Friday, December 25, 2015

Tại sao các công ty nên gửi người đến TetCon

Trong lần nói chuyện ở ngày hội an toàn thông tin ở VNISA, tôi có nói trái với hiểu biết thông thường của nhiều người hầu hết các thiết bị và giải pháp bảo mật có sẵn thường làm cho hệ thống của người mua kém an toàn hơn (xem tóm tắt báo cáo của tôi ở đây). Mấy tuần vừa rồi xảy ra một sự kiện chứng minh cho luận điểm này.

Nhóm Project Zero phát hiện ra một lỗi chạy lệnh từ xa trên các thiết bị của FireEye. Lỗi chạy lệnh từ xa là dạng lỗi nguy hiểm nhất vì chúng cho phép toàn quyền điều khiển mục tiêu có lỗi. Các thiết bị của FireEye thường được đặt ở những khu vực trọng yếu trong hệ thống, có thể thấy hết toàn bộ dữ liệu đi ra đi vào hệ thống, từ email, tài liệu, cho đến mật khẩu, v.v. Nói cách khác, các thiết bị này trở thành mục tiêu "béo bở" nhất. Vấn đề là chất lượng an ninh phần mềm của các thiết bị như vậy thường không được đảm bảo, bởi các công ty làm thiết bị an ninh, trớ trêu thay, lại thường không có đội làm an ninh phần mềm. Ngoài FireEye, Project Zero còn phát hiện được lỗi của hầu hết các phần mềm chống virut khác, cũng là một vấn đề mà tôi đã nêu lên ở hội nghị của VNISA.

Các công ty bán giải pháp có sẵn ở Việt Nam ắt hẳn không thích nghe tin này. Đó là lý do TetCon không được các công ty như vầy tài trợ, trong khi hội thảo của VNISA thì đầy ắp. Tôi chủ trương giữ TetCon độc lập, thuần túy chuyên môn, tuyệt đối không có các bài nói chuyện quảng cáo của nhà tài trợ như các hội thảo khác ở Việt Nam. Tôi đã nói đi nói lại nhiều lần, nhưng tôi chưa bao giờ thấy chán khi nói rằng cách tốt nhất để đảm bảo an toàn thông tin là phải có đội ngũ kỹ sư lành nghề. Muốn như vậy thì phải gửi kỹ sư đến các hội thảo, gửi họ đi học, phải tạo điều kiện cho họ được tiếp cận với giới chuyên gia và được cập nhật những nghiên cứu phát triển mới nhất trên thế giới.

Nói cách khác, phải mua vé và đến dự TetCon!

Nhưng đừng tự bỏ tiền túi ra (trừ khi bạn là chủ doanh nghiệp, làm tự do, hoặc chưa đi làm). Tôi thất vọng khi các lớp training của TetCon không có đủ người và có những người phải tự trả tiền túi, thay vì được công ty trả cho. Tôi chưa từng thấy ai tự trả tiền để đi Black Hat hay đi học các lớp training ở đó. Nếu bạn phải tự trả tiền để đi dự TetCon, có lẽ nên tính đến chuyện tìm công ty khác. $500 và 500.000 đồng là những con số quá nhỏ, nếu các công ty không sẵn lòng chi số tiền này để giúp kỹ sư của họ giỏi lên, tôi nghĩ chẳng đáng để làm việc cho họ.

Ở Google, nhóm của tôi mỗi năm mỗi người có một suất chính thức đi dự bất kỳ hội thảo nào, ở bất cứ nơi nào trên thế giới. Công ty sẽ trả toàn bộ chi phí. Thật sự chỉ cần có thời gian và có lý do, một năm có thể đi vài chuyến như vậy. Vừa rồi tôi đi Pháp để dự một hội thảo nhỏ về crypto, công ty trả hết chi phí khách sạn, di chuyển và ăn uống. Về đào tạo thì chủ trương của công ty đã có sẵn, ai cũng có thể lấy lớp học để nâng cao trình độ. Tôi mua sách crypto, sách toán và sách cho công việc chưa bao giờ phải tự trả tiền túi.

7 comments:

phongptn93 said...

Muốn lắm. với sinh viên muốn được tham dự các lớp training thì không biết sao. Nhất là đối với Sinh viên nghèo. Chỉ biết chờ.. Hy vọng sau các buổi training đó, sẽ có tài liệu public cho sinh viên nghiên cứu và tự học.

Thân

Unknown said...
This comment has been removed by the author.
Phuc V. Nguyen said...

E có suy nghĩ vậy là tốt. A ủng hộ ý kiến đó. Nhưng đây là ở VN. ATTT là khái niệm vừa mới chóm nở. Tư duy lãnh đạo để tiếp cận vấn đề này cần vài năm nữa hi vọng sẽ như các nước khác. Hiện giờ có cũng được hoặc ko có cũng chẳng sao. Đó là A nói trên quan điểm của anh với Thái nhé. Chúc E khỏe.

KHMTk29 said...

Có lẽ đây là một trong số ít hội thảo hoặc duy nhất tại Việt Nam mà không có quảng cáo. Nếu được thì trong tương lai mong muốn anh hoặc cộng sự của anh tổ chức hội thảo tetcon tại Đà Nẵng. Chúc anh và cộng sự có một hội thảo đông vui và ấm áp tại quê nhà năm nay.

Hiep Duong said...

Năm ngoái anh hỏi vé cho cty mà không ai trả lời hết Thái ơi.

Năm nay cũnh sẽ gửi người tới Tencon

HiMAC said...

Theo trí nhớ của em đã đọc bài báo của Tuổi Trẻ đâu đó năm 2005,2006 kể về một câu chuyện lãnh đạo thách thức hack vô hệ thống, đơn giản người lãnh đạo tự tin rằng sản phẩm vô đối số một hay nói cách khác nghe tự miệng của sale từ hãng. Sau đó anh lãnh đạo phải hối hận vì phát biểu như vậy. Hơn mười năm tư duy như vậy cũng còn rất nhiều vị trí chủ chốt họ tự đắt hệ thống được bảo mật an toàn cao , khi có dịp ngồi nói chuyện với một số anh em từ hãng họ tự hào sản phẩm mình vô đối.Thật sự không trách họ vì đơn giản đó là "nghề chém" của họ, sản phầm bán nhiều lợi nhuận mang về cao và ở mức độ người mua , người bán đều hài lòng về hoa hồng ăn trên sản phẩm. Đó bài toàn kinh doanh ở VN không thoát ra được, hay nét văn hóa riêng . :D . Đối với em mỗi sản phẩm đặt vào hệ thống đều mang một ẩn số Risk riêng gọi là a. A ở đây được kiểm chứng và bảo đảm bởi hãng , thương hiệu và độ uy tín. Nếu có trục trặt mức độ trách nhiệm ở người lãnh đạo sẽ nhẹ đi bớt nhưng đi theo đó là chi phí sẽ tăng cao. Nếu bài toán chi phí ko phải vấn đề và gánh nặng trách nhiệm nhẹ đi sao không chọn từ một hãng uy tín ? Dù sao em ủng hộ TetCon :v mặc dù đó sân chơi cho dân kỹ thuật và nói kỹ thuật không lệ thuộc vào nhà tài trợ. Rất tiếc chưa được đi lần nào :v.

bao toan Vu said...

Là một người có may mắn được tiếp xúc với khá nhều các lãnh đạo về CNTT của cả các đơn vị nhà nước cũng như tư nhân khi thực hiện đánh giá rủi ro và tư vấn rủi ro hoạt động CNTT - Mình viết không hề muốn thanh minh hay phản đối quan điểm phải đầu tư cho con người trong lĩnh vựa ATTT. Thế nhưng "Nhân sự CNTT cũng như ATTT ở Việt Nam vừa thiếu lại vừa yếu - Đây là quan điểm của đa phần các lãnh đạo" họ sẵn sàng chi tiền tạo điều kiện để nhân viên được nâng cao kiến thức về ATTT nhưng ngược lại lãnh đạo lại không thể đảm bảo khi đào tạo được nhân viên thành một chuyên gia sẽ làm việc và cống hiến xứng đáng với những gì họ đã bỏ ra. Ví dụ luôn như FPT- FIS họ có lẽ là đơn vị đầu tư đào tạo cho nhân viên với chính sách có lẽ tốt nhất hiện nay nhưng phần lớn trong số đó có rất ít khi thành chuyên gia còn làm việc tại đây.
Và mình cũng xin nhấn mạnh luôn là khi thực hiện đánh giá rủi ro hoạt động CNTT thì rủi ro về con người vẫn luôn là rủi ro lớn nhất của phần lớn các tổ chức ở Việt Nam đến giờ vẫn đang bó tay bó chân các lãnh đạo