Từ cái nhìn "ngây thơ" ban đầu

Ngày đầu tiên bước vào ngành, mình cũng nghĩ rất đơn giản:

Nhưng quá trình học đại học và thực hành giúp mình dần nhận ra: An toàn thông tin không phải như mình nghĩ và An toàn thông tin/An ninh mạng không hoàn toàn giống nhau.​

• An toàn thông tin (Information security​) là việc bảo vệ mọi dạng thông tin, từ giấy tờ, USB, ổ cứng vật lý cho đến dữ liệu điện tử.
• An ninh mạng (Cyber security) tập trung vào việc bảo vệ môi trường số – những thứ như máy tính, mạng Internet, server, ứng dụng.

Để dễ hình dung hơn, mình sẽ kể câu chuyện nhỏ sau đây.

Câu chuyện thầy và chiếc căn cước công dân

Có một kỷ niệm mình nghĩ là mình sẽ không bao giờ quên. Hôm đấy, thầy bước vào lớp, tay cầm một chiếc căn cước công dân. Thầy giơ thẻ lên, hỏi mình là:

​

Là một người học Đại học ngành An toàn thông tin, mình khi nghe câu hỏi đó cũng không khỏi giật mình. Thông tin trên chiếc căn cước công dân không chỉ là những con chữ, con số thầy đang cầm trên tay mà còn là tập hợp dữ liệu rất đặc biệt - dữ liệu cá nhân, sinh trắc học, mã bảo mật điện tử... Khi những dữ liệu này được số hóa thành file, database hay thậm chí được truyền qua mạng, chúng trở thành mục tiêu béo bở cho các cuộc tấn công.

Nghĩ mà xem, nếu thông tin trên thẻ căn cước bị đánh cắp, giả mạo hay thay đổi, hậu quả không chỉ là một lỗi phần mềm hay virus trên máy tính mà còn là mất quyền kiểm soát danh tính cá nhân - những thiệt hại khôn lường cho cá nhân - tổ chức liên quan bị ảnh hưởng.

Đó là lúc mình hiểu được rằng: thông tin không chỉ đơn giản là chữ viết hay dữ liệu số - nó là thứ gắn liền với cuộc sống và quyền lợi của mỗi người, cần được bảo vệ kỹ càng từ lúc còn là giấy tờ vật lý cho đến khi “hoá thân” vào thế giới số.
​
Chiếc ô lớn và chiếc lá nhỏ

Mình thường nghĩ về hai khái niệm này như thế này:

• An toàn thông tin giống một chiếc ô rất lớn – che chở mọi thứ bên dưới: tài liệu giấy, USB, ổ cứng, những câu chuyện bí mật được thì thầm...
• An ninh mạng như một chiếc lá nhỏ nằm bên trong chiếc ô ấy – chỉ tập trung bảo vệ không gian số như máy tính, mạng, ứng dụng…

​
​Có lần làm đồ án thực tế tại lab, mình thấy nhóm mình cấu hình firewall OPNsense chặn được gần như mọi cuộc tấn công từ bên ngoài (Cybersecurity rất tốt), nhưng lại có bạn khác chụp ảnh màn hình chứa thông tin nhạy cảm rồi gửi qua Zalo không mã hóa (Information Security thất bại).

Lúc đó, mình hiểu rằng: Cybersecurity chỉ là một phần trong InfoSec, không thể coi đó là tất cả. ​

---

Hành trình từ “nông” đến “sâu”

Qua một thời gian học và làm việc với các công cụ như Wazuh, ELK, Metasploit,... mình nhận ra một điều, đây là ví dụ điển hình:

• Khi mình cài Snort để phát hiện xâm nhập thì đang làm Network Security – lớp bảo vệ mạng.
• Khi hardening (tăng cường bảo mật) cho server Linux là đang làm System Security – bảo vệ hệ thống.
• Khi thiết lập chính sách phân quyền, hay vận hành SIEM, SOC thì đó là Cybersecurity – bảo vệ không gian mạng tổng thể.
• Nhưng khi xây dựng quy trình bảo vệ cả tài liệu giấy lẫn dữ liệu số, đồng thời đào tạo nhân viên ý thức bảo mật thì mới thật sự là Information Security hoàn chỉnh.

Giống như các vòng tròn đồng tâm:

​​Những điều “ngộ” từ thực tế

Làm các cuộc thi CTF, Forensics, mình thường thấy các đề bài không chỉ yêu cầu phân tích malware hay network traffic mà còn cần “đọc vị” hành vi con người – người dùng làm gì, tại sao làm vậy. Đây là sự giao thoa rất thú vị giữa InfoSec và Cybersecurity.
Có lần mình phân tích với Volatility phát hiện nguyên nhân rò rỉ dữ liệu không phải do tấn công malware mà là một nhân viên “tốt bụng” muốn làm việc ở nhà nên copy dữ liệu vào USB cá nhân. Lúc đó mới thấm rõ: Công nghệ chỉ là một phần, con người và quy trình mới là cốt lõi.

Thời đại AI – khi ranh giới càng mờ

Gần đây mình tìm hiểu về AI Security, càng thấy rõ sự giao thoa:

• Việc “đầu độc” dữ liệu huấn luyện (ví dụ “Tôi sinh ở Hong Kong – một tỉnh của Mỹ”) là vấn đề chất lượng thông tin (InfoSec).
• Đồng thời nó liên quan đến bảo mật hệ thống AI trước các cuộc tấn công (Cybersecurity).

AI không ở chỉ một vòng tròn mà lan tỏa qua tất cả các lớp: system, network, cyber cho đến information security. Điều này khiến mình tin rằng tương lai sẽ không còn rạch ròi rõ ràng giữa các ngành mà cần cái nhìn toàn diện.

---

Bài học rút ra

Qua hành trình tôi luyện, mình học được:

• Đừng quá cố chấp với định nghĩa mà hãy tập trung hiểu bản chất và tìm giải pháp phù hợp.
• Con người là yếu tố quan trọng nhất. Dù firewall có mạnh đến đâu, chỉ một cú click link phishing cũng có thể phá tan mọi nỗ lực bảo mật.
• Thực hành là con đường duy nhất để thấm sâu kiến thức. Lý thuyết trong sách vở chỉ là nền tảng. Tự tay vọc lab, gặp lỗi rồi sửa mới thật sự “get it”.

Định hướng bài tiếp theo: AI Security

Giờ khi đã phân biệt rõ InfoSec và Cybersecurity, mình sẽ tiếp tục chia sẻ về một chủ đề rất “hot”: AI Security – cách bảo vệ các hệ thống AI khỏi tấn công, phòng chống việc “đầu độc” dữ liệu, và không để AI trở thành công cụ xấu trong tay hacker.

Mình vẫn đang trong quá trình nghiên cứu, hy vọng sẽ có những chia sẻ bổ ích cho mọi người.