Thủ khoa An toàn Thông tin KMA theo đuổi nghề 'săn' lỗ hổng bảo mật
Thủ khoa KMA theo đuổi nghề săn lỗ hổng bảo mật

Thủ khoa An toàn Thông tin KMA theo đuổi nghề 'săn' lỗ hổng bảo mật

Vào cuối tháng 1 năm 2026, Nghiêm Trung Hậu, 23 tuổi, đã tốt nghiệp hệ kỹ sư ngành An toàn thông tin tại Học viện Kỹ thuật Mật mã (KMA) với điểm trung bình ấn tượng 3.77/4. Anh trở thành thủ khoa đầu ra của học viện, một thành tích khiến bản thân khá bất ngờ vì không đặt nặng mục tiêu dẫn đầu hay có kế hoạch quá chi tiết từ trước.

"Mình chỉ cố gắng giữ nhịp học ổn định qua từng học kỳ", Hậu chia sẻ, nhấn mạnh rằng sự kiên trì và ổn định mới là chìa khóa cho thành công của mình.

Hành trình từ định hướng mơ hồ đến đam mê cụ thể

Xuất thân là cựu học sinh trường THPT Lê Lợi tại Hà Nội, ban đầu Hậu dự định theo học ngành Công nghệ thông tin vì nghĩ rằng nó phù hợp với nam giới, mà không có định hướng cụ thể nào. Quyết định chuyển sang ngành An toàn thông tin đến một cách tình cờ, khi anh được một đàn anh khóa trước tư vấn và giới thiệu.

Banner rộng Pickt — ứng dụng danh sách mua sắm cộng tác cho Telegram

Khi bắt đầu vào chuyên ngành, Hậu mới nhận ra lĩnh vực này vô cùng phức tạp. Sinh viên không chỉ học cách xây dựng hệ thống bảo vệ mà còn phải tiếp cận vấn đề từ hai phía: vừa thiết kế, vừa tìm kiếm điểm yếu để khai thác. Áp lực tăng dần khi các môn học đều gắn liền với thực hành và dự án nhóm, đặc biệt là những môn khó như Khai thác lỗ hổng phần mềm và Kiểm thử hệ thống, với kiến thức rộng và trừu tượng.

Để vượt qua thách thức, nam sinh chủ động hỏi bạn bè ở những phần chưa nắm vững, làm lại các ví dụ và bài tập mà thầy cô giao. Thay vì học từng môn riêng lẻ, khoảng 2-3 tuần trước mỗi kỳ thi, Hậu duy trì thói quen tổng ôn để hệ thống hóa toàn bộ nội dung, giúp củng cố kiến thức một cách vững chắc.

Chuyên sâu vào bảo mật website và rèn luyện qua thực tế

An toàn thông tin là một ngành học rộng, bao gồm nhiều mảng như khai thác lỗ hổng website, lỗ hổng ứng dụng, điều tra số, và dịch lược. Hậu quyết định tập trung vào mảng bảo mật website, vì đây là hướng dễ tiếp cận cho người mới và có nhiều tài liệu hỗ trợ. Tuy nhiên, anh nhận ra rằng chỉ học kỹ thuật để xây dựng và khai thác web là chưa đủ.

Theo Hậu, các lỗ hổng bảo mật thường sinh ra từ mã nguồn sai hoặc thiếu an toàn. Do đó, để hiểu rõ lỗ hổng, cần phải hiểu mã nguồn tạo ra nó, tức là phải nắm vững lập trình (code). Nam sinh đã tự học lập trình web, xem đây là nền tảng quan trọng để hình thành tư duy phân tích điểm yếu hệ thống từ gốc rễ.

Phần lớn các dự án mà Hậu tham gia đều liên quan đến lỗ hổng web, từ việc tìm lỗi, truy vết nguyên nhân đến đề xuất hướng khắc phục. Anh thường đảm nhận vai trò "tấn công" trong các tình huống này. Hậu giải thích rằng, trong an toàn thông tin, tấn công hay phòng thủ đều là những cách để đánh giá mức độ an toàn của hệ thống. Cuộc "đối đầu" giữa các kỹ sư ở hai nhóm nhằm xây dựng những kịch bản có thể xảy ra khi hacker xâm nhập, từ đó đề ra phương án nâng cấp hệ thống hiệu quả hơn.

Rèn luyện qua CTF và trải nghiệm thực tế tại VNPT

Để rèn luyện kỹ năng tấn công, mỗi cuối tuần, Hậu tham gia vào các cuộc thi CTF (Capture the flag - Cướp cờ), một hình thức thi đấu an ninh mạng phổ biến, nơi người chơi khai thác các lỗ hổng bảo mật để tìm ra chuỗi ký tự ẩn gọi là "cờ". Anh xem đây là môi trường nhập vai lý tưởng, giúp rèn luyện khả năng khai thác và nhận biết lỗ hổng trong các tình huống thực tế.

Banner sau bài viết Pickt — ứng dụng danh sách mua sắm cộng tác với hình minh họa gia đình

Năm thứ ba, Hậu trúng tuyển thực tập tại VNPT, nơi anh chủ yếu hỗ trợ kiểm thử và làm quen với quy trình làm việc thực tế. Trải nghiệm này giúp anh hiểu rằng phải luôn cập nhật kiến thức vì công nghệ thay đổi rất nhanh chóng. "Việc thực tập sớm không chỉ giúp tích lũy kinh nghiệm thực tế, mà còn rèn tác phong làm việc, đặc biệt là kỷ luật thời gian", Hậu đúc rút từ kinh nghiệm của mình.

Vừa học vừa thực tập, không ít thời điểm nam sinh cảm thấy căng thẳng. Hậu phải đăng ký lớp học buổi tối và dành ban ngày cho công việc. Đến năm cuối, anh cân đối lại bằng cách thực tập vào buổi sáng và đi học vào buổi chiều, tạo ra sự cân bằng tốt hơn cho bản thân.

Mục tiêu dài hạn và lời khuyên cho thế hệ trẻ

Sau khi tốt nghiệp, tân thủ khoa vẫn duy trì công việc tại VNPT và dự định học lên thạc sĩ hoặc lấy các chứng chỉ quốc tế để nâng cao trình độ. Mục tiêu dài hạn của Hậu là trở thành chuyên gia nghiên cứu lỗ hổng bảo mật (vulnerability research).

Công việc này yêu cầu kỹ sư không chỉ "săn" lỗi mà còn phải chứng minh được khả năng khai thác, đánh giá mức độ ảnh hưởng và lập báo cáo kỹ thuật chi tiết. Nếu thành công, lỗ hổng có thể được cấp mã định danh CVE - hệ thống ghi nhận lỗ hổng bảo mật quy mô toàn cầu. "Đó là hướng đi khó, yêu cầu nền tảng rất sâu và phải học liên tục, nhưng mình thấy thú vị vì được tiếp cận vấn đề ở mức bản chất hơn", Hậu chia sẻ.

Nhìn lại chặng đường đã qua, Hậu nhận thấy kết quả học tập của mình không đến từ những thời điểm bứt phá, mà nhờ vào việc duy trì nhịp học ổn định và liên tục thực hành. Với các bạn trẻ muốn theo đuổi ngành an toàn thông tin, anh khuyên nên học lập trình (như C, C++ hoặc Python) càng sớm càng tốt.

"Không nhất thiết phải biết quá nhiều, nhưng phải hiểu thật chắc những thứ cơ bản để đi đường dài", Hậu nhìn nhận, nhấn mạnh tầm quan trọng của nền tảng vững chắc trong lĩnh vực đầy thách thức này.