồng thời, hiện có rất nhiều thử thách cho các bạn, vừa là môi trường khá tốt, vừa có thưởng cho các bạn thêm động lực làm việc. Có nhiều trường hợp, các bạn săn bug cho Chrome và Google, được thưởng nhiều quá, nên đâm ra chuyển sang chuyển sang bug hunter luôn.

Chia sẻ kiến thức.

Hiện ở Việt Nam, không có nhiều nơi tụ tập như DEFCON để các “anh tài” thỏa sức thể hiện, phần nào cũng do cộng đồng chuyên về bảo mật-hacker ở nước ta còn khá phân tán và “ẩn dật”. Nếu khá tiếng Anh, các bạn có thể “lân la” sang các cộng đồng quốc tế như SigMil, hay một số sách và tạp chí khá nổi. Hơn hết, các bạn học tập được nhiều nhất là từ đồng nghiệp của mình, chuyên môn của họ, những khó khăn họ gặp phải, hay chỉ là những ý tưởng nữa mùa. Việc chia sẻ kiến thức rất quan trọng vì:

1. Đây là cách làm hiệu quả và cần thiết để có được giải pháp bảo mật tốt nhất (hay sai lầm cần tránh) trong một tổ chức hay project.
2. Khi tự tay chuẩn bị cho buổi thuyết trình hay cho documentation, tôi thường khám phá được nhiều “góc khuất” của vấn đề, từ đó tìm hiểu thêm được nhiều thứ mới.
3. Tôi cũng “ngộ” ra nhiều điều từ những câu hỏi hay lời comment “khó đỡ” của khán giả.

Giao tiếp cũng rất quan trọng.

Với công việc bảo mật, bạn sẽ thường xuyên phải giải thích những vấn đề phức tạp, kỹ thuật cao cho nhiều đối tượng với chuyên môn, và vốn từ vựng khác nhau. Bạn sẽ chả có một mức thang rõ ràng khi phải diễn tả mức độ nghiêm trọng của vần đề, bạn cũng chả có cái gì “hoành tráng” để show ra khi muốn “thể hiện” những giải pháp mới nhất của mình. Bạn còn phải có nhiệm vụ giữ mọi người bình tĩnh, và luôn luôn tập trung, dù đang trong tình thế “nước sôi lửa bỏng”. Như vậy, bạn phải cần thêm kỹ năng giao tiếp nữa, cụ thể hơn, kỹ năng giải thích và thương lượng.

Chuẩn bị tinh thần để làm việc thật chăm chỉ, mà đôi khi vẫn thất bại.

Cái này khỏi nói chắc các bạn cũng biết (nhưng quan trọng thì càng phải nhắc lại)

Bảo mật là công việc thách thức. Bạn phải liên tục học thêm kiến thức mới, vì bức tranh công nghệ luôn luôn biến động, và phướng pháp bảo vệ những công nghệ đó cũng phải phát triển theo (và thường với tốc độ chậm hơn). Phía “nguy cơ”, với thời gian và tài nguyên dồi dào, cũng có khả năng đối phó rất nhanh với những bảo mật mới.

Bảo mật là công việc áp lực. Bản phải xử lý những vấn đề mơ hồ, những giải pháp thiếu toàn diện, dữ liệu hạn chế, và những mối nguy hiện hữu đến sự an toàn của con người.

Rất khó đánh giá thành công trong bảo mật, và theo tôi, khi thất bại thì người ta thấy rất rõ. Và với công nghệ vật lý, ta thường quan tâm trước hết đến việc giảm thiểu nguy cơ, và chả có “tấm áo chống đạn” nào bất khả xâm phạm đâu.

Hãy (cố) giữ sự lạc quan.

Như bạn thấy đấy, khi đã chọn đi theo con đường bảo mật, các bạn phải đối mặt với muôn vàn nỗi phiền muộn. Việc chạy theo bước tiến của công nghệ và sáng chế là hầu như bất khả thi. Điển hình như lỗ hổng buffer overflow đã được biết đến chục năm nay, thế mà đến giờ (2016) vẫn bị hacker lợi dụng như thường. Bởi vậy, bạn hẳn cũng hay nghe người ta nói bảo mật “có cũng như không”, và hacker đang ngày càng thắng thế.

Thực tế quả thật tàn khốc, nhưng hãy giữ tinh thần tích cực lạc quan, và nghĩ đến những gì công nghệ đã làm cho chúng ta, những điều thật ấn tượng! Hãy so sánh sự thay đổi mà công nghệ (và bảo mật) đã và đang mang lại cho ta trong vài chục năm nay mà xem. Công nghệ hiển nhiên không hoàn hảo, và chả sẽ bao giờ hoàn hảo được. Nhưng nó sẽ không ngừng lớn mạnh và làm được những điều càng không tưởng trong tương lai.

Mở miệng nhờ vả.

Dù có “không may” gặp phải mấy cậu “đểu đểu”, các bạn cũng đừng nản chí. Ở đâu cũng có nhiều thành phần bài ngoại, “chảnh chọe”, và bảo mật cũng không ngoại lệ.

Phần lớn những thành công tôi từng đạt được là nhờ sự hỗ trợ, lời khuyên và sự giúp đỡ của rất nhiều người đi trước, mà hiện đã trở thành bạn ngang hàng. Mở miệng hỏi không đồng nghĩa với việc bạn không hợp với ngành này.

Nếu bạn thắc mắc, cứ việc hỏi. Nhưng bạn vẫn phải làm việc thật chăm chỉ, và tạo điều kiện tốt nhất để người khác có thể dễ dàng giúp bạn. Hầu như chuyên gia nào cũng bận bịu cả. Nên nến bạn viết một email ngắn gọn rõ ràng, vừa đủ thông tin, khả năng nhận câu trả lời của bạn sẽ cao hơn.

Good luck and happy hacking!

ITZone via freecodecamp