Tweet
Khổng lồ, to lớn, vĩ đại—đó là những từ dùng để miêu tả tác động và quy mô của các cuộc tấn công mạng ngày nay. Một trung tâm điều hành bảo mật tại một cơ quan quản lý cảng báo cáo rằng họ nhận được 40 triệu nỗ lực tấn công mạng mỗi tháng. Tổng số lượng mã độc (malware) đã tăng từ 182 triệu vào năm 2013 lên hơn 1,34 tỷ hiện nay. Tội phạm mạng được gọi là “sự chuyển giao lớn nhất của cải kinh tế trong lịch sử,” và ước tính rằng nó có thể đạt 10,5 nghìn tỷ đô la mỗi năm vào năm 2025. Và sự ra đời gần đây của các công cụ trí tuệ nhân tạo (AI) chỉ làm gia tăng các cuộc tấn công bảo mật. Một sự gia tăng 135% trong email lừa đảo và thư rác đã được liên kết trực tiếp với AI. Hai nhà nghiên cứu bảo mật đã sử dụng một công cụ AI để thắng một cuộc thi “hack-a-thon,” kiếm được giải thưởng 123.000 đô la. Mức độ mà các công cụ AI sẽ hỗ trợ kẻ tấn công thực hiện các cuộc tấn công khó phát hiện là điều đáng sợ.
Nhu cầu xác định và phòng thủ chống lại các cuộc tấn công mạng liên tục nhắm vào mọi doanh nghiệp lớn nhỏ đã tạo ra một lực lượng lao động thiết yếu, giờ đây là trung tâm của ngành công nghệ thông tin (IT). Được gọi là bảo mật thông tin, những chuyên gia này tập trung vào việc bảo vệ thông tin điện tử. Nhu cầu đối với các chuyên gia được chứng nhận trong lĩnh vực bảo mật thông tin chưa bao giờ cao hơn. Tuy nhiên, vẫn còn một khoảng cách lớn. Mặc dù lực lượng lao động bảo mật toàn cầu đã tăng lên 4,7 triệu người vào năm 2021, đạt mức cao nhất từ trước đến nay, vẫn còn cần hơn 3,4 triệu chuyên gia bảo mật, tăng hơn 26% so với năm trước.
Khi tuyển dụng cho các vị trí bảo mật mạng, phần lớn các doanh nghiệp sử dụng chứng chỉ Security+ của Hiệp hội Công nghiệp Công nghệ Máy tính (CompTIA) để xác minh năng lực bảo mật. Trong số hàng trăm chứng chỉ bảo mật hiện có, Security+ là một trong những chứng chỉ bảo mật được công nhận rộng rãi nhất. Vì được quốc tế công nhận là xác nhận mức độ kỹ năng và kiến thức bảo mật cơ bản, chứng chỉ Security+ đã trở thành nền tảng cho các chuyên gia bảo mật IT ngày nay. Giá trị cho một chuyên gia IT sở hữu chứng chỉ bảo mật CompTIA là rất đáng kể. Trung bình, một nhân viên có chứng chỉ CompTIA có mức lương cao hơn từ 5 đến 15% so với những người có trình độ tương tự nhưng không có chứng chỉ.
Chứng chỉ CompTIA Security+ là một chứng chỉ trung lập về nhà cung cấp, yêu cầu vượt qua kỳ thi chứng nhận hiện tại SY0-701. Một thí sinh thành công có kiến thức và kỹ năng cần thiết để xác định các cuộc tấn công, mối đe dọa và lỗ hổng; thiết kế kiến trúc bảo mật mạnh mẽ; triển khai các biện pháp kiểm soát bảo mật; hiểu biết về hoạt động bảo mật và phản ứng sự cố; và nắm vững các yêu cầu về quản trị, rủi ro và tuân thủ.
Chứng chỉ mang lại cho người xin việc nhiều hơn chỉ là lợi thế cạnh tranh so với những người không có chứng chỉ khi cạnh tranh cho cùng một vị trí IT. Một số cơ sở giáo dục đại học cấp tín chỉ đại học cho sinh viên vượt qua kỳ thi chứng nhận, giúp họ tiến xa hơn trong chương trình học. Đối với những người đã đi làm, việc đạt được chứng chỉ mới tăng hiệu quả công việc, mở ra cơ hội thăng tiến và đảm bảo công việc. Chứng chỉ cũng mang lại cho những người quan tâm đến sự nghiệp trong quân đội khả năng thăng tiến nhanh hơn lên các vị trí cao hơn.
Phần 1: Nền Tảng Bảo Mật
XuHướngCyber
Một quan niệm phổ biến là những “hacker” thành công hiếm khi phải đối mặt với thời gian tù dài hoặc các hình phạt tài chính nếu bị bắt. Thay vào đó, họ được mời làm việc trong lĩnh vực bảo mật mạng với mức lương cao để bảo vệ chính những hệ thống mà họ từng xâm phạm. Tuy nhiên, quan niệm này là sai lầm. Khi ngày càng nhiều kẻ tấn công bị bắt và hoàn thành án tù, họ nhận thấy rất khó để tìm việc làm trong lĩnh vực bảo mật mạng hoặc các lĩnh vực công nghệ khác.
Những cá nhân bị kết án vì một số tội danh nhất định không phải lúc nào cũng có được những đặc quyền mà họ từng có trước khi bị bắt. Ở nhiều bang tại Mỹ, những người bị kết án trọng tội không được phép bỏ phiếu ngay lập tức trong các cuộc bầu cử. Hầu hết các bang có những hạn chế khác ảnh hưởng đến việc làm của mọi người sau khi họ được thả ra khỏi tù. Ví dụ, một cựu tù nhân trở thành nhà báo có thể cần thêm sự phê duyệt để đi cùng cảnh sát khi nghiên cứu một câu chuyện, hoặc họ có thể không đủ điều kiện để được kiểm tra nhanh như các nhà báo khác khi vào tòa án để đưa tin về một phiên tòa.
Tương tự, những kẻ tấn công mạng bị kết án ở Hoa Kỳ và nhiều nước châu Âu thường phải đối mặt với các hạn chế về việc sử dụng máy tính và truy cập internet sau khi mãn hạn tù. Mục đích được nêu của những hạn chế này là ngăn họ rơi vào tình huống có thể bị cám dỗ để tái phạm. Các hạn chế đối với những người bị kết án vì tội phạm mạng thường yêu cầu các thiết bị công nghệ và máy tính của họ phải được đăng ký với hệ thống tòa án, và họ bị cấm sử dụng bất kỳ ứng dụng web hoặc công nghệ nào có thể che giấu hành vi trực tuyến của họ, chẳng hạn như mạng riêng ảo (VPN). Những hạn chế này có thể kéo dài đến 10 năm sau khi họ được thả.
Nhiều cựu tội phạm mạng báo cáo rằng những hạn chế về sử dụng công nghệ này khiến họ gần như không thể tìm được bất kỳ công việc nào liên quan đến công nghệ ở bất kỳ cấp độ nào. Một kẻ tấn công đã bị bắt và kết án vì xâm nhập vào hệ thống của một công ty viễn thông và làm lộ dữ liệu cá nhân của 156.000 khách hàng, gây thiệt hại 48 triệu đô la cho công ty viễn thông. Kẻ tấn công này chỉ mới 18 tuổi khi phạm tội. Sau khi thụ án 2 năm trong tổng số 4 năm tù, anh ta phải đối mặt với 3 năm hạn chế, bao gồm yêu cầu đăng ký bất kỳ thiết bị công nghệ nào anh ta sử dụng và hạn chế truy cập vào các ứng dụng và dịch vụ trực tuyến. Cứ vài tháng, các nhà chức trách—mà không báo trước—thu giữ thiết bị của anh ta để kiểm tra và sao chép toàn bộ dữ liệu của anh ta. Một kẻ tấn công mạng khác bị kết án đã nộp đơn xin nhiều việc công nghệ sau khi ra tù, nhưng các hạn chế khiến anh ta không thể tìm được việc làm. Anh ta buộc phải làm việc trong ngành xây dựng và nhà hàng trong nhiều năm cho đến khi thời gian quản chế kết thúc.
Một bước phổ biến để gia nhập lực lượng lao động doanh nghiệp trong lĩnh vực bảo mật thông tin là kiếm chứng chỉ trong lĩnh vực này từ một tổ chức bảo mật uy tín. Tuy nhiên, đối với hầu hết những kẻ tấn công mạng bị kết án, con đường này cũng không khả thi. Nhiều chứng chỉ cấp cao yêu cầu ứng viên phải trải qua kiểm tra đạo đức và lý lịch trước khi được cấp chứng chỉ. Những chứng chỉ này thường có bộ quy tắc đạo đức yêu cầu ứng viên phải hành động “danh dự, trung thực, công bằng, có trách nhiệm và hợp pháp.” Như giám đốc điều hành của một tổ chức chứng nhận đã nói, “Rất khó có khả năng chúng tôi cho phép họ giữ chứng chỉ của chúng tôi vì điều đó liên quan chặt chẽ đến việc vi phạm các quy tắc đạo đức của chúng tôi.” Một cơ quan chứng nhận khác cho biết họ chỉ nhận được 10 đơn đăng ký trong thập kỷ qua từ những người có tiền án hoặc bị kết án tội phạm mạng.
Vì vậy, thay vì được thưởng hậu hĩnh cho những hành động khai thác của họ bằng một công việc lương cao trong lĩnh vực bảo mật mạng, thực tế lại hoàn toàn ngược lại: họ bị hạn chế nghiêm trọng khỏi bất kỳ công việc nào sử dụng công nghệ.
Bạn có nghe nói rằng một trong những trình quản lý mật khẩu trực tuyến hàng đầu báo cáo rằng kẻ tấn công đã đánh cắp bản sao lưu dữ liệu mật khẩu của khách hàng cũng như thông tin cá nhân (địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP), và điều này xảy ra sau khi công ty đã phủ nhận trong hơn bốn tháng rằng bất kỳ dữ liệu khách hàng nào bị đánh cắp không? Và rằng các nhà nghiên cứu chính phủ đã phát hiện ra rằng những kẻ tấn công nghi ngờ là người Nga đã lây nhiễm và ẩn nấp trong một mạng vệ tinh của Mỹ? Rằng một thỏa thuận dựa trên vụ vi phạm dữ liệu từ năm năm trước ảnh hưởng đến hàng trăm triệu công dân Mỹ—với một số bang báo cáo gần 60% dân số là nạn nhân—cuối cùng đã đạt được nhưng chỉ cung cấp dịch vụ giám sát tín dụng và khôi phục danh tính cho tất cả nạn nhân? Rằng một vụ vi phạm dữ liệu 427 gigabyte (GB) đã xảy ra trên phần mềm bên thứ ba được sử dụng bởi các nhà hàng và khách sạn trên toàn thế giới? Và rằng các công ty bảo mật thông tin đã sa thải hàng trăm nhân viên bảo mật trong vài tháng gần đây do nền kinh tế không chắc chắn?
Và tất cả những điều này xảy ra chỉ trong hơn một ngày?
Bạn có thể không nghe nói về bất kỳ sự cố nào trong số này. Trong quá khứ, chỉ một trong những sự kiện mạng này đã có thể trở thành tiêu đề đáng chú ý lan truyền ngay lập tức trên Internet, nhưng ngày nay chúng hầu như không gây được chút chú ý nào. Không phải vì chúng không quan trọng; đúng hơn, đó là vì các cuộc tấn công bảo mật mạng đã trở nên quá phổ biến đến mức chúng ta hầu như không còn để ý đến chúng nữa. Ồ, hôm nay lại có một vụ vi phạm dữ liệu nữa à? Vậy thì còn gì mới đâu?
Quy mô tuyệt đối của các cuộc tấn công đã đạt đến mức khổng lồ. Viện AV-TEST nhận được hơn 450.000 trường hợp chương trình độc hại mới (malware) và ứng dụng không mong muốn (PUA) mỗi ngày. Tổng số lượng mã độc đã tăng từ 182 triệu vào năm 2013 lên hơn 1,34 tỷ hiện nay. Tội phạm mạng được gọi là “sự chuyển giao lớn nhất của cải kinh tế trong lịch sử.” Ước tính rằng nó có thể đạt 10,5 nghìn tỷ đô la mỗi năm vào năm 2025. Và những con số đáng buồn cứ tiếp tục tăng lên.
Nhu cầu xác định và phòng thủ chống lại những cuộc tấn công liên tục này đã tạo ra một lĩnh vực giờ đây là trung tâm của ngành công nghệ thông tin (IT). Được gọi là bảo mật thông tin, lĩnh vực này liên quan đến việc bảo vệ bí mật của thông tin, đảm bảo rằng thông tin không bị thay đổi và có thể được truy cập một cách đáng tin cậy. Các yếu tố của bảo mật thông tin bao gồm giảm thiểu mối đe dọa và lỗ hổng, áp dụng kiến trúc bảo mật, và quản lý và giám sát các hoạt động bảo mật.
Lực lượng lao động quản lý bảo mật thông tin trong một doanh nghiệp thường được chia thành hai loại chính. Nhân sự quản lý bảo mật thông tin quản lý và điều hành các kế hoạch, chính sách và con người, trong khi nhân sự kỹ thuật bảo mật thông tin tập trung vào việc thiết kế, cấu hình, cài đặt và bảo trì thiết bị bảo mật kỹ thuật. Trong hai loại chính này có bốn loại vị trí bảo mật được công nhận phổ biến:
- Giám đốc An ninh Thông tin (CISO). Người này báo cáo trực tiếp cho CIO. (Các doanh nghiệp lớn có thể có nhiều lớp quản lý hơn giữa người này và CIO.) Người này chịu trách nhiệm đánh giá, quản lý và triển khai bảo mật.
- Quản lý Bảo mật. Quản lý bảo mật báo cáo cho CISO và giám sát các kỹ thuật viên, quản trị viên và nhân viên bảo mật. Thông thường, quản lý bảo mật làm việc với các nhiệm vụ được CISO xác định và giải quyết các vấn đề do kỹ thuật viên phát hiện. Vị trí này đòi hỏi sự hiểu biết về cấu hình và vận hành nhưng không nhất thiết phải thành thạo kỹ thuật.
- Quản trị viên Bảo mật. Quản trị viên bảo mật có cả kiến thức kỹ thuật và kỹ năng quản lý. Quản trị viên bảo mật quản lý hoạt động hàng ngày của công nghệ bảo mật và có thể phân tích và thiết kế giải pháp bảo mật trong một thực thể cụ thể cũng như xác định nhu cầu của người dùng.
- Kỹ thuật viên Bảo mật. Đây thường là vị trí cấp nhập môn cho một người có kỹ năng kỹ thuật cần thiết. Kỹ thuật viên cung cấp hỗ trợ kỹ thuật để cấu hình phần cứng bảo mật, triển khai phần mềm bảo mật, và chẩn đoán và xử lý sự cố.
Có một nhu cầu cấp thiết đối với những nhân sự bảo mật đủ trình độ này. Mặc dù thực tế là lực lượng lao động bảo mật thông tin toàn cầu đã đạt mức cao nhất mọi thời đại với 4,7 triệu chuyên gia và gần nửa triệu lao động mới được bổ sung mỗi năm, vẫn còn thiếu 3,4 triệu lao động trong lĩnh vực này trên toàn cầu. Riêng Hoa Kỳ có hơn 700.000 việc làm bảo mật chưa được lấp đầy.
Khi tuyển dụng nhân sự cho các vị trí bảo mật mạng, phần lớn các doanh nghiệp sử dụng chứng chỉ Security+ của Hiệp hội Công nghiệp Công nghệ Máy tính (CompTIA) để xác minh năng lực bảo mật. Trong số hàng trăm chứng chỉ bảo mật hiện có, Security+ là một trong những chứng chỉ bảo mật được công nhận rộng rãi nhất. Vì được quốc tế công nhận là xác nhận mức độ kỹ năng và kiến thức bảo mật cơ bản, chứng chỉ Security+ đã trở thành tiêu chuẩn bảo mật cho các chuyên gia bảo mật IT ngày nay.
Giá trị của chứng chỉ bảo mật đối với một chuyên gia IT là rất đáng kể. Cùng với kinh nghiệm làm việc, lĩnh vực làm việc và vị trí địa lý, việc sở hữu chứng chỉ bảo mật được coi là một trong những yếu tố chính để được hưởng mức lương cao hơn. Và hơn 60% nhân viên công nghệ thông tin tiếp tục tìm kiếm các chứng chỉ bảo mật bổ sung để phát triển kỹ năng và cập nhật xu hướng bảo mật.
Chứng chỉ CompTIA Security+ là một chứng chỉ trung lập về nhà cung cấp, yêu cầu vượt qua kỳ thi chứng nhận hiện tại SY0-701. Một thí sinh thành công có kiến thức và kỹ năng cần thiết để xác định các cuộc tấn công, mối đe dọa và lỗ hổng; thiết kế kiến trúc bảo mật mạnh mẽ; triển khai các biện pháp kiểm soát bảo mật; hiểu biết về hoạt động bảo mật và phản ứng sự cố; và nắm vững các yêu cầu về quản trị, rủi ro và tuân thủ.
Chứng chỉ CompTIA Security+ đáp ứng tiêu chuẩn ISO 17024 và được Bộ Quốc phòng Hoa Kỳ (DoD) phê duyệt để đáp ứng nhiều cấp độ của chỉ thị DoD 8140/8570.01-M. Chỉ thị này phác thảo các chứng chỉ bảo mật mạng nào được phê duyệt để xác nhận kỹ năng cho một số vai trò công việc nhất định.
Module này giới thiệu các nền tảng của bảo mật thông tin hình thành cơ sở của chứng chỉ Security+. Nó bắt đầu bằng cách định nghĩa bảo mật thông tin và xem xét các kẻ tấn công cùng động cơ của họ. Module cũng điều tra cách các cuộc tấn công xảy ra và tác động của những cuộc tấn công đó. Nó kết thúc bằng cách xem xét các tài nguyên khác nhau của bảo mật thông tin.
Bước đầu tiên trong việc nghiên cứu bảo mật thông tin là định nghĩa chính xác nó là gì. Điều này liên quan đến việc hiểu về bảo mật và biết các nguyên tắc cơ bản của nó. Nó cũng bao gồm việc so sánh bảo mật thông tin với bảo mật mạng.
Hiểu Biết Về Bảo Mật
Từ “bảo mật” bắt nguồn từ tiếng Latinh, nghĩa là “không lo lắng.” Đôi khi bảo mật được định nghĩa là “trạng thái không có nguy hiểm,” đó là mục tiêu của bảo mật. Nó cũng được định nghĩa là “các biện pháp được thực hiện để đảm bảo an toàn,” đó là quá trình của bảo mật. Vì bảo mật hoàn toàn không bao giờ có thể đạt được đầy đủ, trọng tâm của bảo mật thường tập trung vào quá trình hơn là mục tiêu. Theo hướng này, bảo mật có thể được định nghĩa là “các bước cần thiết để bảo vệ khỏi nguy hại.”
Điều quan trọng là phải hiểu mối quan hệ giữa bảo mật và sự tiện lợi. Mối quan hệ giữa hai yếu tố này không phải là tỷ lệ thuận (khi bảo mật tăng, sự tiện lợi tăng), mà ngược lại, nó hoàn toàn ngược lại, được gọi là tỷ lệ nghịch (khi bảo mật tăng, sự tiện lợi giảm). Như minh họa trong Hình 1-1, tỷ lệ nghịch có nghĩa là khi bảo mật tăng (từ thấp đến cao trên trục ngang x), sự tiện lợi giảm (từ cao xuống thấp trên trục dọc y).
Ngoài ra, khi sự tiện lợi tăng, bảo mật thường giảm.
Hãy xem xét một người dùng thay đổi cài đặt thời gian chờ màn hình trên iPhone của họ từ Không bao giờ thành 30 giây để giảm nguy cơ kẻ trộm lấy cắp và sử dụng điện thoại của họ. Mặc dù bảo mật tăng, sự tiện lợi giảm vì giờ đây họ phải đăng nhập lại sau 30 giây không hoạt động. Do đó, càng làm cho thứ gì đó an toàn hơn, nó có thể càng ít tiện lợi hơn khi sử dụng. Bảo mật thường được mô tả là hy sinh sự tiện lợi để đảm bảo an toàn.
Nguyên Tắc của Bảo Mật
Có một số nguyên tắc cơ bản của bảo mật. Chúng bao gồm các khái niệm bảo mật và các biện pháp kiểm soát bảo mật.
Khái Niệm Bảo Mật
Có hai khái niệm bảo mật cơ bản. Đó là bảo mật, toàn vẹn và khả dụng cùng với xác thực, ủy quyền và kế toán.
Bảo Mật, Toàn Vẹn và Khả Dụng (CIA)
Ngày nay, bảo mật thường tập trung vào việc bảo vệ thông tin có giá trị đối với con người và doanh nghiệp. Ba biện pháp bảo vệ cơ bản phải được áp dụng cho thông tin: bảo mật, toàn vẹn và khả dụng (CIA). Chúng có thể được định nghĩa như sau:
- Bảo mật. Điều quan trọng là chỉ những cá nhân được phê duyệt mới có thể truy cập thông tin nhạy cảm. Ví dụ, số thẻ tín dụng được sử dụng để mua hàng trực tuyến phải được giữ an toàn và không được tiết lộ cho các bên khác. Bảo mật đảm bảo rằng chỉ các bên được ủy quyền mới có thể xem thông tin. Việc cung cấp bảo mật có thể bao gồm nhiều công cụ bảo mật khác nhau, từ phần mềm mã hóa số thẻ tín dụng được lưu trữ trên máy chủ web đến khóa cửa để ngăn truy cập vào các máy chủ đó.
- Toàn vẹn. Toàn vẹn đảm bảo rằng thông tin là chính xác và không có người trái phép hoặc phần mềm độc hại nào thay đổi dữ liệu. Trong ví dụ về mua sắm trực tuyến, một kẻ tấn công có thể thay đổi số tiền mua từ 10.000 đô la thành 1 đô la sẽ vi phạm tính toàn vẹn của thông tin.
- Khả dụng. Thông tin có giá trị nếu các bên được ủy quyền, được đảm bảo về tính toàn vẹn của nó, có thể truy cập thông tin. Khả dụng đảm bảo rằng dữ liệu chỉ có thể truy cập được bởi những người dùng được ủy quyền và không dành cho những người không được phê duyệt. Trong ví dụ này, tổng số mặt hàng được đặt hàng từ một lần mua sắm trực tuyến phải có sẵn cho một nhân viên trong kho để các mặt hàng đúng có thể được gửi đến khách hàng nhưng không được cung cấp cho đối thủ cạnh tranh.
Xác Thực, Ủy Quyền và Kế Toán (AAA)
Nguyên tắc bảo mật cơ bản thứ hai, xác thực, ủy quyền và kế toán (AAA; đôi khi được gọi là “ba-A”), liên quan đến việc kiểm soát truy cập vào thông tin. Hãy xem xét tình huống này. Giả sử Gabe đang trông em gái mình, Mia, vào một buổi chiều. Trước khi rời khỏi nhà, mẹ của Gabe nói với cậu rằng một dịch vụ giao hàng sẽ đến để nhận một gói hàng, được đặt bên trong cửa trước. Chẳng bao lâu sau, có tiếng gõ cửa, và khi Gabe nhìn ra ngoài, cậu thấy người giao hàng đứng trên hiên nhà. Gabe yêu cầu họ xuất trình giấy tờ nhân viên, điều mà người giao hàng vui vẻ làm, và sau đó cậu mở cửa để cho họ vào—nhưng chỉ đến khu vực gần cửa trước để nhận gói hàng. Gabe sau đó ký vào thiết bị bảng của người giao hàng để có bản xác nhận rằng gói hàng đã được nhận.
Điều này minh họa việc kiểm soát truy cập vào thông tin. Người giao hàng đầu tiên xuất trình ID của họ cho Gabe xem xét. Một người dùng truy cập hệ thống máy tính cũng sẽ xuất trình thông tin định danh hoặc giấy tờ, chẳng hạn như tên người dùng, khi đăng nhập vào hệ thống. Định danh là quá trình nhận biết và phân biệt người dùng với bất kỳ người dùng nào khác.
Việc kiểm tra giấy tờ của người giao hàng để đảm bảo chúng là thật và không bị giả mạo là xác thực. Người dùng máy tính, tương tự, phải có giấy tờ của họ được xác thực để đảm bảo rằng họ là người mà họ tuyên bố. Điều này thường được thực hiện bằng cách nhập mật khẩu, quét vân tay hoặc loại giấy tờ được phê duyệt khác.
Ủy quyền, việc cấp phép để thực hiện một hành động, là bước tiếp theo. Gabe cho phép người giao hàng vào nhà vì giấy tờ của họ là xác thực. Tương tự, một khi người dùng đã xuất trình định danh và được xác thực, họ có thể đăng nhập vào hệ thống máy tính. Nhưng họ có thể làm gì sau khi đăng nhập? Gabe chỉ cho phép người giao hàng tiếp cận khu vực gần cửa trước để nhận gói hàng; cậu không cho phép họ lên tầng trên hoặc vào bếp. Tương tự, người dùng máy tính chỉ được cấp quyền truy cập vào các dịch vụ, thiết bị, ứng dụng và tệp cụ thể cần thiết để thực hiện nhiệm vụ công việc của họ...
Nhu cầu xác định và phòng thủ chống lại các cuộc tấn công mạng liên tục nhắm vào mọi doanh nghiệp lớn nhỏ đã tạo ra một lực lượng lao động thiết yếu, giờ đây là trung tâm của ngành công nghệ thông tin (IT). Được gọi là bảo mật thông tin, những chuyên gia này tập trung vào việc bảo vệ thông tin điện tử. Nhu cầu đối với các chuyên gia được chứng nhận trong lĩnh vực bảo mật thông tin chưa bao giờ cao hơn. Tuy nhiên, vẫn còn một khoảng cách lớn. Mặc dù lực lượng lao động bảo mật toàn cầu đã tăng lên 4,7 triệu người vào năm 2021, đạt mức cao nhất từ trước đến nay, vẫn còn cần hơn 3,4 triệu chuyên gia bảo mật, tăng hơn 26% so với năm trước.
Khi tuyển dụng cho các vị trí bảo mật mạng, phần lớn các doanh nghiệp sử dụng chứng chỉ Security+ của Hiệp hội Công nghiệp Công nghệ Máy tính (CompTIA) để xác minh năng lực bảo mật. Trong số hàng trăm chứng chỉ bảo mật hiện có, Security+ là một trong những chứng chỉ bảo mật được công nhận rộng rãi nhất. Vì được quốc tế công nhận là xác nhận mức độ kỹ năng và kiến thức bảo mật cơ bản, chứng chỉ Security+ đã trở thành nền tảng cho các chuyên gia bảo mật IT ngày nay. Giá trị cho một chuyên gia IT sở hữu chứng chỉ bảo mật CompTIA là rất đáng kể. Trung bình, một nhân viên có chứng chỉ CompTIA có mức lương cao hơn từ 5 đến 15% so với những người có trình độ tương tự nhưng không có chứng chỉ.
Chứng chỉ CompTIA Security+ là một chứng chỉ trung lập về nhà cung cấp, yêu cầu vượt qua kỳ thi chứng nhận hiện tại SY0-701. Một thí sinh thành công có kiến thức và kỹ năng cần thiết để xác định các cuộc tấn công, mối đe dọa và lỗ hổng; thiết kế kiến trúc bảo mật mạnh mẽ; triển khai các biện pháp kiểm soát bảo mật; hiểu biết về hoạt động bảo mật và phản ứng sự cố; và nắm vững các yêu cầu về quản trị, rủi ro và tuân thủ.
Chứng chỉ mang lại cho người xin việc nhiều hơn chỉ là lợi thế cạnh tranh so với những người không có chứng chỉ khi cạnh tranh cho cùng một vị trí IT. Một số cơ sở giáo dục đại học cấp tín chỉ đại học cho sinh viên vượt qua kỳ thi chứng nhận, giúp họ tiến xa hơn trong chương trình học. Đối với những người đã đi làm, việc đạt được chứng chỉ mới tăng hiệu quả công việc, mở ra cơ hội thăng tiến và đảm bảo công việc. Chứng chỉ cũng mang lại cho những người quan tâm đến sự nghiệp trong quân đội khả năng thăng tiến nhanh hơn lên các vị trí cao hơn.
Phần 1: Nền Tảng Bảo Mật
XuHướngCyber
Một quan niệm phổ biến là những “hacker” thành công hiếm khi phải đối mặt với thời gian tù dài hoặc các hình phạt tài chính nếu bị bắt. Thay vào đó, họ được mời làm việc trong lĩnh vực bảo mật mạng với mức lương cao để bảo vệ chính những hệ thống mà họ từng xâm phạm. Tuy nhiên, quan niệm này là sai lầm. Khi ngày càng nhiều kẻ tấn công bị bắt và hoàn thành án tù, họ nhận thấy rất khó để tìm việc làm trong lĩnh vực bảo mật mạng hoặc các lĩnh vực công nghệ khác.
Những cá nhân bị kết án vì một số tội danh nhất định không phải lúc nào cũng có được những đặc quyền mà họ từng có trước khi bị bắt. Ở nhiều bang tại Mỹ, những người bị kết án trọng tội không được phép bỏ phiếu ngay lập tức trong các cuộc bầu cử. Hầu hết các bang có những hạn chế khác ảnh hưởng đến việc làm của mọi người sau khi họ được thả ra khỏi tù. Ví dụ, một cựu tù nhân trở thành nhà báo có thể cần thêm sự phê duyệt để đi cùng cảnh sát khi nghiên cứu một câu chuyện, hoặc họ có thể không đủ điều kiện để được kiểm tra nhanh như các nhà báo khác khi vào tòa án để đưa tin về một phiên tòa.
Tương tự, những kẻ tấn công mạng bị kết án ở Hoa Kỳ và nhiều nước châu Âu thường phải đối mặt với các hạn chế về việc sử dụng máy tính và truy cập internet sau khi mãn hạn tù. Mục đích được nêu của những hạn chế này là ngăn họ rơi vào tình huống có thể bị cám dỗ để tái phạm. Các hạn chế đối với những người bị kết án vì tội phạm mạng thường yêu cầu các thiết bị công nghệ và máy tính của họ phải được đăng ký với hệ thống tòa án, và họ bị cấm sử dụng bất kỳ ứng dụng web hoặc công nghệ nào có thể che giấu hành vi trực tuyến của họ, chẳng hạn như mạng riêng ảo (VPN). Những hạn chế này có thể kéo dài đến 10 năm sau khi họ được thả.
Nhiều cựu tội phạm mạng báo cáo rằng những hạn chế về sử dụng công nghệ này khiến họ gần như không thể tìm được bất kỳ công việc nào liên quan đến công nghệ ở bất kỳ cấp độ nào. Một kẻ tấn công đã bị bắt và kết án vì xâm nhập vào hệ thống của một công ty viễn thông và làm lộ dữ liệu cá nhân của 156.000 khách hàng, gây thiệt hại 48 triệu đô la cho công ty viễn thông. Kẻ tấn công này chỉ mới 18 tuổi khi phạm tội. Sau khi thụ án 2 năm trong tổng số 4 năm tù, anh ta phải đối mặt với 3 năm hạn chế, bao gồm yêu cầu đăng ký bất kỳ thiết bị công nghệ nào anh ta sử dụng và hạn chế truy cập vào các ứng dụng và dịch vụ trực tuyến. Cứ vài tháng, các nhà chức trách—mà không báo trước—thu giữ thiết bị của anh ta để kiểm tra và sao chép toàn bộ dữ liệu của anh ta. Một kẻ tấn công mạng khác bị kết án đã nộp đơn xin nhiều việc công nghệ sau khi ra tù, nhưng các hạn chế khiến anh ta không thể tìm được việc làm. Anh ta buộc phải làm việc trong ngành xây dựng và nhà hàng trong nhiều năm cho đến khi thời gian quản chế kết thúc.
Một bước phổ biến để gia nhập lực lượng lao động doanh nghiệp trong lĩnh vực bảo mật thông tin là kiếm chứng chỉ trong lĩnh vực này từ một tổ chức bảo mật uy tín. Tuy nhiên, đối với hầu hết những kẻ tấn công mạng bị kết án, con đường này cũng không khả thi. Nhiều chứng chỉ cấp cao yêu cầu ứng viên phải trải qua kiểm tra đạo đức và lý lịch trước khi được cấp chứng chỉ. Những chứng chỉ này thường có bộ quy tắc đạo đức yêu cầu ứng viên phải hành động “danh dự, trung thực, công bằng, có trách nhiệm và hợp pháp.” Như giám đốc điều hành của một tổ chức chứng nhận đã nói, “Rất khó có khả năng chúng tôi cho phép họ giữ chứng chỉ của chúng tôi vì điều đó liên quan chặt chẽ đến việc vi phạm các quy tắc đạo đức của chúng tôi.” Một cơ quan chứng nhận khác cho biết họ chỉ nhận được 10 đơn đăng ký trong thập kỷ qua từ những người có tiền án hoặc bị kết án tội phạm mạng.
Vì vậy, thay vì được thưởng hậu hĩnh cho những hành động khai thác của họ bằng một công việc lương cao trong lĩnh vực bảo mật mạng, thực tế lại hoàn toàn ngược lại: họ bị hạn chế nghiêm trọng khỏi bất kỳ công việc nào sử dụng công nghệ.
Bạn có nghe nói rằng một trong những trình quản lý mật khẩu trực tuyến hàng đầu báo cáo rằng kẻ tấn công đã đánh cắp bản sao lưu dữ liệu mật khẩu của khách hàng cũng như thông tin cá nhân (địa chỉ thanh toán, địa chỉ email, số điện thoại và địa chỉ IP), và điều này xảy ra sau khi công ty đã phủ nhận trong hơn bốn tháng rằng bất kỳ dữ liệu khách hàng nào bị đánh cắp không? Và rằng các nhà nghiên cứu chính phủ đã phát hiện ra rằng những kẻ tấn công nghi ngờ là người Nga đã lây nhiễm và ẩn nấp trong một mạng vệ tinh của Mỹ? Rằng một thỏa thuận dựa trên vụ vi phạm dữ liệu từ năm năm trước ảnh hưởng đến hàng trăm triệu công dân Mỹ—với một số bang báo cáo gần 60% dân số là nạn nhân—cuối cùng đã đạt được nhưng chỉ cung cấp dịch vụ giám sát tín dụng và khôi phục danh tính cho tất cả nạn nhân? Rằng một vụ vi phạm dữ liệu 427 gigabyte (GB) đã xảy ra trên phần mềm bên thứ ba được sử dụng bởi các nhà hàng và khách sạn trên toàn thế giới? Và rằng các công ty bảo mật thông tin đã sa thải hàng trăm nhân viên bảo mật trong vài tháng gần đây do nền kinh tế không chắc chắn?
Và tất cả những điều này xảy ra chỉ trong hơn một ngày?
Bạn có thể không nghe nói về bất kỳ sự cố nào trong số này. Trong quá khứ, chỉ một trong những sự kiện mạng này đã có thể trở thành tiêu đề đáng chú ý lan truyền ngay lập tức trên Internet, nhưng ngày nay chúng hầu như không gây được chút chú ý nào. Không phải vì chúng không quan trọng; đúng hơn, đó là vì các cuộc tấn công bảo mật mạng đã trở nên quá phổ biến đến mức chúng ta hầu như không còn để ý đến chúng nữa. Ồ, hôm nay lại có một vụ vi phạm dữ liệu nữa à? Vậy thì còn gì mới đâu?
Quy mô tuyệt đối của các cuộc tấn công đã đạt đến mức khổng lồ. Viện AV-TEST nhận được hơn 450.000 trường hợp chương trình độc hại mới (malware) và ứng dụng không mong muốn (PUA) mỗi ngày. Tổng số lượng mã độc đã tăng từ 182 triệu vào năm 2013 lên hơn 1,34 tỷ hiện nay. Tội phạm mạng được gọi là “sự chuyển giao lớn nhất của cải kinh tế trong lịch sử.” Ước tính rằng nó có thể đạt 10,5 nghìn tỷ đô la mỗi năm vào năm 2025. Và những con số đáng buồn cứ tiếp tục tăng lên.
Nhu cầu xác định và phòng thủ chống lại những cuộc tấn công liên tục này đã tạo ra một lĩnh vực giờ đây là trung tâm của ngành công nghệ thông tin (IT). Được gọi là bảo mật thông tin, lĩnh vực này liên quan đến việc bảo vệ bí mật của thông tin, đảm bảo rằng thông tin không bị thay đổi và có thể được truy cập một cách đáng tin cậy. Các yếu tố của bảo mật thông tin bao gồm giảm thiểu mối đe dọa và lỗ hổng, áp dụng kiến trúc bảo mật, và quản lý và giám sát các hoạt động bảo mật.
Lực lượng lao động quản lý bảo mật thông tin trong một doanh nghiệp thường được chia thành hai loại chính. Nhân sự quản lý bảo mật thông tin quản lý và điều hành các kế hoạch, chính sách và con người, trong khi nhân sự kỹ thuật bảo mật thông tin tập trung vào việc thiết kế, cấu hình, cài đặt và bảo trì thiết bị bảo mật kỹ thuật. Trong hai loại chính này có bốn loại vị trí bảo mật được công nhận phổ biến:
- Giám đốc An ninh Thông tin (CISO). Người này báo cáo trực tiếp cho CIO. (Các doanh nghiệp lớn có thể có nhiều lớp quản lý hơn giữa người này và CIO.) Người này chịu trách nhiệm đánh giá, quản lý và triển khai bảo mật.
- Quản lý Bảo mật. Quản lý bảo mật báo cáo cho CISO và giám sát các kỹ thuật viên, quản trị viên và nhân viên bảo mật. Thông thường, quản lý bảo mật làm việc với các nhiệm vụ được CISO xác định và giải quyết các vấn đề do kỹ thuật viên phát hiện. Vị trí này đòi hỏi sự hiểu biết về cấu hình và vận hành nhưng không nhất thiết phải thành thạo kỹ thuật.
- Quản trị viên Bảo mật. Quản trị viên bảo mật có cả kiến thức kỹ thuật và kỹ năng quản lý. Quản trị viên bảo mật quản lý hoạt động hàng ngày của công nghệ bảo mật và có thể phân tích và thiết kế giải pháp bảo mật trong một thực thể cụ thể cũng như xác định nhu cầu của người dùng.
- Kỹ thuật viên Bảo mật. Đây thường là vị trí cấp nhập môn cho một người có kỹ năng kỹ thuật cần thiết. Kỹ thuật viên cung cấp hỗ trợ kỹ thuật để cấu hình phần cứng bảo mật, triển khai phần mềm bảo mật, và chẩn đoán và xử lý sự cố.
Có một nhu cầu cấp thiết đối với những nhân sự bảo mật đủ trình độ này. Mặc dù thực tế là lực lượng lao động bảo mật thông tin toàn cầu đã đạt mức cao nhất mọi thời đại với 4,7 triệu chuyên gia và gần nửa triệu lao động mới được bổ sung mỗi năm, vẫn còn thiếu 3,4 triệu lao động trong lĩnh vực này trên toàn cầu. Riêng Hoa Kỳ có hơn 700.000 việc làm bảo mật chưa được lấp đầy.
Khi tuyển dụng nhân sự cho các vị trí bảo mật mạng, phần lớn các doanh nghiệp sử dụng chứng chỉ Security+ của Hiệp hội Công nghiệp Công nghệ Máy tính (CompTIA) để xác minh năng lực bảo mật. Trong số hàng trăm chứng chỉ bảo mật hiện có, Security+ là một trong những chứng chỉ bảo mật được công nhận rộng rãi nhất. Vì được quốc tế công nhận là xác nhận mức độ kỹ năng và kiến thức bảo mật cơ bản, chứng chỉ Security+ đã trở thành tiêu chuẩn bảo mật cho các chuyên gia bảo mật IT ngày nay.
Giá trị của chứng chỉ bảo mật đối với một chuyên gia IT là rất đáng kể. Cùng với kinh nghiệm làm việc, lĩnh vực làm việc và vị trí địa lý, việc sở hữu chứng chỉ bảo mật được coi là một trong những yếu tố chính để được hưởng mức lương cao hơn. Và hơn 60% nhân viên công nghệ thông tin tiếp tục tìm kiếm các chứng chỉ bảo mật bổ sung để phát triển kỹ năng và cập nhật xu hướng bảo mật.
Chứng chỉ CompTIA Security+ là một chứng chỉ trung lập về nhà cung cấp, yêu cầu vượt qua kỳ thi chứng nhận hiện tại SY0-701. Một thí sinh thành công có kiến thức và kỹ năng cần thiết để xác định các cuộc tấn công, mối đe dọa và lỗ hổng; thiết kế kiến trúc bảo mật mạnh mẽ; triển khai các biện pháp kiểm soát bảo mật; hiểu biết về hoạt động bảo mật và phản ứng sự cố; và nắm vững các yêu cầu về quản trị, rủi ro và tuân thủ.
Chứng chỉ CompTIA Security+ đáp ứng tiêu chuẩn ISO 17024 và được Bộ Quốc phòng Hoa Kỳ (DoD) phê duyệt để đáp ứng nhiều cấp độ của chỉ thị DoD 8140/8570.01-M. Chỉ thị này phác thảo các chứng chỉ bảo mật mạng nào được phê duyệt để xác nhận kỹ năng cho một số vai trò công việc nhất định.
Module này giới thiệu các nền tảng của bảo mật thông tin hình thành cơ sở của chứng chỉ Security+. Nó bắt đầu bằng cách định nghĩa bảo mật thông tin và xem xét các kẻ tấn công cùng động cơ của họ. Module cũng điều tra cách các cuộc tấn công xảy ra và tác động của những cuộc tấn công đó. Nó kết thúc bằng cách xem xét các tài nguyên khác nhau của bảo mật thông tin.
Bước đầu tiên trong việc nghiên cứu bảo mật thông tin là định nghĩa chính xác nó là gì. Điều này liên quan đến việc hiểu về bảo mật và biết các nguyên tắc cơ bản của nó. Nó cũng bao gồm việc so sánh bảo mật thông tin với bảo mật mạng.
Hiểu Biết Về Bảo Mật
Từ “bảo mật” bắt nguồn từ tiếng Latinh, nghĩa là “không lo lắng.” Đôi khi bảo mật được định nghĩa là “trạng thái không có nguy hiểm,” đó là mục tiêu của bảo mật. Nó cũng được định nghĩa là “các biện pháp được thực hiện để đảm bảo an toàn,” đó là quá trình của bảo mật. Vì bảo mật hoàn toàn không bao giờ có thể đạt được đầy đủ, trọng tâm của bảo mật thường tập trung vào quá trình hơn là mục tiêu. Theo hướng này, bảo mật có thể được định nghĩa là “các bước cần thiết để bảo vệ khỏi nguy hại.”
Điều quan trọng là phải hiểu mối quan hệ giữa bảo mật và sự tiện lợi. Mối quan hệ giữa hai yếu tố này không phải là tỷ lệ thuận (khi bảo mật tăng, sự tiện lợi tăng), mà ngược lại, nó hoàn toàn ngược lại, được gọi là tỷ lệ nghịch (khi bảo mật tăng, sự tiện lợi giảm). Như minh họa trong Hình 1-1, tỷ lệ nghịch có nghĩa là khi bảo mật tăng (từ thấp đến cao trên trục ngang x), sự tiện lợi giảm (từ cao xuống thấp trên trục dọc y).
Ngoài ra, khi sự tiện lợi tăng, bảo mật thường giảm.
Hãy xem xét một người dùng thay đổi cài đặt thời gian chờ màn hình trên iPhone của họ từ Không bao giờ thành 30 giây để giảm nguy cơ kẻ trộm lấy cắp và sử dụng điện thoại của họ. Mặc dù bảo mật tăng, sự tiện lợi giảm vì giờ đây họ phải đăng nhập lại sau 30 giây không hoạt động. Do đó, càng làm cho thứ gì đó an toàn hơn, nó có thể càng ít tiện lợi hơn khi sử dụng. Bảo mật thường được mô tả là hy sinh sự tiện lợi để đảm bảo an toàn.
Nguyên Tắc của Bảo Mật
Có một số nguyên tắc cơ bản của bảo mật. Chúng bao gồm các khái niệm bảo mật và các biện pháp kiểm soát bảo mật.
Khái Niệm Bảo Mật
Có hai khái niệm bảo mật cơ bản. Đó là bảo mật, toàn vẹn và khả dụng cùng với xác thực, ủy quyền và kế toán.
Bảo Mật, Toàn Vẹn và Khả Dụng (CIA)
Ngày nay, bảo mật thường tập trung vào việc bảo vệ thông tin có giá trị đối với con người và doanh nghiệp. Ba biện pháp bảo vệ cơ bản phải được áp dụng cho thông tin: bảo mật, toàn vẹn và khả dụng (CIA). Chúng có thể được định nghĩa như sau:
- Bảo mật. Điều quan trọng là chỉ những cá nhân được phê duyệt mới có thể truy cập thông tin nhạy cảm. Ví dụ, số thẻ tín dụng được sử dụng để mua hàng trực tuyến phải được giữ an toàn và không được tiết lộ cho các bên khác. Bảo mật đảm bảo rằng chỉ các bên được ủy quyền mới có thể xem thông tin. Việc cung cấp bảo mật có thể bao gồm nhiều công cụ bảo mật khác nhau, từ phần mềm mã hóa số thẻ tín dụng được lưu trữ trên máy chủ web đến khóa cửa để ngăn truy cập vào các máy chủ đó.
- Toàn vẹn. Toàn vẹn đảm bảo rằng thông tin là chính xác và không có người trái phép hoặc phần mềm độc hại nào thay đổi dữ liệu. Trong ví dụ về mua sắm trực tuyến, một kẻ tấn công có thể thay đổi số tiền mua từ 10.000 đô la thành 1 đô la sẽ vi phạm tính toàn vẹn của thông tin.
- Khả dụng. Thông tin có giá trị nếu các bên được ủy quyền, được đảm bảo về tính toàn vẹn của nó, có thể truy cập thông tin. Khả dụng đảm bảo rằng dữ liệu chỉ có thể truy cập được bởi những người dùng được ủy quyền và không dành cho những người không được phê duyệt. Trong ví dụ này, tổng số mặt hàng được đặt hàng từ một lần mua sắm trực tuyến phải có sẵn cho một nhân viên trong kho để các mặt hàng đúng có thể được gửi đến khách hàng nhưng không được cung cấp cho đối thủ cạnh tranh.
Xác Thực, Ủy Quyền và Kế Toán (AAA)
Nguyên tắc bảo mật cơ bản thứ hai, xác thực, ủy quyền và kế toán (AAA; đôi khi được gọi là “ba-A”), liên quan đến việc kiểm soát truy cập vào thông tin. Hãy xem xét tình huống này. Giả sử Gabe đang trông em gái mình, Mia, vào một buổi chiều. Trước khi rời khỏi nhà, mẹ của Gabe nói với cậu rằng một dịch vụ giao hàng sẽ đến để nhận một gói hàng, được đặt bên trong cửa trước. Chẳng bao lâu sau, có tiếng gõ cửa, và khi Gabe nhìn ra ngoài, cậu thấy người giao hàng đứng trên hiên nhà. Gabe yêu cầu họ xuất trình giấy tờ nhân viên, điều mà người giao hàng vui vẻ làm, và sau đó cậu mở cửa để cho họ vào—nhưng chỉ đến khu vực gần cửa trước để nhận gói hàng. Gabe sau đó ký vào thiết bị bảng của người giao hàng để có bản xác nhận rằng gói hàng đã được nhận.
Điều này minh họa việc kiểm soát truy cập vào thông tin. Người giao hàng đầu tiên xuất trình ID của họ cho Gabe xem xét. Một người dùng truy cập hệ thống máy tính cũng sẽ xuất trình thông tin định danh hoặc giấy tờ, chẳng hạn như tên người dùng, khi đăng nhập vào hệ thống. Định danh là quá trình nhận biết và phân biệt người dùng với bất kỳ người dùng nào khác.
Việc kiểm tra giấy tờ của người giao hàng để đảm bảo chúng là thật và không bị giả mạo là xác thực. Người dùng máy tính, tương tự, phải có giấy tờ của họ được xác thực để đảm bảo rằng họ là người mà họ tuyên bố. Điều này thường được thực hiện bằng cách nhập mật khẩu, quét vân tay hoặc loại giấy tờ được phê duyệt khác.
Ủy quyền, việc cấp phép để thực hiện một hành động, là bước tiếp theo. Gabe cho phép người giao hàng vào nhà vì giấy tờ của họ là xác thực. Tương tự, một khi người dùng đã xuất trình định danh và được xác thực, họ có thể đăng nhập vào hệ thống máy tính. Nhưng họ có thể làm gì sau khi đăng nhập? Gabe chỉ cho phép người giao hàng tiếp cận khu vực gần cửa trước để nhận gói hàng; cậu không cho phép họ lên tầng trên hoặc vào bếp. Tương tự, người dùng máy tính chỉ được cấp quyền truy cập vào các dịch vụ, thiết bị, ứng dụng và tệp cụ thể cần thiết để thực hiện nhiệm vụ công việc của họ...