Nhu cầu tuyển dụng Pentester tăng nhanh

Sự bùng nổ của công nghệ trên mọi lĩnh vực mở ra cơ hội nghề nghiệp lớn cho sinh viên ngành An toàn thông tin. Bởi chỉ cần các công ty, doanh nghiệp có sử dụng máy tính và kết nối Internet thì đều có nhu cầu bảo mật hệ thống hay nói cách khác là đều cần phải có chuyên gia An toàn thông tin.

Giữa vô vàn các doanh nghiệp, làm thế nào để các kỹ sư có thể tìm được môi trường phù hợp để hết mình cống hiến và phát triển bản thân. Hãy cùng CyberJutsu điểm qua top 05 nơi làm việc sau đây để các Penetration Tester “chọn mặt, gửi vàng” nhé.

CYBERJUTSU RA MẮT NỀN TẢNG TRA CỨU VIỆC LÀM - TUYỂN DỤNG NGÀNH AN TOÀN THÔNG TIN TẠI VIỆT NAM

Truy cập tại đây: https://jobs.cyberjutsu.io/

1. Các Cơ quan, tổ chức chính phủ

Các tổ chức chính phủ như Cơ quan ban ngành, bộ quốc phòng, tình báo,.. sẽ thường xuyên tuyển dụng Pentester nhằm chủ động kiểm tra tính bảo mật và an ninh của những hệ thống mạng máy tính bên trong các bộ máy nhà nước. Bên cạnh đó, người kiểm thử còn thường được tiếp xúc các cơ sở hạ tầng quan trọng, thông tin nhạy cảm để xây dựng những chính sách và giải pháp tăng cường an ninh mạng quốc gia.

Pros (ưu điểm)

• Tiếp xúc với các hệ thống quan trọng của quốc gia: Có cơ hội làm việc, tiếp xúc với những hạ tầng thông tin cực kỳ nhạy cảm của các bộ máy chính phủ nói riêng, cũng như hệ thống mạng máy tính của một quốc gia nói chung. Chịu trách nhiệm ứng cứu khi có sự cố ảnh hưởng đến an ninh quốc gia.
• Được đào tạo bài bản: Các kỹ sư được đào tạo thường xuyên cả trong và ngoài nước.Lộ trình thăng tiến cũng rõ ràng, làm trong khoảng thời gian từ 3 năm đến 5 năm thì nhân viên được xem xét để thăng chức hoặc tăng lương từ 2 năm đến 3 năm một lần.
• Công cụ bảo mật mới nhất: Các cơ quan chính phủ thường sở hữu các công cụ tiên tiến nhất từ các hãng khác nhau. Vì vậy Pentester sẽ có cơ hội tiếp cận và trải nghiệm những công cụ mới nhất này để phục vụ và tăng năng suất cho quá trình làm việc của mình.

Cons (nhược điểm)

• Yêu cầu về bằng cấp: Cơ quan Nhà nước có xu hướng đánh giá năng lực thông các chứng chỉ. Bên cạnh đó, sở hữu những chứng chỉ, bằng cấp liên quan thì ứng viên sẽ tăng cơ hội được xét duyệt vào làm và là điều kiện để thăng chức, tăng lương trong tương lai.
• Môi trường làm việc: Vốn dĩ Cơ quan nhà nước cần sự nghiêm túc và ổn định, vì thế mà ít có sự năng động trong môi trường làm việc khi so sánh với các công ty tư nhân. Thời gian làm việc cũng ít có sự linh hoạt thường cố định từ 7 – 8h sáng đến 5h chiều, và có thể làm việc vào Thứ 7.
• Thu nhập: Mặc dù lương của Kỹ sư An toàn thông tin khá cao so với mặt bằng chung trong lĩnh vực CNTT. Nhưng sẽ có sự chênh lệch ít nhiều khi so sánh các Cơ quan nhà nước với các công ty tư nhân.

2. Công ty cung cấp dịch vụ ATTT

Đây là những công ty cung cấp dịch vụ outsource cho các hoạt động liên quan về An toàn thông tin như: phát hiện, giám sát và quản lý an ninh mạng tổng thể cho một tổ chức, kiểm thử, red team, ...

Pros (ưu điểm)

• Tiếp xúc với các khách hàng khác nhau: Pentester sẽ được tiếp cận nhiều khách hàng đến từ nhiều ngành nghề khác nhau. Vì thế mà Pentester sẽ được làm quen với nhiều công nghệ mới và có những trải nghiệm kiểm thử trên nhiều mục tiêu, dự án khác nhau.
• Quy trình chuẩn quốc tế: Bạn sẽ học hỏi được cách đáp ứng các quy trình và tiêu chuẩn quốc tế khi làm việc trong những môi trường chuyên nghiệp.
• Nâng cao kỹ năng: Được làm việc với đội ngũ có kiến ​​thức kỹ thuật sâu rộng, những người thành thạo trong việc kiểm thử, quản lý, khắc phục sự cố, bảo trì và nâng cấp các công cụ công nghệ thông tin khác nhau. Bên cạnh đó, những đơn vị này thường cung cấp nhiều loại dịch vụ an ninh mạng khác nhau, điều này sẽ giúp bạn có cái nhìn toàn diện hơn về những công việc mình đang làm.

Cons (nhược điểm)

• Khối lượng công việc lớn: Thường phải phục vụ nhiều khách hàng nên người kiểm thử có thể được yêu cầu làm việc đồng thời trên nhiều dự án. Điều này có thể dẫn đến khối lượng công việc, deadline và áp lực thời gian cao, gây căng thẳng-burnout và ảnh hưởng đến chất lượng công việc. Do đó, Pentester nếu muốn làm việc tại đây thì hãy chuẩn bị cho mình một “tinh thần thép” để đối mặt với khối lượng công việc lớn và deadlines nhé.
• Hạn chế phạm vi công việc: Các Pentester làm việc tại đây thường không có quyền được lựa chọn dự án hoặc khách hàng, vì những quyết định này thường do cấp trên chỉ định. Hơn nữa, bạn cũng phải làm việc trong một quy trình mà công ty đã đề ra. Do đó, Pentester sẽ không thể có các trải nghiệm và khả năng tiếp xúc của mình với nhiều kiểu đánh giá bảo mật khác nhau.
• Độ sâu kiến thức: Các đơn vị này thường phục vụ nhiều khách hàng trong các ngành khác nhau. Mặc dù điều này có thể giúp Pentester tiếp xúc với nhiều công nghệ và kỹ thuật bảo mật, nhưng nó cũng có thể là rào cản khiến cho một Pentester không có điều kiện để phát triển sâu kiến thức về một mảng nhất định.

3. Các công ty sản xuất phần mềm

Các công ty phần mềm thường tuyển dụng các Pentester để kiểm tra tính bảo mật của phần mềm và xác định các lỗ hổng trước khi tung sản phẩm ấy ra thị trường. Công việc chính của người kiểm thử tại đây, là mô phỏng các cuộc tấn công có thể xảy ra vào phần mềm để phát hiện ra những điểm yếu có thể dẫn đến data breaches hoặc các sự cố bảo mật khác. Nếu một công ty phần mềm bị tấn công, hậu quả của nó sẽ rất khó lường vì nó không chỉ ảnh hưởng hệ thống của công ty phần mềm đấy. Mà nó còn có thể lây lan và ảnh hưởng đến cả khách hàng của họ (còn hay được gọi là Supply Chain Attack - tấn công vào chuỗi cung ứng)

Pros (ưu điểm)

• Áp dụng những kỹ thuật và quy trình tiên tiến nhất: Ví dụ như áp dụng quy trình DevSecOps vào các công đoạn của việc sản xuất phần mềm (hay còn gọi là Software Development Cycle). Việc này đòi hỏi thời gian và công sức nhưng một khi hoàn thành được, các phần mềm của công ty sẽ trở nên an toàn hơn và việc khắc phục các lỗi bảo mật cũng trở nên nhanh chóng, quy chuẩn hơn.
• Nâng cao kỹ năng mềm: Việc cộng tác với các lập trình viên, nhà phát triển phần mềm,… để tạo ra sản phẩm vừa tốt vừa bảo mật. Thông qua đó, bạn sẽ có thể học thêm những góc nhìn sâu sắc hơn về về phần mềm từ những Developer, cũng như phát triển kỹ năng mềm của mình như: Teamwork, kỹ năng trình bày, kỹ năng viết tài liệu...

Cons (nhược điểm)

• Hạn chế thời gian: Các công ty phần mềm có thời hạn chặt chẽ cho việc phát hành hoặc cập nhật phần mềm, dẫn đến việc bạn sẽ bị giới hạn lượng thời gian cho một lần kiểm thử.
• Quyền bảo mật: Trong một số trường hợp, người kiểm thử sẽ bị hạn chế quyền truy cập vào một vài phần mềm vì lý do bảo mật, điều này gây khó khăn cho việc xác định tất cả các lỗ hổng tiềm ẩn và ảnh hưởng đến hiệu quả công việc
• Không chỉ là kiểm thử: Vì thường xuyên làm việc với các lập trình viên nên Pentester cần phải truyền đạt các phát hiện kỹ thuật cho các bên liên quan phi kỹ thuật, đặt ra thách thức đối với Pentester phải truyền đạt sao cho chính xác để không dẫn đến những thông tin sai lệch

4. Các công ty thuộc lĩnh vực tài chính, ngân hàng

Các công ty trong lĩnh vực tài chính ngân hàng là những nơi cần Pentester hơn bao giờ hết. Tại đây, Pentester sẽ chịu trách nhiệm kiểm thử các hệ thống, dịch vụ liên quan trực tiếp đến tiền tệ của khách hàng. Điều này rất quan trọng trong lĩnh vực tài chính và ngân hàng vì tính chất nhạy cảm của dữ liệu người dùng và khả năng gây tổn thất tài chính trực tiếp đến khách hàng. Ngoài ra tại đây, bạn sẽ được làm việc chặt chẽ với những nhóm Blue Team (giám sát, theo dõi, xử lý sự cố an ninh mạng) để tìm ra những giải pháp phù hợp cho những tổ chức này.

Pros (ưu điểm)

• Công nghệ và kỹ thuật đạt chuẩn quốc tế: Ngành tài chính, ngân hàng đi đầu trong việc áp dụng công nghệ, với trọng tâm là nền tảng kỹ thuật số, ngân hàng di động và giao dịch trực tuyến. Vì vậy, bạn sẽ phải làm việc với công nghệ và kỹ thuật bảo mật để giúp tổ chức đạt được các tiêu chuẩn ATTT quốc tế như PCI DSS, ISO/IEC…
• Tham gia các chương trình đào tạo: Được đào tạo thường xuyên để luôn cập nhật xu hướng lỗi bảo mật, và các phương pháp phòng thủ mới nhất hiệu quả nhất.
• Thu nhập cao: Lương thưởng cao luôn là một trong những yếu tố hấp dẫn đối với Pentester khi làm việc tại đây.

Cons (nhược điểm)

• Rủi ro cao: Các tổ chức tài chính cần xử lý một lượng lớn dữ liệu nhạy cảm, vì vậy mà bất kỳ vi phạm bảo mật nào cũng có thể gây ra hậu quả nghiêm trọng.
• Luôn là nơi các hacker chú ý đến: Việc các tổ chức này luôn chứa đựng thông tin nhạy cảm và tài chính của khách hàng, nên nó luôn là tâm điểm mà các hacker xấu luôn nhắm đến. Làm việc tại nơi đây, nhất là khi có sự cố sẽ luôn là một áp lực lớn đối với các Pentester.

5. Trở thành Freelancer / Bug Hunter 💰

Một vài Pentester thì chọn con đường làm Freelance như tham gia các chương trình Bug Bounty (Tìm lỗi săn tiền thưởng). Bug Bounty là chương trình trao thưởng của các tổ chức, doanh nghiệp trên khắp thế giới, dành cho những hacker mũ trắng có các phát hiện lỗi bảo mật trên hệ thống và các sản phẩm của họ. Các hacker mũ trắng này sẽ vừa được vinh danh và trao thưởng tương xứng với những phát hiện của mình!

Pros (ưu điểm)

• Đem lại danh tiếng cho cá nhân: Vì khi tham gia vào nghề, mỗi cá nhân được xếp hạng dựa trên những lỗ hổng nghiêm trọng mà họ phát hiện. Những thợ săn tiền thưởng hàng đầu thường có lượng theo dõi rất cao và được yêu quý cũng như được sự tin tưởng, có uy tín lớn trong cộng đồng Bug Bounty
• Linh hoạt: Tự do làm việc ở bất kì đâu, bất kì lúc nào. Đồng thời, được lựa chọn khối lượng công việc, có thể chọn khách hàng, dự án mà mình cảm thấy hứng thú.
• Tiền thưởng: Trở thành thợ săn tiền thưởng trong kỷ nguyên số có thể giúp bạn kiếm được khoản tiền thưởng rất lớn và không có giới hạn. Số tiền kiếm được hoàn toàn tùy thuộc vào khả năng săn lỗi bảo mật của bạn!

Cons (nhược điểm)

• Winner take it all: Cạnh tranh với những hacker mũ trắng có trình độ cao trên khắp thế giới, tuy nhiên phần thưởng chỉ dành cho một người nhanh nhất. Nó dẫn đến những áp lực vô hình, stress, mất tự tin vào bản thân, ... nhưng một khi bạn vượt qua được thì mọi thứ sẽ trở nên ổn hơn
• Liên tục cập nhật kiến thức: Bởi vì tính cạnh tranh cao, nên các Bug Hunter phải luôn trau dồi liên tục (continuous learning) kiến thức và kỹ năng của mình để tìm ra được những lỗi bảo mật mà không ai phát hiện được.
• Đối mặt với các vấn đề về sức khỏe: Nghề thợ săn tiền thưởng có tính áp lực cao, dễ sinh ra các bệnh lý khác (về thể chất lẫn tinh thần), nên việc cân bằng các yếu tố để có hiệu quả tốt nhất trong công việc săn lỗ hổng là điều vô cùng quan trọng.
• Không được hưởng chế độ đãi ngộ dành cho người đi làm: bảo hiểm y tế, lương hưu, tiền trợ cấp…Thu nhập không ổn định, được tính dựa vào khối lượng công việc. Bởi vì công việc của Freelancer tùy thuộc vào từng giai đoạn, có lúc nhàn rỗi, có lúc lại vô cùng bận rộn.

Lời kết

Ngoài những điều CyberJutsu đã đề cập ở trên, người kiểm thử (pentester) cũng đối mặt với những khó khăn chung như: các vấn đề về pháp lý và đạo đức, kỹ năng mềm, vấn đề về quản lý thời gian, liên tục cập nhật các kỹ thuật (continuous learning). Hãy tìm ra những điều mà bản thân cần khắc phục để trở thành một viên ngọc sáng, từ đó các nhà tuyển dụng sẽ luôn chú ý đến chúng ta nhé.

Như các bạn có thể thấy, không có nơi làm việc nào là hoàn hảo dành cho tất cả Pentester. Mà mỗi bản thân Pentester cần phải xác định được: sở thích, ưu nhược điểm của bản thân, mục tiêu ngắn hạn, mục tiêu dài hạn,... để chọn ra cho mình một nơi có thể làm việc và phát triển bản thân trên con đường sự nghiệp.

Hi vọng qua bài chia sẻ này, các bạn Pentester sẽ tìm ra cho mình một công việc thật như ý!

Câu hỏi thường gặp (FAQ)

Câu hỏi 1: Những kỹ năng và nền tảng nào là cần thiết cho một Penetration Tester

Tùy thuộc vào tính chất công việc mà bạn mong muốn. Tuy nhiên, một Penetester lành nghề cần có cho mình những nền tảng sau:

• Kỹ thuật: có nền tảng vững chắc về Mạng máy tính, Hệ điều hành, thành thạo trong lập trình bằng các ngôn ngữ như: Python, C/C++, PHP, Java...
• Thành thạo các công cụ phục vụ quá trình Pentest: Nmap, Metasploit, Burp Suite, ...
• Tư duy: kỹ năng xác định và khai thác lỗ hổng, sở hữu tư duy sáng tạo và phản biện, đặt giả thiết...
• Kỹ năng mềm: trình bày và giải thích những vấn đề về bảo mật cho những người khác có thể hiểu
• Học hỏi không ngừng (continous learning): sự thay đổi và phát triển của công nghệ là liên tục và không ngừng lại. Vì thế Pentester phải luôn cập nhật kiến thức cho mình để bắt kịp với các rủi ro mới.
• Nguyên tắc và đạo đức: sở hữu khả năng xâm nhập vào các hệ thống công nghệ thông tin và tiếp xúc với những thông tin nhạy cảm nhất của một tổ chức. Pentester cần phải tôn trọng các nguyên tắc và đạo đức của ngành nghề này.
  

Câu hỏi 2: Làm sao tôi có thể chọn ra môi trường làm việc thích hợp cho mình?

Hãy quan sát bản thân và chọn ra cho mình những thứ cần ưu tiên như: mục tiêu sự nghiệp, sở thích bản thân. Thêm đó, Pentester cũng cần lưu ý thêm về những quyền lợi làm việc, cơ hội thăng tiến tại đơn vị bạn công tác.

Câu hỏi 3: Một Pentester có những cách nào để cập nhật kiến thức của mình một cách thường xuyên?

• Đọc và tham khảo các blog, diễn đàn của những chuyên gia hàng đầu
• Tham gia hội thảo, workshop, webminars
• Giao lưu trên các diễn đàn, nhóm nghiên cứu về bảo mật máy tính (ví dụ: Trung tâm học bảo mật quận 4)
• Đăng ký tham gia những khóa học và thi chứng chỉ từ những tổ chức uy tín
• Nâng cao trình độ và rèn luyện sự kiên trì thông qua những cuộc thi về Hacking/Security (ví dụ: Capture The Flag)

Câu hỏi 4: Tôi muốn bắt đầu tham gia ngành Penetration Testing thì phải bắt đầu như thế nào?

• Bổ sung nền tảng vững chắc: mạng máy tính, hệ điều hành, lập trình, kiến trúc Website, Docker, Regular Expression,...
• Thi và đạt các chứng chỉ của các tổ chức uy tín: CompTIA, Offensive Security, SANS... (Nếu bạn muốn bắt đầu với Web Penetration Testing thì hãy tham khảo khóa học của CyberJutsu tại đây)
• Gặp gỡ các chuyên gia, mentor trong ngành
• Thường xuyên tham gia câu lạc bộ, hội thảo, internship, cuộc thi Hacking/Security (CTF)

Xem thêm:

• 80 giây nói về nghề an toàn thông tin
• HỌC HACK CỰC GẮT 101
• Pentest là gì? Pentester là ai và nhu cầu tuyển dụng
• Tình hình tuyển dụng nhân lực An toàn thông tin tại Việt Nam
• 12 vị trí chủ chốt của ngành An toàn thông tin (theo European Cybersecurity Skills Framework Role Profiles)
• Những nơi làm việc của Pentester luôn được săn đón
• Khóa học Web Pentest Online của CyberJutsu
• Khóa học Exploit101 - RedTeam Online