Logo CyberJutsu
Về chúng tôi
Học thử

Lộ Trình Học An Toàn Thông Tin 2025: Từ Tân Binh Đến Pro Hacker Trong 12 Tháng

Technical Writer
An toàn thông tinĐịnh hướng nghề nghiệp
Lộ Trình Học An Toàn Thông Tin 2025: Từ Tân Binh Đến Pro Hacker Trong 12 Tháng

Bạn là học sinh cấp 3 đam mê máy tính, sinh viên năm nhất đang tìm hướng đi, hay một lập trình viên muốn chuyển sang An toàn thông tin (ATTT)? Dù xuất phát điểm của bạn là gì, con đường để trở thành một hacker mũ trắng chuyên nghiệp có thể bắt đầu ngay từ hôm nay. Bài viết này sẽ cung cấp lộ trình học an toàn thông tin 12 tháng từ cơ bản đến chuyên sâu – giúp bạn trả lời câu hỏi “học an toàn thông tin ra làm gì” và làm sao để học thực chiến hiệu quả nhất. Hãy sẵn sàng cho một hành trình thú vị và đầy cảm hứng!

Tại sao nên theo đuổi ngành An toàn thông tin vào năm 2025?

Năm 2025, cybersecurity không chỉ là mối quan tâm của riêng IT mà đã trở thành ưu tiên chiến lược của mọi doanh nghiệp. Sự bùng nổ của công nghệ và internet kéo theo vô vàn mối đe dọa mạng. Điều này tạo ra nhu cầu nhân lực ATTT cực lớn trên toàn cầu lẫn tại Việt Nam. Thống kê cho thấy thế giới có thể thiếu hụt tới 4 triệu chuyên gia an ninh mạng vào năm 2025.

Tại Việt Nam, hàng trăm vị trí ATTT đang chờ người phù hợp – chỉ riêng năm 2024 đã có khoảng 752 tin tuyển dụng trong lĩnh vực này, bao gồm cả mảng Red Team (tấn công) lẫn Blue Team (phòng thủ) (752 tin tuyển dụng An Toàn Thông Tin (Việt Nam)).

An toàn thông tin là lĩnh vực năng động, hấp dẫn với những ai yêu thích chinh phục thử thách. Bạn sẽ được hóa thân thành “người hùng thầm lặng” bảo vệ hệ thống, hoặc trở thành “hacker mũ trắng” tìm ra lỗ hổng trước khi kẻ xấu lợi dụng. Mức lương khởi điểm của ngành cũng rất cạnh tranh, cơ hội thăng tiến rộng mở khi kỹ năng của bạn vững vàng. Quan trọng hơn cả, bạn sẽ thấy đam mê công nghệ của mình được thỏa mãn và đóng góp ý nghĩa cho xã hội khi giúp giữ an toàn không gian mạng.

Nếu bạn còn mơ hồ về ngành này, hãy dành 80 giây xem video “80 giây nói về nghề An toàn thông tin” (Học Pentest miễn phí: Access Control Vulnerabilities (Video) | Đào tạo An toàn thông tin) để có cái nhìn tổng quan thú vị. Đoạn clip ngắn sẽ cho bạn thấy bức tranh toàn cảnh về công việc và cơ hội trong lĩnh vực bảo mật. Bạn cũng có thể xem series “HỌC HACK CỰC GẮT 101” (Học Pentest miễn phí: Access Control Vulnerabilities (Video) | Đào tạo An toàn thông tin) trên kênh CyberJutsuTV để lấy cảm hứng và hiểu tinh thần “hacker” ngay từ đầu.

Học An toàn thông tin ra làm gì? – Cơ hội nghề nghiệp hấp dẫn

Một trong những câu hỏi lớn nhất của người mới là: “Học an toàn thông tin xong thì làm được gì?”. Sự thật là ngành ATTT rất đa dạng vị trí công việc, phù hợp với nhiều sở thích và kỹ năng khác nhau. Dưới đây là một số vị trí tiêu biểu mà bạn có thể hướng đến:

  • Chuyên viên Pentest (Pentester / Ethical Hacker) – “Hacker mũ trắng”: Đây có lẽ là công việc mơ ước của nhiều bạn trẻ. Pentester thực hiện các cuộc tấn công giả lập vào hệ thống, ứng dụng web, mạng nội bộ... nhằm tìm ra lỗ hổng bảo mật để doanh nghiệp khắc phục. Công việc này đòi hỏi hiểu biết sâu về cách thức tấn công, khai thác lỗ hổng và tư duy như hacker. Pentester giỏi luôn được săn đón, đặc biệt trong bối cảnh nhu cầu kiểm thử bảo mật tăng cao.
  • Chuyên viên phân tích an ninh (Security Analyst / SOC Analyst) – “Người gác cổng”: Nếu Pentester tập trung tấn công, thì Security Analyst tập trung phòng thủ. Họ thường làm việc tại SOC (Security Operations Center), giám sát hệ thống 24/7, phát hiện và phản ứng kịp thời khi có dấu hiệu tấn công. Vai trò này phù hợp với những ai tỉ mỉ, phản xạ nhanh và thích phân tích dữ liệu. Bạn sẽ sử dụng các công cụ SIEM, theo dõi log, điều tra sự cố để bảo đảm hệ thống an toàn.
  • Chuyên gia điều tra số (Digital Forensics & Incident Response) – “Thám tử mạng”: Khi sự cố bảo mật xảy ra, các chuyên gia DFIR sẽ vào cuộc để tìm hiểu chuyện gì đã diễn ra, dấu vết của hacker, và giúp khôi phục hệ thống. Công việc này giống như phá án, yêu cầu kiến thức về hệ thống, malware, và kỹ năng phân tích bằng chứng số. Nếu bạn thích việc lần tìm manh mối và giải quyết bí ẩn, đây là hướng đi rất thú vị.
  • Kỹ sư bảo mật (Security Engineer / Security Architect): Những người này thiết kế, triển khai các giải pháp kỹ thuật để bảo vệ hệ thống ngay từ đầu. Họ có thể xây dựng kiến trúc mạng an toàn, cài đặt firewall, IDS/IPS, triển khai giải pháp xác thực, mã hóa... Vị trí này đòi hỏi kiến thức tổng quát và kỹ năng lập kế hoạch, phù hợp với những ai có kinh nghiệm nền tảng rộng (mạng, hệ điều hành, cloud, v.v.) và tư duy hệ thống.
  • Chuyên gia Malware/Reverse Engineering: Nếu bạn đam mê lập trình và tò mò muốn “mổ xẻ” phần mềm độc hại, thì có thể trở thành một chuyên gia phân tích mã độc. Công việc chính là phân tích virus, trojan, ransomware... để hiểu cách chúng hoạt động và tìm phương án vô hiệu hóa. Bạn sẽ làm việc nhiều với assembly, debug, công cụ phân tích tĩnh/động. Đây là lĩnh vực chuyên sâu và rất giá trị, thường làm trong các phòng lab nghiên cứu hoặc đội ứng cứu sự cố nâng cao.

Ngoài ra, ngành ATTT còn nhiều vai trò khác như Chuyên viên Kiểm định bảo mật (Audit/GRC), Quản trị viên An ninh mạng, Chuyên gia Cloud Security, v.v. Theo Khung kỹ năng châu Âu (ECSF), có đến 12 vị trí chủ chốt trong lĩnh vực an ninh mạng, từ kỹ thuật tới quản lý (Học Pentest miễn phí: Access Control Vulnerabilities (Video) | Đào tạo An toàn thông tin). Mỗi vị trí yêu cầu một tập kỹ năng riêng, nhưng nhìn chung bạn cần nền tảng CNTT tốt và tinh thần ham học hỏi để thích nghi trong môi trường luôn thay đổi này.

Mẹo: Hãy lên các trang tuyển dụng hoặc nền tảng chuyên ngành để đọc mô tả công việc, yêu cầu kỹ năng cho vị trí bạn quan tâm. Ví dụ, CyberJutsu có trang jobs.cyberjutsu.io liệt kê hàng trăm việc làm ATTT tại Việt Nam (752 tin tuyển dụng An Toàn Thông Tin (Việt Nam)) – bạn có thể tham khảo để biết thị trường đang cần gì và chuẩn bị cho đúng mục tiêu.

Kỹ năng và tư duy cần có để trở thành hacker mũ trắng

Để dấn thân vào con đường hacker mũ trắng chuyên nghiệp, bạn cần trau dồi cả kỹ năng chuyên môn lẫn tư duy phù hợp. Dưới đây là những hành trang quan trọng:

1. Nền tảng IT vững chắc: An toàn thông tin là lĩnh vực giao thoa nhiều mảng CNTT, nên bạn cần nắm vững kiến thức nền về hệ điều hành (Windows, Linux), mạng máy tính (TCP/IP, HTTP, DNS...), một ngôn ngữ lập trình (Python, C/C++ hoặc Java, tùy hướng đi), và một chút về cơ sở dữ liệu, thuật toán, mật mã. Những kiến thức này giống như “đồ nghề” cơ bản giúp bạn hiểu được cách hệ thống vận hành, từ đó mới tìm ra cách tấn công hay bảo vệ. Nếu bạn là dân lập trình chuyển sang, hãy bổ sung mảng mạng và hệ thống. Nếu bạn là người mới hoàn toàn, đừng ngại bắt đầu từ con số 0 – có rất nhiều tài liệu nhập môn miễn phí có thể giúp bạn (sách, khóa học online căn bản). Quan trọng là học chắc từng thứ một thay vì nhảy cóc.

2. Tư duy phân tích và giải quyết vấn đề: Hacker mũ trắng là những người giỏi giải đố. Mỗi lỗ hổng bảo mật, mỗi cuộc tấn công đều như một bài toán cần lời giải sáng tạo. Bạn phải biết phân tích vấn đề thành những phần nhỏ, kiên trì thử nghiệm các hướng tiếp cận khác nhau và không bỏ cuộc khi chưa tìm ra lỗ hổng. Kỹ năng tư duy logic, khả năng tự học và tính kiên nhẫn chính là “vũ khí” lợi hại. Hãy rèn luyện bằng cách thường xuyên tự đặt câu hỏi “Điều gì sẽ xảy ra nếu...?” khi dùng một ứng dụng hay hệ thống – tư duy này sẽ giúp bạn phát hiện được nhiều góc nhìn thú vị.

3. Hiểu mindset của cả Red Team  Blue Team: Dù bạn chọn hướng tấn công hay phòng thủ, việc hiểu cách suy nghĩ của “phía bên kia” là cực kỳ hữu ích. Một chuyên gia tấn công giỏi cần hiểu người phòng thủ sẽ phát hiện mình ra sao để né tránh, ngược lại chuyên gia phòng thủ hiệu quả phải nghĩ như hacker để bịt các lỗ hổng trước khi bị khai thác. Tư duy như hacker không có nghĩa là làm việc xấu, mà là luôn tò mò tìm cách “bẻ khóa” mọi giới hạn, sau đó dùng kiến thức đó để tăng cường bảo mật. Hãy luyện cho mình thói quen nhìn một hệ thống và thử hình dung ra những điểm yếu có thể có.

4. Kỹ năng thực hành (Hands-on) liên tục: ATTT không phải là lĩnh vực chỉ học lý thuyết suông. Bạn cần “thực chiến” càng nhiều càng tốt: cài máy ảo, thiết lập phòng lab, tham gia CTF (Capture The Flag), giải các bài challenge online... Việc thực hành giúp kiến thức “ngấm” sâu hơn và phát triển kỹ năng kỹ thuật thực tế. Khi thực hành, hãy luôn tự hỏi “Tại sao lại làm bước này? Lỗ hổng này xuất phát từ đâu?” thay vì làm theo hướng dẫn một cách máy móc. Chất lượng hơn số lượng – giải 5 bài CTF nhưng hiểu rõ từng bước sẽ tốt hơn giải 50 bài mà không nhớ được gì (TÓM LẠI LÀ, HỌC AN TOÀN THÔNG TIN BẮT ĐẦU TỪ ĐÂU?).Bạn cũng có thể tham gia các buổi học miễn phí, webinar do cộng đồng tổ chức để học hỏi kinh nghiệm thực tiễn (CyberJutsu từng tổ chức buổi học Pentest miễn phí cho sinh viên và người mới tìm hiểu (Học Pentest miễn phí: Access Control Vulnerabilities (Video) | Đào tạo An toàn thông tin) – những dịp như vậy rất đáng để tham gia hoặc xem lại).

5. Tiếng Anh và cập nhật xu hướng: Phần lớn tài liệu xịn về bảo mật trên thế giới đều bằng tiếng Anh. Biết tra cứu và đọc hiểu tiếng Anh sẽ mở ra cho bạn kho kiến thức khổng lồ. Bên cạnh đó, an ninh mạng thay đổi mỗi ngày, hacker luôn nghĩ ra chiêu trò mới nên bạn cũng phải liên tục cập nhật. Hãy theo dõi các blog, kênh Youtube, nhóm cộng đồng về cybersecurity để nắm bắt xu hướng, kỹ thuật mới. Việc này không chỉ giúp bạn học hỏi mà còn duy trì đam mê khi được sống trong không khí cộng đồng bảo mật.

6. Cộng đồng và mentor: Đừng học một mình trong “chân không”. Tham gia một cộng đồng ATTT (chẳng hạn group Facebook, Discord về CTF, security) sẽ giúp bạn có nơi trao đổi khi gặp khó khăn, học hỏi từ người đi trước và tạo động lực cùng tiến bộ. Có mentor (người hướng dẫn) thì rất tốt, nhưng nếu không, cộng đồng chính là mentor của bạn. Nhiều bạn tự học dễ bị mất phương hướng hoặc nản chí khi gặp vấn đề khó. Lúc này, đồng đội và đàn anh đàn chị sẽ kéo bạn dậy. Văn hóa chia sẻ trong cộng đồng hacker mũ trắng rất tuyệt vời – đừng ngại đặt câu hỏi và cũng sẵn sàng giúp đỡ người khác khi có thể.

Nhìn chung, yếu tố then chốt vẫn là đam mê và kỷ luật tự học. Nếu bạn thực sự yêu thích an toàn thông tin, việc học sẽ giống như chơi – mỗi lỗ hổng tìm được, mỗi thử thách vượt qua sẽ là niềm vui thúc đẩy bạn tiếp tục. Kết hợp đam mê với một kế hoạch rõ ràng, bạn chắc chắn sẽ đạt được mục tiêu.

Lộ trình học an toàn thông tin 12 tháng: Từ cơ bản đến chuyên sâu

Bây giờ, chúng ta đi vào phần chính: lộ trình 12 tháng để từ một người chưa có nhiều kiến thức trở thành một Junior Pentester/Analyst sẵn sàng cho công việc (hay xa hơn là chinh phục chứng chỉ như OSCP – chứng chỉ hacker mũ trắng uy tín). Lộ trình này mang tính tham khảo và có thể điều chỉnh tùy vào quỹ thời gian của bạn (bạn học part-time hay full-time). Điều quan trọng là duy trì nhịp độ đều đặn mỗi tháng, tích lũy kiến thức và kỹ năng theo tầng lớp. Hãy coi đây là một “bản đồ” để bạn không lạc hướng trong biển kiến thức ATTT.

Lưu ý: Trong quá trình học, bạn có thể học song song nhiều mảng (ví dụ vừa học lý thuyết vừa thực hành CTF). Lộ trình dưới đây được chia theo trọng tâm cho từng giai đoạn để dễ theo dõi, nhưng bạn có thể linh hoạt điều chỉnh. Đừng quên tận dụng các tài liệu miễn phí từ CyberJutsu và cộng đồng mà chúng mình gợi ý ở mỗi bước nhé!

Tháng 1: Khám phá tổng quan và định hướng mục tiêu

  • Tìm hiểu về ngành ATTT: Dành tuần đầu tiên để đọc/tìm hiểu ATTT là gì, làm gì, lộ trình ra sao. Hãy xem các bài viết nhập môn như “Học An toàn thông tin bắt đầu từ đâu?” (blog CyberJutsu) hoặc blog của các chuyên gia trong nước (như bài của thaidn: “Làm an toàn thông tin thì học gì?” (TÓM LẠI LÀ, HỌC AN TOÀN THÔNG TIN BẮT ĐẦU TỪ ĐÂU?)). Mục tiêu là bạn hình dung được bức tranh toàn cảnh về các mảng của ATTT (web, mạng, hệ thống, pháp chứng, malware, v.v.) và chọn ra vài hướng bạn hứng thú nhất.
  • Xác định mục tiêu cuối lộ trình: Bạn muốn trở thành Pentester hay SOC Analyst hay gì khác? Việc xác định (dù chỉ là tạm thời) mục tiêu sẽ giúp bạn tập trung hơn trong các bước tiếp theo. Nếu phân vân, không sao – cứ chọn hướng bạn thấy thích nhất (ví dụ Pentest), bạn vẫn có thể đổi sau vài tháng nếu nhận ra mình phù hợp với hướng khác hơn.
  • Lên kế hoạch học tập: Sắp xếp thời gian biểu cho 12 tháng tới. Ví dụ mỗi ngày dành 2 giờ buổi tối để học, hoặc cuối tuần học nguyên ngày. Kế hoạch càng cụ thể, bạn càng dễ bám sát và hình thành thói quen. Hãy chuẩn bị môi trường học: cài một bản Linux (Ubuntu/Kali) trên máy hoặc máy ảo, tạo các tài khoản cần thiết (Github, tài khoản trên trang CTF như HackTheBox...). Nói chung, “vũ trang” sẵn sàng để bắt đầu học kỹ thuật từ tháng sau.

Tháng 2: Xây dựng nền tảng công nghệ thông tin

  • Hệ điều hành & Mạng: Học những kiến thức cơ bản về hệ điều hành (Windows, Linux). Tìm hiểu cách cài đặt, cấu hình, sử dụng dòng lệnh Linux căn bản (vì Linux là môi trường ưa thích của hacker). Song song đó, học về mạng máy tính: mô hình OSI, các giao thức TCP/IP, cách hoạt động của HTTP/HTTPS, DNS, v.v. Bạn có thể học qua các khóa nhập môn mạng trên YouTube hoặc giáo trình đại học căn bản. Hiểu rõ mạng và hệ điều hành là nền tảng quan trọng nhất để sau này hiểu về lỗ hổng.
  • Lập trình cơ bản: Nếu bạn chưa biết code, hãy bắt đầu học một ngôn ngữ script như Python (dễ học, phổ biến trong cộng đồng hacker) hoặc bất cứ ngôn ngữ nào bạn thích. Mục tiêu không phải để trở thành developer chuyên nghiệp, mà để bạn có thể viết các script đơn giản phục vụ công việc pentest (ví dụ tự động hóa tác vụ, phân tích dữ liệu) và đọc hiểu được code mẫu/chương trình khai thác có sẵn. Học các khái niệm cơ bản như biến, vòng lặp, hàm, đọc ghi file, xử lý chuỗi, v.v. Nếu đã biết lập trình rồi, bạn có thể dành thời gian này để làm quen với các công cụ dòng lệnh như Bash, PowerShell, hoặc nâng cao kỹ năng scripting của mình.

Tháng 3: Kiến thức bảo mật nhập môn

  • Nguyên lý cơ bản về bảo mật thông tin: Học về các khái niệm cơ bản: mật mã học (mã hoá, giải mã, hashing), an ninh mạng (firewall, IDS/IPS là gì), an toàn ứng dụng (OWASP Top 10 liệt kê các lỗ hổng web phổ biến nhất), khái niệm về malware, social engineering (tấn công phi kỹ thuật)... Bạn không cần quá chi tiết vào từng thứ ở giai đoạn này, chỉ cần nắm ý nghĩa và vai trò của chúng. Ví dụ: hiểu SQL Injection là gì và nguy hiểm ra sao, chứ chưa cần tự tay khai thác nó ngay.
  • Học qua video & tài liệu miễn phí: Đây là lúc các tài liệu miễn phí từ CyberJutsu phát huy tác dụng. Hãy xem những video nền tảng như “80 giây nói về nghề ATTT”“Học hack cực gắt 101” đã đề cập ở trên (nếu chưa xem). Tìm kiếm trên kênh CyberJutsuTV hoặc Youtube các từ khóa như "Pentest là gì?", "Career in cybersecurity" để hiểu sâu hơn về lĩnh vực bạn nhắm tới. CyberJutsu và nhiều tổ chức khác thường có các webinar nhập môn, hãy xem lại nếu có thể. Kiến thức nhập môn vững sẽ giúp bạn tự tin bước sang phần thực hành chuyên sâu hơn.

Tháng 4: Bắt đầu thực hành – Web Security căn bản

  • Học và thực hành OWASP Top 10: Web Pentest là mảng phổ biến và tương đối “dễ vào” cho người mới, nên chúng ta sẽ bắt đầu thực hành với mảng này. Tìm hiểu 10 nhóm lỗ hổng web hàng đầu (OWASP Top 10: SQLi, XSS, CSRF, LFI/RFI, v.v.). Đọc mô tả từng lỗ hổng và xem ví dụ minh hoạ cách tấn công. Sau đó, hãy thực hành ngay: cài đặt một ứng dụng web dễ bị hack để thử (VD: DVWA - Damn Vulnerable Web App, hoặc dùng trang web thực hành online như PortSwigger Web Security Academy (TÓM LẠI LÀ, HỌC AN TOÀN THÔNG TIN BẮT ĐẦU TỪ ĐÂU?) cung cấp hàng loạt bài lab miễn phí từ dễ đến khó về các lỗ hổng web). Mục tiêu trong tháng này: bạn hiểu và tự khai thác được những lỗi web cơ bản nhất (như SQL Injection, XSS) trên môi trường lab an toàn.
  • Công cụ hỗ trợ: Làm quen với các công cụ pentest cơ bản: Burp Suite (proxy phổ biến để phân tích và chỉnh sửa request web), SQLMap (tự động khai thác SQLi), OWASP ZAP (công cụ scan web miễn phí)… Việc biết sử dụng công cụ sẽ giúp tăng hiệu quả, nhưng đừng quá phụ thuộc – quan trọng là hiểu được bản chất lỗ hổng như đã nhấn mạnh. Hãy thử viết báo cáo ngắn gọn về lỗ hổng bạn tìm thấy như thể bạn báo cáo cho lập trình viên, để rèn kỹ năng trình bày vấn đề rõ ràng (kỹ năng viết report cũng rất quan trọng cho pentester sau này) (Khóa học WEB PENTEST | Đào tạo An Toàn Thông Tin).

Tháng 5: Mở rộng sang Pentest mạng và hệ thống

  • Tìm hiểu về Network Pentest: Bên cạnh web, một pentester cần biết cách kiểm thử mạng và hệ thống. Học cách sử dụng Nmap để quét cổng và dịch vụ trên mục tiêu, hiểu các khái niệm port, service, version, các loại scan (SYN scan, UDP scan...). Thực hành với một mạng lab nhỏ (có thể dùng VM như Metasploitable làm mục tiêu) để scan và phát hiện dịch vụ mở. Nmap kết hợp với kiến thức mạng (ở tháng 2) sẽ cho bạn bức tranh về “bề mặt tấn công” của hệ thống.
  • Khai thác lỗ hổng hệ thống: Học về một số lỗ hổng phổ biến trên hệ điều hành (Windows: EternalBlue, SMB Relay...; Linux: các misconfigurations). Làm quen với Metasploit Framework – công cụ mạnh mẽ giúp tự động hóa khai thác. Thử dùng Metasploit khai thác một lỗ hổng đã biết trên Metasploitable VM (ví dụ exploit vsftpd backdoor hoặc vsftpd 2.3.4). Qua đó, bạn sẽ hiểu quy trình từ quét -> tìm lỗ hổng -> khai thác -> tạo kết nối shell vào hệ thống.
  • Privilege Escalation cơ bản: Sau khi có được quyền truy cập ban đầu vào hệ thống (low privilege shell), bước tiếp theo thường là leo thang đặc quyền. Dành thời gian tìm hiểu khái niệm Privilege Escalation trên Windows và Linux (VD: Windows thì tập trung vào các kỹ thuật như search exploit trong các service, lạm dụng quyền hệ thống; Linux thì tìm mật khẩu trong file config, SUID binary v.v.). Thử thực hành leo quyền trên các máy ảo luyện tập. Hiện có nhiều tài liệu cheat-sheet về priv esc, bạn có thể lưu lại để dùng khi cần.

Tháng 6: Chọn ngách chuyên sâu và củng cố kỹ năng

  • Đến tháng này, bạn đã nếm trải cả Web pentest lẫn Network/System pentest ở mức cơ bản. Dựa trên trải nghiệm đó, hãy quyết định hướng chuyên sâu bạn muốn tập trung trong 6 tháng tiếp theo. Không ai có thể cùng lúc giỏi toàn bộ mọi mảng, nên tốt nhất bạn chọn 1-2 mảng bạn thích nhất để trở thành chuyên gia trong mảng đó trước. Ví dụ: bạn thấy mình hứng thú với web và mobile app -> hãy chuyên sâu vào Application Security; hoặc bạn thích mảng hệ thống, reverse -> tập trung vào exploit development; nếu bạn hướng phòng thủ -> tập trung học về Blue Team/SOC, Threat Hunting.
  • Lập kế hoạch học chuyên sâu: Viết ra những kỹ năng nâng cao bạn cần học trong mảng đã chọn. Ví dụ nếu chọn Web Pentest nâng cao: bạn cần học về Advanced Web Exploits (SSRF, deserialization, race conditions, v.v.), Secure Coding để hiểu dev và tìm bug logic, có thể học thêm về API Security, v.v. Nếu chọn hướng Blue Team: cần học về SIEM, phân tích log, hiểu biết về các mã độc phổ biến, quy trình xử lý sự cố... Lên danh sách những chủ đề này để lần lượt “đánh dấu hoàn thành” trong các tháng tới.
  • Tìm tài liệu và khóa học phù hợp: Khi đã rõ mình sẽ chuyên sâu gì, hãy thu thập các nguồn học chất lượng cho chủ đề đó. Bạn nên kết hợp giữa tài liệu miễn phí và có thể cả khóa học chuyên sâu nếu cần. Chẳng hạn, CyberJutsu có các khóa học thực chiến về Web Pentest, Red Team, 1Day Analysis... Nếu chưa sẵn sàng tham gia khóa dài hạn, bạn có thể học thử miễn phí một phần khóa học hoặc xem các video demo để tự học trước. (Ví dụ: khóa Web Pentest của CyberJutsu thường có bản học thử miễn phí giúp bạn hình dung phương pháp học thực tế). Ngoài ra, sách chuyên ngành, blog kỹ thuật (PortSwigger Blog, Hackersploit, v.v.) và các course trên Udemy, Coursera cũng rất hữu ích. Tháng này chủ yếu để bạn định hình con đường sắp tới và chuẩn bị tài nguyên.

Tháng 7: Thực hành, thực hành, thực hành (nâng cao)

  • Tham gia CTF và challenges nâng cao: Bắt đầu “leo thang” độ khó trong thực hành. Nếu 3 tháng trước bạn làm các lab cơ bản thì giờ hãy thử sức ở các CTF thực tế hoặc challenge chuyên sâu hơn. Tham gia các sự kiện CTF online dành cho sinh viên/newbie (ví dụ SeaGame, WhiteHat Contest, hay đơn giản lên trang CTFTime chọn các giải dễ). Mục tiêu không hẳn để xếp hạng cao, mà để va chạm với bài khó và học cách giải quyết vấn đề dưới áp lực thời gian. Sau mỗi giải, hãy đọc write-up (hướng dẫn giải) của các đội khác để học kỹ thuật mới.
  • Luyện tập trên nền tảng thực hành: Các challenge site phân theo chủ đề là nguồn tuyệt vời để luyện kỹ năng có hệ thống (TÓM LẠI LÀ, HỌC AN TOÀN THÔNG TIN BẮT ĐẦU TỪ ĐÂU?). Chẳng hạn: nếu chuyên web thì cày hết các lab trên PortSwigger, RootMe (mục Web), PentesterLab; nếu chuyên pentest tổng quát thì HackTheBox (và TryHackMe) là nơi lý tưởng với hàng trăm máy chủ ảo nhiều cấp độ để bạn tấn công; nếu thích reversing thì có Reverse engineering challenges (như Reversing.kr, Crackmes.one)... Hãy đặt mục tiêu mỗi tuần giải quyết một số lượng bài nhất định. Ví dụ: tháng này chinh phục 10 máy trên HackTheBox mức Easy/Medium, hoặc hoàn thành toàn bộ challenge về Cryptography trên Cryptopals nếu bạn thích crypto (TÓM LẠI LÀ, HỌC AN TOÀN THÔNG TIN BẮT ĐẦU TỪ ĐÂU?). Việc luyện tập đều đặn sẽ giúp kỹ năng bạn tăng vượt bậc so với chỉ học lý thuyết.
  • Tham gia cộng đồng chia sẻ kết quả: Mỗi khi bạn giải được một bài hay, đừng ngại chia sẻ trên blog cá nhân hoặc viết một post ngắn trên Facebook, diễn đàn về cách bạn đã làm. Quá trình viết lại sẽ giúp bạn hệ thống hóa kiến thức và cũng xây dựng dấu ấn cá nhân trong cộng đồng. Đây cũng có thể xem như bắt đầu tạo portfolio cho bản thân – rất hữu ích khi sau này đi xin việc, bạn có thể cho nhà tuyển dụng thấy các bài viết, thành tích CTF của bạn để chứng minh kỹ năng.

Tháng 8: Bổ sung kiến thức chuyên môn và chuẩn bị chứng chỉ (nếu cần)

  • Học kiến thức nâng cao theo chuyên đề: Tháng này, tập trung vào lý thuyết nâng cao trong mảng bạn chọn. Ví dụ: với Web Pentest nâng cao, học sâu về bảo mật máy chủ web, các kỹ thuật bypass WAF, SQLi nâng cao (Blind SQLi, time-based), Deserialization exploit… Lên kế hoạch mỗi tuần học 1-2 chủ đề. Sử dụng tài liệu chuyên sâu từ các khóa học (nếu bạn đang theo học), hoặc tự tìm whitepaper, bài phân tích trên blog. Hãy đảm bảo bạn hiểu tận gốc cách thức hoạt động chứ không chỉ biết công thức tấn công.
  • Xem webinar/chia sẻ từ chuyên gia: Tìm kiếm các video talk hoặc webinar của chuyên gia về chủ đề bạn đang học. Ví dụ, nếu bạn quan tâm Red Team, CyberJutsu có video trên YouTube về “Lộ trình trở thành Red Teamer như thế nào?” (Lộ trình trở thành Red Team như thế nào? - YouTube). Nghe người có kinh nghiệm chia sẻ sẽ cho bạn những mẹo thực tế và định hướng rõ hơn. Ghi chú lại những keyword hoặc công cụ họ đề cập để tìm hiểu thêm sau.
  • Chứng chỉ bảo mật – nên hay không? Sau ~8 tháng học nghiêm túc, bạn có thể bắt đầu nghĩ đến việc thi chứng chỉ như một cách kiểm tra và chứng minh kiến thức. Với người mới, các chứng chỉ nền tảng như CompTIA Security+, Certified Ethical Hacker (CEH), hoặc eJPT (Junior Penetration Tester) của eLearnSecurity là những lựa chọn phù hợp. Nếu tự tin hơn và thiên về pentest, bạn có thể thử sức với OSCP (Offensive Security Certified Professional) – đây là chứng chỉ danh giá nhưng rất thử thách, thường cần luyện tập nhiều lab trước khi thi. Chứng chỉ không bắt buộc để thành công trong ngành, nhưng có sẽ tạo lợi thế khi xin việc. Xem xét khả năng và mục tiêu của bạn để quyết định. Nếu chưa muốn thi sớm, không sao cả – kỹ năng thực tế và dự án bạn làm được cũng quan trọng không kém chứng chỉ.

Tháng 9: Dự án thực tế và tích lũy kinh nghiệm

  • Thực hiện một dự án bảo mật cá nhân: Hãy nghĩ ra một dự án nhỏ để vận dụng tất cả những gì bạn đã học. Ví dụ: xây dựng một môi trường giả lập cho phép bạn tấn công từ đầu đến cuối: một website hoặc network có chủ đích cài lỗ hổng, rồi viết báo cáo đề xuất khắc phục như một pentest chuyên nghiệp. Hoặc bạn có thể viết một công cụ đơn giản hỗ trợ pentest (ví dụ một script kiểm tra cấu hình bảo mật, một tool brute force mật khẩu). Quá trình làm dự án sẽ giúp bạn kết nối các mảng kiến thức rời rạc lại với nhau và cho thấy bức tranh tổng thể. Nếu được, hãy công khai dự án của bạn trên Github để sau này nhà tuyển dụng có thể xem.
  • Thực tập hoặc freelance nhỏ: Sau 8-9 tháng học, bạn có thể bắt đầu tìm cơ hội thực tập tại các công ty an ninh mạng hoặc team bảo mật của tổ chức lớn. Thực tập là cách tuyệt vời để có kinh nghiệm thực tế và học hỏi từ đàn anh. Nhiều công ty sẵn sàng nhận thực tập sinh ATTT biết nền tảng và chịu khó học. Hãy chuẩn bị CV ghi rõ các kỹ năng, lab, dự án, thành tích CTF/chứng chỉ của bạn để ứng tuyển. Nếu chưa muốn hoặc chưa có điều kiện thực tập, bạn có thể thử nhận các job freelance nhỏ về pentest (cẩn thận chọn những dự án hợp pháp!). Ngoài ra, tham gia chương trình Bug Bounty (săn lỗi nhận thưởng) của các công ty cũng là cách hay để vừa kiếm tiền vừa nâng cao trình độ. Tháng này, mục tiêu là có một trải nghiệm thực tế nào đó ngoài việc học một mình.

Tháng 10: Ôn tập và lấp đầy lỗ hổng kiến thức

  • Đánh giá lại tiến trình: Đã 3/4 chặng đường, đây là lúc bạn nên dừng lại một chút để đánh giá lại bản thân. Xem lại mục tiêu bạn đặt ra ở tháng 1 và các kỹ năng dự kiến học – còn mảng nào bạn cảm thấy mình học chưa đủ sâu hoặc còn yếu? Lập danh sách những “lỗ hổng” trong kiến thức/kỹ năng của bạn và ưu tiên bổ sung trong các tháng còn lại.
  • Ôn lại kiến thức cũ: Dành thời gian ôn tập những chủ đề đã học từ đầu lộ trình. Bạn có thể quay lại làm một số bài lab/CTF cũ để xem mình còn nhớ cách làm không, hoặc thử giải lại mà không cần trợ giúp để kiểm tra độ thành thục. Đọc lại ghi chép, tài liệu đã học, cập nhật nếu có gì mới. Việc ôn tập giúp kiến thức của bạn từ ngắn hạn chuyển vào trí nhớ dài hạn, sẵn sàng để sử dụng bất cứ lúc nào.
  • Học nâng cao (tiếp tục): Hoàn thiện nốt những chủ đề nâng cao mà bạn liệt kê ở tháng 6 nhưng chưa học xong. Ví dụ, nếu bạn chuyên web mà chưa học về Secure Code Review hay DevSecOps cơ bản, có thể tranh thủ học thêm để bổ trợ kiến thức toàn diện. Hoặc nếu bạn chuyên blue team mà chưa rành về malware analysis cơ bản, hãy học để hiểu kẻ tấn công. Mục tiêu là trở thành một “T-shaped” professional – nắm rộng các kiến thức chung và có chiều sâu ở một mảng chính.

Tháng 11: Chuẩn bị “về đích” – xây dựng thương hiệu cá nhân

  • Xây dựng hồ sơ năng lực (profile): Bên cạnh kiến thức, cách bạn thể hiện bản thân với cộng đồng và nhà tuyển dụng cũng rất quan trọng. Tháng này, hãy hoàn thiện các hồ sơ online của bạn: cập nhật LinkedIn với các kỹ năng ATTT, dự án, chứng chỉ vừa đạt được; làm đẹp Github với các code, tool bạn đã viết; nếu có blog cá nhân thì tổng hợp các bài viết hay bạn đã chia sẻ. Một profile ấn tượng sẽ giúp bạn nổi bật giữa nhiều ứng viên khác. Bạn cũng có thể nhờ mentor hoặc bạn bè trong ngành xem qua CV/hồ sơ của mình góp ý để chỉnh sửa tốt hơn.
  • Networking trong cộng đồng: Tích cực kết nối với cộng đồng ATTT: tham gia các sự kiện, meetup offline nếu có (gặp gỡ trực tiếp sẽ tạo quan hệ tốt hơn); tương tác trên các diễn đàn chuyên môn (chia sẻ kiến thức, hỏi đáp). Đôi khi, cơ hội việc làm đến từ những người bạn quen biết trong cộng đồng hơn là từ nộp đơn thông thường. Đừng ngại xây dựng thương hiệu cá nhân như một người đam mê và có kiến thức trong lĩnh vực – điều đó tạo sự tin tưởng cho nhà tuyển dụng lẫn đồng nghiệp tương lai.
  • Xin nhận xét và học hỏi thêm: Nếu bạn đã thực tập hay làm dự án freelance, tháng này hãy xin feedback từ người hướng dẫn hoặc khách hàng về điểm mạnh/yếu của bạn. Điều này rất quý để bạn biết mình cần cải thiện gì thêm. Song song, chuẩn bị cho giai đoạn phỏng vấn xin việc bằng cách luyện tập giải thích các dự án bạn làm, kiến thức bạn biết một cách mạch lạc, tự tin. Bạn có thể nhờ một người có kinh nghiệm giả lập phỏng vấn để luyện trước.

Tháng 12: Tự tin bước vào nghề – “Good hacker” on board!

  • Tổng kết và định hướng tương lai: Chúc mừng bạn đã đi đến tháng cuối của lộ trình! Hãy nhìn lại chặng đường 1 năm qua, tổng kết những gì bạn đã đạt được: kiến thức đã học, kỹ năng đã có, chứng chỉ (nếu có), dự án, network bạn xây dựng... Đây là thành quả rất lớn mà không phải ai cũng kiên trì đạt được. Tuy nhiên, học không bao giờ dừng lại trong lĩnh vực này. Hãy tự vạch ra kế hoạch học hỏi cho 1-2 năm tới: sẽ chinh phục chứng chỉ cao hơn (OSCP, OSCE?) hay nhắm đến vị trí cao hơn (ví dụ từ Junior Pentester lên Senior, hoặc từ SOC Analyst lên Threat Hunter)? Việc có tầm nhìn dài hạn sẽ giúp bạn tiếp tục có mục tiêu để phấn đấu.
  • Nộp đơn và phỏng vấn xin việc: Nếu mục tiêu của bạn là đi làm, đây chính là lúc “ra trận”. Chuẩn bị một CV chuyên nghiệp (nhấn mạnh các kỹ năng và thành tựu liên quan ATTT). Viết thư xin việc thể hiện đam mê của bạn với lĩnh vực này. Chủ động ứng tuyển vào các công ty, vị trí bạn mong muốn – đừng ngại nếu thấy yêu cầu tuyển dụng hơi cao, hãy cứ thử vì bạn đã có nền tảng tốt. Khi phỏng vấn, hãy trung thực về kinh nghiệm của mình, thể hiện tinh thần cầu tiến và khả năng tư duy mà bạn tích lũy. Nhiều nhà tuyển dụng đánh giá cao tiềm năng hơn là chỉ nhìn số năm kinh nghiệm.
  • Tiếp tục học hỏi và đóng góp: Dù bạn sắp đi làm hay tiếp tục học cao hơn, hãy duy trì thói quen cập nhật tin tức bảo mật, học kỹ thuật mới mỗi ngày. Ngành này thay đổi quá nhanh, dừng lại nghĩa là tụt hậu. Hãy tham gia đóng góp cộng đồng (viết blog, làm video chia sẻ nếu có thể) – điều này vừa giúp bạn ôn lại kiến thức, vừa xây dựng tên tuổi trong giới chuyên môn. Nhớ rằng trở thành “Pro Hacker” không phải đích đến cuối cùng, đó là một hành trình liên tục. Luôn giữ tinh thần khiêm tốn học hỏi, bạn sẽ ngày càng tiến xa và có nhiều cơ hội phát triển sự nghiệp.

Với lộ trình 12 tháng trên, hy vọng bạn đã thấy con đường trở thành một chuyên gia An toàn thông tin rõ ràng hơn. Mỗi người có tốc độ học khác nhau, bạn có thể điều chỉnh cho phù hợp với mình. Quan trọng nhất vẫn là bắt đầu và không bỏ cuộc giữa chừng. Hãy tin rằng với nỗ lực bền bỉ, sau 1 năm bạn sẽ tự nhìn lại và bất ngờ về lượng kiến thức cũng như kỹ năng mình tích lũy được.

Kết luận: Sẵn sàng trở thành hacker mũ trắng – Hành động ngay hôm nay!

Hành trình từ tân binh đến pro hacker chắc chắn đầy thử thách nhưng cũng tràn ngập đam mê và niềm vui khám phá. Ngay bây giờ, hãy hành động để biến ước mơ thành hiện thực: bắt tay xây dựng nền tảng, học hỏi mỗi ngày và dấn thân vào thế giới an ninh mạng. Nếu bạn cần sự hỗ trợ, đừng ngần ngại tham gia cộng đồng CyberJutsu và các nhóm chia sẻ khác để cùng học. CyberJutsu cũng cung cấp nhiều tài liệu miễn phí, video hướng dẫn và các khóa học thực chiến giúp bạn rút ngắn thời gian tự mày mò. Hãy tận dụng chúng một cách thông minh (ví dụ, xem lại buổi học pentest miễn phí của CyberJutsu đã được chia sẻ (Học Pentest miễn phí: Access Control Vulnerabilities (Video) | Đào tạo An toàn thông tin) hoặc tham khảo nền tảng tra cứu việc làm ATTT để định hướng nghề nghiệp rõ hơn ((Infographic) Nhu cầu tuyển dụng Penetration Tester | Đào tạo An toàn thông tin)).

Bạn đã có lộ trình trong tay, việc còn lại là bắt đầu ngay. Hãy tự đặt mục tiêu cho tuần này, tháng này và kiên trì thực hiện. Biết đâu 12 tháng tới, chính bạn sẽ quay lại chia sẻ câu chuyện thành công của mình với cộng đồng. Thế giới mạng luôn cần những “người hùng thầm lặng” như bạn – bắt đầu hành trình học An toàn thông tin của bạn hôm nay để sớm chạm tới vạch đích. Good luck và hẹn gặp bạn ở “mặt trận” cyber! 🚀

Albert Einstein

"Education is not the learning of facts,
but the training of the mind to think"

CÔNG TY CỔ PHẦN CYBER JUTSU

Số 3 Nguyễn Xuân Ôn, Phường 2, Quận Bình Thạnh, TP Hồ Chí Minh

Mã số thuế: 0314377455

Hotline: 0906622416

Phản ánh chất lượng dịch vụ: 0906622416

Email liên hệ: contact@cyberjutsu.io

Chịu trách nhiệm nội dung: Nguyễn Mạnh Luật

Khóa học

Web Penetration Testing

Red Team - Exploit 101

1DAY ANALYSIS

Lộ trình học tập

Road Map

Tất cả khóa học

Cộng đồng

Blog

Videos

Cảm nhận học viên

Hall of Fame

Kiểm tra kiến thức

Liên hệ

Chính sách

Lớp học Live Online

Flipped Classroom

Chương trình giới thiệu

Xem tất cả chính sách

Copyright © 2025 CyberJutsu JSC. All Rights Reserved.