Tham gia lĩnh vực an ninh mạng với tư cách là một người ngoài cuộc không có nền tảng kỹ thuật là một hành trình thay đổi đối với tôi. Điều ngay lập tức thu hút tôi về ngành này là tốc độ không ngừng nghỉ và những thách thức thú vị mà nó liên tục đưa ra. Tương tác với các chuyên gia trong lĩnh vực này, tôi rất phấn khởi trước sự hỗ trợ nhiệt tình của họ dành cho những người mới thực sự thể hiện ý chí học hỏi. Tuy nhiên, tôi nhanh chóng nhận ra một quan điểm phổ biến: người mới đến có kỳ vọng chung là phải tự học độc lập. Đây có thể là một kỳ vọng khó khăn, đặc biệt khi xét đến việc nhiều người mới bắt đầu tiềm năng trong lĩnh vực an ninh mạng vốn không phải là người tự học. Mặc dù tính tò mò bẩm sinh chắc chắn là một đặc điểm có giá trị, nhưng điều cần thiết là phải nhận ra rằng nhiều cá nhân, ngay cả những người có tiềm năng to lớn, cần một khuôn khổ có cấu trúc để thực hiện những bước đầu tiên của họ trong lĩnh vực rộng lớn này.
Trong vài năm gần đây, đã có những tiến bộ đáng kể trong việc lấp đầy khoảng trống nhân tài trong ngành. Tuy nhiên, tính đến năm 2023, theo Nghiên cứu lực lượng lao động an ninh mạng ISC2 , đã có 440.000 việc làm mới được tạo ra trong lĩnh vực an ninh mạng trên toàn cầu (tăng 8,7% so với năm trước), nhưng vẫn còn 4 triệu vị trí đáng kinh ngạc chưa được tuyển dụng (tăng 12,6% so với năm trước) . Khoảng cách lớn này là kết quả của sự thiếu kết nối giữa nhu cầu của nhà tuyển dụng đối với các chuyên gia có kinh nghiệm và sự thiếu hụt chuyên môn như vậy trong thế giới thực.
Giải pháp cho cuộc khủng hoảng tài năng này nằm ở việc tập trung vào giai đoạn đầu trong sự nghiệp của các chuyên gia an ninh mạng tiềm năng, đặc biệt là sinh viên trẻ. Với tư cách là một cộng đồng, chúng tôi bắt buộc phải trang bị cho giới trẻ những công cụ họ cần để khám phá an ninh mạng như một lựa chọn nghề nghiệp khả thi. Điều quan trọng là cung cấp các lộ trình học tập có cấu trúc, thực tế và dễ tiếp cận. Dưới đây là một số bước và ví dụ về cách thực hiện.
Khung NIST-NICE phân loại công việc an ninh mạng thành bảy loại cấp cao: Phân tích, Thu thập và Vận hành, Điều tra, Vận hành và Duy trì, Giám sát và Quản trị, Bảo vệ và Bảo vệ và Cung cấp An toàn. Mỗi danh mục được chia thành các lĩnh vực chuyên môn và vai trò công việc, cung cấp lộ trình toàn diện để phát triển nghề nghiệp.
Bảng 1: Danh mục vai trò công việc của NICE Framework
Loại | Sự miêu tả | Số lượng vai trò công việc |
---|---|---|
Cung cấp an toàn (SP) | Lên ý tưởng, thiết kế, mua sắm và/hoặc xây dựng hệ thống CNTT an toàn. Chịu trách nhiệm về các khía cạnh của phát triển hệ thống và/hoặc mạng. | 11 |
Vận hành và bảo trì (OM) | Cung cấp sự hỗ trợ, quản trị và bảo trì cần thiết để đảm bảo hiệu suất và bảo mật hệ thống CNTT hiệu quả và hiệu quả. | 7 |
Giám sát và quản lý (OV) | Cung cấp khả năng lãnh đạo, quản lý, chỉ đạo hoặc phát triển và vận động để tổ chức có thể tiến hành công việc an ninh mạng một cách hiệu quả. | 14 |
Bảo vệ và Bảo vệ (PR) | Xác định, phân tích và giảm thiểu các mối đe dọa đối với hệ thống và/hoặc mạng CNTT nội bộ. | 4 |
Điều tra (IN) | Điều tra các sự kiện hoặc tội phạm an ninh mạng liên quan đến hệ thống CNTT, mạng và bằng chứng kỹ thuật số. | 3 |
Phân tích (AN) | Thực hiện xem xét và đánh giá có tính chuyên môn cao về thông tin an ninh mạng đến để xác định tính hữu ích của thông tin đó đối với hoạt động tình báo. | 7 |
Thu thập và vận hành (CO) | Cung cấp các hoạt động từ chối và lừa dối chuyên biệt cũng như thu thập thông tin an ninh mạng có thể được sử dụng để phát triển thông tin tình báo. | 6 |
Bảng này thể hiện nhiều vai trò khác nhau trong bối cảnh an ninh mạng. Bằng cách hiểu những danh mục này, người mới bắt đầu có thể định vị bản thân tốt hơn để có được quỹ đạo nghề nghiệp phù hợp và sáng suốt hơn.
Để hiểu toàn diện về khung NIST-NICE và truy cập vô số tài nguyên phù hợp cho người mới bắt đầu, người ta có thể truy cập
Mục tiêu là khám phá các khía cạnh khác nhau của an ninh mạng và xác định điểm giao thoa giữa đam mê và trình độ. Vì an ninh mạng là một lĩnh vực năng động nên luôn có chỗ cho một cá nhân xoay sở, học hỏi và phát triển.
Cộng đồng an ninh mạng đặc biệt hỗ trợ những người mới tham gia. Ngay cả những chuyên gia dày dạn kinh nghiệm cũng thường sẵn sàng chia sẻ các mẹo và lời khuyên và rất dễ tiếp cận với những người mới bắt đầu. Bí quyết để gặp những người này là tham dự các sự kiện trực tiếp.
Tương tác trong thời gian thực tại các sự kiện trực tiếp đưa ra các câu hỏi, thảo luận tự phát và khả năng hiểu sâu hơn. Nó không chỉ là việc tiếp thu kiến thức; nó cũng là về mạng. Những địa điểm này là cơ hội hàng đầu để thiết lập những kết nối có ý nghĩa, có khả năng dẫn đến sự cố vấn, bố trí việc làm hoặc thậm chí là các dự án hợp tác. Hơn nữa, nhiều cuộc tụ họp như vậy có các thử thách trực tiếp hoặc hội thảo thực hành nơi người tham dự có thể áp dụng lý thuyết vào thực tế, thường dưới sự hướng dẫn của chuyên gia.
Đây là lý do tại sao việc tham dự các sự kiện trực tiếp có thể mang lại nhiều lợi ích cho những người đam mê an ninh mạng:
Khi nói đến địa điểm, một số nền tảng và tổ chức nổi bật:
Khi lên kế hoạch tham dự, dưới đây là một số lời khuyên:
Vì vậy, nếu bạn đang muốn nâng cao kiến thức và mạng lưới an ninh mạng của mình thì việc tham dự những sự kiện như vậy có thể là bước đệm cho cơ hội lớn tiếp theo của bạn.
Thử thách Capture The Flag (CTF) là các cuộc thi trong đó người tham gia giải các câu đố về an ninh mạng, từ mật mã đến các lỗ hổng ứng dụng web. Những thách thức này mang đến cho người mới bắt đầu trải nghiệm thực tế, thực tế trong việc giải quyết các vấn đề an ninh mạng trong thế giới thực . Ví dụ, sự kiện DEF CON CTF hàng năm thu hút khán giả toàn cầu và có các câu đố phù hợp với mọi cấp độ kỹ năng.
Tham gia vào các thách thức CTF tương quan trực tiếp với một số lĩnh vực được nêu trong khuôn khổ NIST-NICE:
Phân tích (AN): Giải mã các câu đố mật mã trong CTF nâng cao các kỹ năng phù hợp với danh mục Phân tích, trong đó người ta đánh giá thông tin an ninh mạng đến.
Bảo vệ và Phòng thủ (PR): Việc giải quyết các lỗ hổng trong CTF sẽ tăng cường khả năng của người tham gia trong việc xác định, phân tích và giảm thiểu các mối đe dọa đối với hệ thống CNTT, phù hợp chặt chẽ với danh mục Bảo vệ và Bảo vệ.
Điều tra (IN): Một số CTF liên quan đến các thử thách pháp lý, phù hợp với danh mục Điều tra, trong đó người ta kiểm tra các sự kiện hoặc tội phạm an ninh mạng liên quan đến hệ thống CNTT.
Cung cấp An toàn (SP): Giải quyết các thách thức trong đó người tham gia phải bảo mật hoặc củng cố hệ thống phản ánh danh mục Cung cấp An toàn, nhấn mạnh vào việc thiết kế và tạo ra các hệ thống CNTT an toàn.
Bằng cách đắm mình vào CTF, những người mới bắt đầu không chỉ có được kinh nghiệm thực hành quý giá mà còn hiểu rõ hơn về các vai trò và lĩnh vực khác nhau mà họ có thể quan tâm theo khuôn khổ NICE. Nó cung cấp một cách hữu hình, hấp dẫn để khám phá và nâng cao năng lực an ninh mạng cụ thể.
Trong chiến dịch thưởng lỗi, các công ty khuyến khích các tin tặc có đạo đức tìm và báo cáo các lỗ hổng trong hệ thống của họ. Thực tiễn này ngày càng trở nên phổ biến ở các công ty công nghệ hàng đầu, nhận ra giá trị của nhóm các nhà nghiên cứu bảo mật độc lập trên toàn cầu. Ví dụ: những gã khổng lồ công nghệ như Google, Facebook, Apple, Microsoft và Twitter đều đã triển khai các chương trình thưởng lỗi của riêng họ, khuyến khích các tin tặc có đạo đức xác định và tiết lộ một cách có trách nhiệm các lỗ hổng bảo mật tiềm ẩn trong nền tảng của họ. Bằng cách cung cấp các chiến dịch này, các tổ chức này không chỉ tăng cường tính bảo mật cho hệ thống của họ mà còn thúc đẩy mối quan hệ cộng sinh với cộng đồng an ninh mạng. Ví dụ:
Các nền tảng như Bugcrowd, Hackerone và Intigrity cũng đã hợp lý hóa quy trình, đóng vai trò trung gian kết nối các hacker có đạo đức với các tổ chức, bao gồm cả những tổ chức có thể không có chương trình độc lập như Google hay Apple. Khi một lỗ hổng được xác định và báo cáo thông qua các nền tảng này hoặc trực tiếp cho các công ty có chương trình đã thiết lập, lỗ hổng đó sẽ trải qua quá trình xác minh. Nếu được xác thực, nhà nghiên cứu có thể nhận được phần thưởng tài chính, sự công nhận hoặc cả hai.
Đối với người mới bắt đầu, có các phòng thí nghiệm dựa trên trình duyệt web. Các phòng thí nghiệm này cho phép người dùng thực hành trong môi trường được kiểm soát trực tiếp trong trình duyệt của họ. Mặc dù thuận tiện và dễ dàng truy cập nhưng các nền tảng này có thể không tái tạo hoàn toàn sự phức tạp và rắc rối của các hệ thống trong thế giới thực. Chúng là những công cụ giới thiệu tốt nhưng khi người dùng tiến bộ hơn trong hành trình bảo mật mạng, họ có thể thấy chúng ít thách thức hơn.
Mặt khác, có những môi trường ảo hóa yêu cầu quyền truy cập VPN. Những nền tảng này cung cấp môi trường gần giống với cơ sở hạ tầng thực tế của công ty. Các kịch bản ảo hóa được tạo ra một cách tỉ mỉ để mô phỏng các mạng, máy chủ và máy trạm trong thế giới thực. Khi người dùng kết nối qua VPN, họ cảm thấy như thể họ thực sự đang ở trong một mạng hoạt động, cung cấp mức độ xác thực mà các phòng thí nghiệm dựa trên trình duyệt web có thể thiếu. Loại môi trường này cho phép khám phá sâu hơn về các công cụ, chiến thuật và quy trình, đào tạo người tham gia một cách hiệu quả để giải quyết các mối đe dọa an ninh mạng thực sự. Quá trình đào tạo nghiêm ngặt trong những môi trường này đảm bảo rằng những người tham gia sẵn sàng làm việc và được chuẩn bị đầy đủ để giải quyết những thách thức nhiều mặt mà họ có thể gặp phải trong sự nghiệp an ninh mạng của mình.
Bằng cách trải nghiệm cả hai loại hình đào tạo, ứng viên có thể đánh giá cao mức độ phức tạp trong các thách thức an ninh mạng và trau dồi kỹ năng tốt hơn để trở thành chuyên gia hiệu quả.
Dưới đây là danh sách các tài nguyên đào tạo an ninh mạng thực tế miễn phí hoặc giá cả phải chăng dành cho người mới bắt đầu:
Các tài nguyên được đề cập ở trên chỉ là một bản tóm tắt nhanh về nhiều công cụ và nền tảng đã thu hút được sự chú ý và đánh giá cao trong cộng đồng an ninh mạng. Lĩnh vực đào tạo an ninh mạng rất rộng lớn và danh sách các tài nguyên có giá trị còn vượt xa những gì được cung cấp ở đây. Ngoài ra, có rất nhiều dự án nguồn mở và nội dung khác có sẵn trực tuyến có thể là công cụ nâng cao hành trình học tập của một người.
Các diễn đàn và trang web chuyên biệt mà tôi sẽ trình bày chi tiết trong đoạn tiếp theo có thể có giá trị trong việc khám phá các đánh giá hoặc phản hồi từ các thành viên khác trong cộng đồng. Phản hồi này cung cấp cái nhìn sâu sắc về chất lượng của các tài nguyên mới liên tục được phát hành.
Trong lĩnh vực an ninh mạng rộng lớn, sự hướng dẫn từ người có kinh nghiệm có thể tạo nên sự khác biệt. Các nền tảng như LinkedIn có thể đặc biệt có lợi, không chỉ để kết nối mạng mà còn để xác định những người cố vấn tiềm năng. Bằng cách xem xét cẩn thận hồ sơ, tham gia các nhóm liên quan và tích cực tham gia thảo luận, bạn có thể thể hiện sự háo hức của mình và thu hút sự chú ý của các chuyên gia giàu kinh nghiệm sẵn sàng hướng dẫn những người mới.
Discord, một nền tảng ban đầu được tạo ra cho các game thủ, đã phát triển thành một trung tâm dành cho nhiều cộng đồng chuyên nghiệp khác nhau.
Các diễn đàn và trang web chuyên ngành tiếp tục khuếch đại cơ hội:
Cộng đồng an ninh mạng của Reddit: Các nền tảng như
Diễn đàn bảo mật Wilders: Đi sâu vào các cuộc thảo luận về quyền riêng tư, bảo mật và bảo vệ dữ liệu trực tuyến trên
Diễn đàn MalwareTips và Antionline: Các trang web như
Cộng đồng Bleeping Computer và Spiceworks: Các diễn đàn như
Hacklido: Một nền tảng độc đáo,
Bằng cách tích cực tham gia vào các diễn đàn và cộng đồng này, một người không chỉ có thể mở rộng kiến thức mà còn xây dựng được những kết nối có ý nghĩa. Khi bạn tham gia và đóng góp, cơ hội gặp gỡ những cố vấn tiềm năng, những người nhận ra niềm đam mê và sự cống hiến của bạn sẽ tăng lên đáng kể. Hãy nhớ rằng, cố vấn trong lĩnh vực an ninh mạng không chỉ là học cách thực hiện; đó là về hướng dẫn, phản hồi và hiểu biết các sắc thái của thế giới bảo vệ kỹ thuật số đang phát triển nhanh chóng.
Khi bạn bắt đầu hành trình bảo mật mạng của mình, điều cần thiết là bạn phải làm quen với vô số công cụ miễn phí có sẵn. Những công cụ này, được các chuyên gia trong lĩnh vực này công nhận và sử dụng rộng rãi, có thể nâng cao đáng kể trải nghiệm học tập của bạn:
Wireshark:
OWASP ZAP (Proxy tấn công Zed):
Phiên bản cộng đồng Metasploit:
Khịt mũi:
OpenVAS (Hệ thống đánh giá lỗ hổng bảo mật mở):
Kali Linux:
Khai thác khả năng của những công cụ này không chỉ giúp người mới bắt đầu hiểu biết thực tế về các lĩnh vực an ninh mạng khác nhau mà còn cung cấp cách tiếp cận thực tế để chống lại các mối đe dọa tiềm ẩn. Hãy nhớ khám phá các tài liệu và hướng dẫn liên quan cho từng công cụ vì chúng thường chứa rất nhiều kiến thức và cách thực hành tốt nhất.
Mặc dù có những người tự học có thể tự mình kết nối các điểm, nhưng một số lượng lớn tài năng mới chớm nở vẫn chưa thuộc hệ sinh thái an ninh mạng , chủ yếu là do họ thiếu hướng dẫn ban đầu. Bằng cách cung cấp hướng dẫn có mục tiêu và thực tế, chúng tôi có thể giúp mở đường cho thế hệ chuyên gia an ninh mạng mới sẵn sàng đón nhận những thách thức và cơ hội mà lĩnh vực đang phát triển nhanh chóng này mang lại.
Học tập có cấu trúc có thể đạt được theo nhiều cách khác nhau và hướng dẫn này nhằm mục đích đưa ra một góc nhìn thay thế, đến từ một chuyên gia an ninh mạng phi truyền thống, người đã có cơ hội duy nhất để học hỏi từ các hacker chân chính.