Để học các môn về bảo mật thông tin, ehacking hay pentest có nhiều cách khác nhau. Có các trường chuyên ngành như KMA , PTIT hay các khoa CNTT của các trường đại học. Cũng có thể tự học nếu đủ điều kiện và đam mê …

Thế nhưng, nhiều bạn từ sinh viên cho tới những chuyên viên đã đi làm thực tế vẫn yêu thích và đi theo lộ trình học của các hãng quốc tế hay còn gọi là Chứng Chỉ Quốc Tế (CCQT) , vì đây luôn là cách nhanh và hiệu quả nhất. Những chương trình này được xây dựng theo các khung tiêu chuẩn của NIST hay chỉ thị của Bộ Quốc Phòng Mỹ, NASA , NSA … nên rất khoa học và thiết thực, cho nên nhiều công ty hay tổ chức, cơ quan chuyên ngành tại Việt Nam thường xây dựng lộ trình đào tạo cho nhân viên theo các learn path của các chứng chỉ bảo mật quốc tế. Những chương trình như vậy có các hãng hàng đầu và nổi bật như là : GIAC, CompTIA, EC Council, OffSEC, EC Council, eLearnSecurity hay ISC2, CREST hay Microsft, Cisco và cả SCP trước đây …

Do có khá nhiều hãng đào tạo với nhiều loại chứng chỉ khác nhau nên tôi viết một bài đánh giá chung để mọi người dễ hiểu hơn.

Xét về măt lâu đầu, uy tín quốc tế cũng như có các chương trình đào tạo thuộc hàng top , lọt vào danh sách đề xuất uy tín, rồi top 10 cert lương cao … thì nổi bật là 2 đại diện GIAC và CompTIA với chương trình học GSEC hay Security+ dành cho những ai mới bắt đầu. Còn EC Council thường được biết đến nhiều nhất là CEH , sau này có CHFI là cặp chứng nhận được các cty và chuyên gia VN theo học nhiều nhất. Tại VN EC Council nổi bật hơn so với CompTIA và cả SANS nhưng ở phạm vi quốc tế tôi nghĩ 2 hãng đào tạo này có uy tín và lâu đời hơn. Còn hãng đào tạo mới nổi sau này có OffSec với OSCP được xem như chứng chỉ quốc dân hay toàn cầu trong ngành pentest.

Về chứng nhận căn bản của EC Council ta thấy có CND khá ít người quan tâm, nên hiện nay hãng có ra chương trình học bổng là CTT nội dung khá hay, hấp dẫn nhưng cũng quá rộng. Để tiếp cận CTT cần có kiến thức nền tảng như Security + hay GSEC.

Ở mức cao hơn, sau GSEC và Security + là các chương trình về hacking + pentest như GPEN hay Pentest +. Hãng đào tạo EC Council có CEH, OffSec nổi bật với OSCP là một chứng nhận Top 7 về độ khó dành cho các chuyên gia bảo mật. Cạnh tranh với OSCP thì có CPENT / LPT của EC Council, hay eCPPT của eLearnSecurity và dĩ nhiên SANS GIAC cũng có các gói đào tạo tuyệt vời nhưng vấn đề là chi phí của họ khá cao so với mặt bằng chung.

Ơ cấp độ kỹ thuật , ngoài các chứng nhận Pentest là các chương trình đào tạo về điều tra số như GCIH, CHFI còn OffSec dường như chưa có các chương trình này, eLearnSecurity vẫn có nhưng lại không phổ biến, ngay cả tên gọi của chương trình học cũng khó nhớ. Và mặc dù là một chương trình sinh sau so với GCIH , CHFI nhưng CySA+ của CompTIA là một chương trình khá hay và tổng quát. Nó như là sự kết hợp của cả GCIH và CHFI , bên cạnh đó CompTIA có môi trường thực hành khá tuyệt vời, chi phí xem ra cũng khá rẽ so với các môi trường lab online khác.

Cũng nên nhận ét qua về các môi trường lab thực hành online. Lấy 2 ví dụ điển hình của EC Council và Comptia vì phổ biến. Nếu so với ilab của EC Council trước đây thì CertMaster Lab của Comptia có cấu trúc hay hơn hẵn, đặc biệt là các câu hỏi cho từng đề mục, câu hỏi tổng quát , và kết chương của phần thực hành giúp người học nắm vững các tiêu chí đề ra. Hiện nay, iLab CyberQ của EC Council cũng đi theo mô típ này, nhưng nhìn chung còn hơi kém so với CertMaster đôi chút. Ngoài ra, giao diện lab CyberQ của EC Council hơi khó thực hành, nó khá nhỏ và tôi thấy hơi rối.

Còn lại các mô hình khác tôi không có ý kiến, nhưng cũng xin có chút đánh giá về môi trường thực hành lab online với giao diện GUI (dùng trình duyệt) và dùng Terminal (tạm gọi như vậy khi connect bằng dòng lệnh qua openvpn). Đó là, nhiều bạn có kỹ năng và kinh nghiệm thích lab online kiểu command line qua VPN như eLearnSecurity, OffSec hay các môi trường như TryHackMe (cũng có giao diện GUI qua web), HackTheBox vì nhanh gọn, nhưng để học tập thì kết nối lab online qua trình duyệt web với giao diện đồ họa tôi thấy vẫn dễ học dễ làm hơn. Tuy rằng, khi thi thực hành với giao diện GUI lắm khi làm cho chúng ta rất “mệt mõi” vì nó chậm do mạng chậm, rê chuột còn không chạy chứ chưa nói đến việc hack crack hay dò quét, tôi đã từng toát mô hôi trong bài thi hack vào máy chủ wordpress, mặc dù đã bẽ khóa thành công với wpscan , tìm ra 1 bug atheticated và chỉ cần mở Metasploit là có thể revershell, thế nhưng không tài nào rê nổi con chuột, có lẽ do cáp quang biển bị đứt. Vì vậy, nếu tốc độ mạng tốt thì dùng lab qua giao diện web như CertMaster Lab, Practice-Lab, CyberQ khá thích, còn chậm thì nên dùng terminal nếu chúng ta có lựa chọn.

Quay trở lại với việc so sánh CyberQ và CertMaster Lab thì nhận xét của tôi là rất công tâm, vì tôi là CEI và là ATC của ECCouncil nên đáng lẽ phải ưu tiên khen CyberQ là “người nhà” nhiều hơn để bán được nhiều hàng hơn. Mặc dù vậy, môi trường iLearn kết hợp lab của EC Council khá tuyệt vời, vì bài học xong họ có link vào lab ngay, học viên dễ làm . Còn các hệ thống học tập của Comptia tách rời, cần có giáo viên hay instructor hướng dẫn. Đôi khi đọc xong một chương tài liệu của giáo trình chính hãng học viên không biết phải làm nhưng bài lab nào trên khung thực hành, mặc du bài nào cũng phải làm nhưng nên làm bài nào trước hay khớp với chương trình học là rất quan trọng.

Vậy, với các sinh viên chuyên ngành CNTT nếu muốn học về an ninh mạng, an toàn thông tin để có thể vào làm cho các cơ quan như VnCert hay các vị trí về pentest , bảo mật của ngân hàng … cần học các chương trình nền tảng như là :

• Bảo mật cơ bản GSEC hay Security + : Hiện Security + có chi phí rẽ hơn và dễ học hơn do có nhiều trung tâm đào tạo, dễ tiếp cận với học liệu và thi cử dễ dàng ở bất kì nơi đâu. Với chi phí 392 $ cho voucher thi qua OnVue hay tại trung tâm, phí tài liệu chính hãng khoảng 100 $ (giáo trình English) , phí 205 $ cho phần Lab 12 tháng , chỉ cần có một instructor kinh nghiệm dẫn dắt về lý thuyết, thưc hành cơ sở, ôn luyện thi với Practice Test là các bạn có thể bỏ túi chứng chỉ này. Không kể lệ phí thi, nếu chỉ tính riêng chi phí Đào tạo + Lab Online + Exam Prep (bao gồm Practice chính hãng + Dump) các bạn có thể đăng kí học qua Security365 với chi phí tầm 7 triệu (được bonus thêm CertMaster Practice trị giá 205 $ , kèm theo CertMaster Learn chính hãng để tham khảo trị giá lên đến 390 $). Còn nếu có điều kiện có thể học SANS GSEC với chi phí thi đã là 949 $.
• Tiếp theo , các ban có thể học GPEN, eJPT, Pentest + hay CEH Master : Đây là các chương trình nổi bật và dễ làm đẹp hồ sơ, khả năng tìm việc tốt trong ngành bảo mật rất cao. Trong số này tôi chọn ra Comptia PENTEST + vì dễ học và thi, cùng chi phí tốt nhất khoảng 8 triệu là các bạn có đầy đủ đồ chơi để hoc tập rèn luyện cả năm trời, nhưng tôi nhấn mạng CEH Master mới là chương trình đỉnh nhất về mặt thương hiệu đã được chứng nhận tại Việt Nam, và lưu ý là CEH Master chứ không phải CEH mà các bạn thường nghe chi là thi lý thuyết. Để đạt CEH Master ta cần phải thi đậu CEH ANSI (lý thuyết 125 câu trong 4 tiếng, điểm đạt trên 70 %) , sau đó thi thực hành 6 tiếng lấy CEH Practice, nếu đạt 14/20 điểm qua 20 thử thách sẽ nhận chứng chỉ CEH Practice và CEH Master. Chi phí thi cho CEH ANSI + CEH Practice trên 1000 $ , khá cao so với mặt bằng chung. Phí đào tạo là 7.5 triệu , tuy nhiên CEH VIETNAM có combo khuyên học cho chương trình đào tạo Chiến Binh CEH MASTER chỉ với 19.900.000 VND cho cả khóa học CEH MASTER và thi chứng chỉ. Với số lượng hạn chế các bạn quan tâm vui lòng liên hệ admin hay proctor.
• Để có thể nâng cao Chứng nhận bảo mật các chuyên gia có thể học lên OSCP (OffSec) hay CPENT (EC Council) + LPT , hoặc eCPPT. Tại CEH VIETNAM có chương trình đạo tạo kép CPENT +LPT với hơn 10 người thi đạt cùng lúc 2 chứng nhận này.
• Bên cạnh kiến thức và kỹ năng hacking / pentest các chuyên gia an ninh mạng cần rèn luyện thê về điều tra số với GCIH hay CHFI.
• Một khi đã rèn luyện đủ các cấp bậc về kỹ thuật có thời gian làm việc trên 5 năm thì các chuyên gia an ninh mạng sẽ chuẩn bị tâm thế để leo cao hơn , trở thành nhà quản lý hay hoạch định về an toàn và bảo mật thông tin. Đây là lúc để học CCISO, CISM, hay nổi bật nhất là CISSP.

Tuy nhiên, trước khi vào các môn an toàn thông tin căn bản hãy Nhập môn 123với GCEH 1 và GCEH 2, GCEH 3. Để sau này học các môn của CCQT nhanh vào hơn.

Còn đối với các bạn không được chuyên ngành thì sao, theo tôi nghĩ không sao cả ! Các bạn có thể học về Network +, luyện một số ngôn ngữ về kịch bản như Python, JavaScript hay nắm chút HTML, PHP … qua những trang như SoloLearn. Và thật ra cứ học Python là được rồi, sau đó là máy tính và mang và dành khoảng 6 – 9 tháng thực hành các vấn đề cơ bản trên TryHackMe.

Hãy đọc kỹ bài này nếu thấy cần trao đổi hay bổ sung các bạn có thể liên hệ qua Telegram hay Messenger !