“Rất vui!” – Đó là câu trả lời ngắn gọn của anh Nguyễn Tăng Hưng, Trưởng nhóm Bảo mật CNTT, Trung tâm An ninh mạng khi được hỏi về cảm xúc khi đạt danh hiệu TOP 100 FPT 2020. Đúng cái chất kiệm lời, hơi khô khan của mấy anh “dân Công nghệ”. Thế nhưng khi nói về những lỗi bảo mật hệ thống, anh như biến thành một con người khác, chia sẻ đầy hào hứng và say sưa.
Trong năm 2020, với vai trò là Trưởng nhóm Bảo mật Công nghệ Thông tin, anh Hưng và các đồng nghiệp đã đánh giá và kiểm thử bảo mật cho 343 ứng dụng và hệ thống, tăng hơn 100% so với năm 2019. Tổng số các lỗ hổng nhóm Bảo mật phát hiện được tăng gần gấp gần 3 lần so với năm 2019. Riêng cá nhân anh Hưng đã phát hiện 254 lỗi bảo mật trong đó có 103 lỗi từ mức cao trở lên, có khả năng bị khai thác sâu vào ứng dụng/hệ thống và gây ảnh hưởng nghiêm trọng.
Với khối lượng công việc khổng lồ và luôn cần xử lý gấp, anh Hưng cho rằng các nhân sự của nhóm Bảo mật không chỉ cần giỏi chuyên môn mà còn phải thật kỷ luật và sáng tạo. Kỷ luật để tuân thủ theo các checklist với rất nhiều các test case khác nhau đồng thời sáng tạo để tìm kiếm và xử lý các lỗi phi truyền thống, không có trong checklist.
Trong hàng nghìn lỗi bảo mật mà anh và nhóm Bảo mật phát hiện ra, anh Hưng không nhớ đã phải thức bao nhiêu đêm, làm việc xuyên bao nhiêu cuối tuần để đảm bảo hệ thống, ứng dụng vận hành ổn định. Có một lần có một ứng dụng sử dụng một dịch vụ broker – – làm kênh riêng trao đổi dữ liệu quan trọng. Tuy nhiên một loạt vấn đề phát sinh qua các vòng kiểm thử ở chức năng này như có vòng tài khoản lộ trong phần đăng nhập ứng dụng của Khách hàng, có vòng tài khoản được nhúng vào chính ứng dụng, developer tìm cách “ngụy trang” bằng một số thủ thuật. Ngoài ra còn nhiều vấn đề liên quan như cung cấp dịch vụ này khiến có khả năng bị tấn công từ chối dịch vụ, brute force tài khoản (brute force là kiểu tấn công dò tìm username và mật khẩu bằng cơ chế thử/sai liên tục). Anh Hưng phải qua khoảng tầm 4, 5 vòng kiểm tra thật kỹ lưỡng thì mới xử lý xong tất cả lỗi và đưa ứng dụng vận hành trơn tru.
Mặc dù xử lý thành công rất nhiều lỗi bảo mật và đạt nhiều thành tích cá nhân trong năm vừa qua nhưng đối với anh Hưng, thành tích đáng tự hào nhất là ở mảng phát triển nhân sự cho nhóm Bảo mật. Giai đoạn cuối năm 2019, nhóm của anh chỉ có 4 nhân sự trẻ nhưng chỉ một năm sau, đến cuối năm 2020, nhóm đã có 6 nhân sự chính thức, vững nghề, 2 nhân sự học việc. Các nhân sự trong nhóm đều đã tham gia vào nhiều dự án quan trọng của công ty. Có bạn đạt danh hiệu Foxers Siêu đẳng, có bạn đã đạt chứng chỉ OSCP (Offensive Security Certified Professional – một chứng chỉ khó trong mảng kiểm thử bảo mật). Bên cạnh thực hiện kiểm thử và đánh giá cho các ứng dụng, hệ thống trong FPT Telecom, nhóm của anh Hưng còn thực hiện đánh giá cho các Khách hàng bên ngoài như: ngân hàng TP Bank, công ty chứng khoán TPS, Kho bạc Nhà Nước,… và nhận được sự đánh giá cao từ đối tác. Với anh Hưng, truyền thụ, trao đổi kỹ năng và kinh nghiệm với các cộng sự là cách tốt nhất để phát triển bản thân và đưa cả nhóm cùng tiến bộ.
Vẫn giữ niềm đam mê với những lỗi bảo mật, anh Hưng vẫn ngày ngày miệt mãi với kiểm thử, tìm lỗi, xử lý. Công việc có vẻ khô khan nhưng lại đóng vai trò vô cùng quan trọng với hoạt động của công ty. Năm 2021, anh và nhóm Bảo mật sẽ tiếp tục giữ vững nhiệt huyết, góp phần vào một FPT Telecom vận hành ổn định và phát triển.
Nội dung bài viết được dẫn từ https://top100fpt.chungta.vn/
