Ngày 1/11, Thủ tướng Chính phủ Phạm Minh Chính gửi thư biểu dương các kỹ sư an ninh mạng của Viettel vì thành tích giành ngôi vô địch hai năm liên tiếp tại Pwn2Own, một trong những cuộc thi an ninh mạng lớn nhất và uy tín nhất thế giới.

“Thay mặt Chính phủ, tôi ghi nhận, biểu dương và đánh giá cao những nỗ lực, cố gắng, sự tiến bộ của đội ngũ kỹ sư, chuyên gia về an ninh mạng của Tập đoàn Viettel”, Thủ tướng viết trong thư.

“Việc giành ngôi vô địch lần này càng thể hiện rõ những tiến bộ vượt bậc về trình độ, kỹ thuật và chuyên môn sâu, kinh nghiệm thực tế phong phú của đội ngũ kỹ sư, chuyên gia Tập đoàn trong một lĩnh vực mới đầy khó khăn, thách thức và cũng là niềm vui, niềm tự hào chung của cộng đồng an ninh mạng nước nhà”.

Vào ngày 25/10, đội ngũ Viettel Cyber Security giành ngôi vô địch Pwn2Own 2024 diễn ra tại Ireland. Đây là sự kiện thường niên do Zero Day Initiative tổ chức, và năm nay sự kiện đạt quy mô tổng giải thưởng trên 1 triệu USD, lớn nhất từng có.

Viettel Cyber Security vô địch Pwn2Own 2024 sau khi khai thác thành công 9 lỗ hổng zero-day (lỗ hổng bảo mật chưa từng biết đến trước đây trên các phần mềm, thiết bị) trên các sản phẩm của HP, Canon, Synology, QNAP Systems, v.v… đạt tổng 33 điểm và phần thưởng hơn 200.000 USD.

Đây là năm thứ hai liên tiếp Viettel vô địch Pwn2Own, khai thác được nhiều lỗ hổng nhất và cách biệt lớn so với đội xếp thứ hai. Các lỗ hổng được VCS phát hiện cũng giúp các nhà sản xuất cải thiện tính bảo mật của thiết bị, tránh lọt lộ hình ảnh, dữ liệu của các cá nhân, doanh nghiệp sử dụng.

“Tôi mong muốn và tin tưởng rằng, cộng đồng an ninh mạng Việt Nam sẽ tiếp tục gặt hái được nhiều thành tựu quan trọng trong thời gian tới; đặc biệt, đội ngũ các chuyên gia, kỹ sư của Tập đoàn Viettel sẽ tiếp tục phát huy các kết quả đạt được, phát triển chuyên môn nghiệp vụ, làm chủ những công nghệ chiến lược, mới, hiện đại, chủ động tham gia bảo vệ các hệ thống thông tin quân sự, quốc phòng, các hệ thống thông tin quan trọng quốc gia”, theo thư của Thủ tướng Chính phủ.

Trong lĩnh vực bảo mật, sự kiện Pwn2Own được coi như một 'Giải Oscar' của ngành an ninh mạng toàn cầu, là nơi các chuyên gia bảo mật hàng đầu tụ họp tranh tài, bỏ túi hàng triệu USD tiền thưởng và góp phần định hình môi trường bảo mật CNTT nói chung. Pwn2Own là cuộc thi tấn công mạng uy tín và lớn nhất thế giới, được Zero Day Initiative - ZDI (chương trình quốc tế được thiết kế để khen thưởng các nhà nghiên cứu tìm ra lỗ hổng bảo mật) tổ chức thường niên từ năm 2007.

Khác với những cuộc thi bảo mật thông thường, Pwn2Own được thiết kế để khuyến khích việc phát hiện các lỗ hổng bảo mật tiềm ẩn trong các hệ thống phần mềm và phần cứng phổ biến.

Cuộc thi này không chỉ dừng lại ở việc tìm ra lỗ hổng mà còn thúc đẩy các chuyên gia bảo mật, hacker mũ trắng chia sẻ kiến thức, giúp các công ty khắc phục vấn đề và bảo vệ hàng triệu người dùng trước những cuộc tấn công nguy hiểm.

Quy tụ những “ngôi sao” bảo mật thế giới

Giống như Oscar là nơi vinh danh những cá nhân xuất sắc nhất trong ngành điện ảnh, Pwn2Own là cuộc thi quy tụ các chuyên gia bảo mật giỏi nhất từ khắp nơi trên thế giới; chẳng hạn, có thể kể đến những cái tên nổi tiếng trong giới hacker mũ trắng như Richard Zhu, Amat Cama, và Samuel Groß.

Không chỉ “đếm lỗi, lĩnh tiền”, mỗi cuộc thi Pwn2Own đều có giải thưởng “Master of Pwn” dành cho đội hoặc cá nhân có thành tích xuất sắc nhất.

Lên ngôi tại cuộc thi này, người chiến thắng có thể nhận đến hàng triệu USD tiền thưởng, khi mỗi lỗ hổng bảo mật được khai thác thành công có thể mang lại cho người tham gia từ 20.000 USD đến 200.000 USD hoặc hơn nữa.

Điều này biến Pwn2Own trở thành một trong những cuộc thi hack có giá trị giải thưởng lớn nhất thế giới.

Ngoài ra, Pwn2Own còn mang lại giá trị thực tiễn rất lớn cho các nhà nghiên cứu và cả các nhà sản xuất phần mềm. Khi một lỗ hổng được phát hiện, ZDI sẽ làm việc chặt chẽ với các công ty liên quan để phát hành bản vá trước khi thông tin lỗ hổng được công bố công khai.

Điều đó không chỉ giúp tăng cường bảo mật cho sản phẩm mà còn bảo vệ hàng triệu người dùng khỏi nguy cơ bị tấn công.

Một trong những ví dụ điển hình là lỗ hổng bảo mật nghiêm trọng được phát hiện trên trình duyệt Microsoft Edge vào năm 2017. Đội Fluoroacetate đã khai thác thành công lỗ hổng trong vòng chưa đầy một tiếng, buộc Microsoft phải nhanh chóng tung ra bản vá khẩn cấp để.

Sự kiện này không chỉ cho thấy tầm quan trọng của Pwn2Own trong việc bảo vệ an toàn cho người dùng, mà còn khẳng định giá trị của cuộc thi đối với ngành công nghiệp công nghệ.

Ngay trong năm đầu tiên tổ chức, một chuyên gia bảo mật đã tấn công thành công một chiếc MacBook Pro thông qua lỗ hổng bảo mật của trình duyệt Safari, đánh dấu sự khởi đầu của một truyền thống khiến những nhà phát triển phần cứng lẫn phần mềm công nghệ phải “toát mồ hôi” mỗi năm.

Hay như sự kiện Pwn2Own 2022 tổ chức tại Vancouver, các thí sinh đã khai thác thành công 16 lỗ hổng zero-day trong hàng loạt sản phẩm, gồm cả hệ điều hành Windows 11 và ứng dụng họp trực tuyến Team của Microsoft.

Năm 2019, đội nghiên cứu từ Team Fluoroacetate đã khai thác thành công lỗ hổng trên Tesla Model 3, giành phần thưởng 35.000 USD cùng hiện vật là chính mẫu xe họ hack thành công.

Việc khai thác thành công không chỉ làm dấy lên mối quan tâm về an toàn của các phương tiện tự lái mà còn buộc các nhà sản xuất phải ngay lập tức tìm cách vá lỗ hổng để tránh các cuộc tấn công trong tương lai. 

Một ví dụ điển hình khác là nền tảng Flash - một trong những công nghệ đa phương tiện nổi tiếng được sử dụng rộng rãi trên web. Flash từng là công cụ chính cho các trình duyệt hiển thị video, trò chơi và các nội dung tương tác.

Song, khi liên tục bị các hacker mũ trắng khai thác mỗi dịp Pwn2Own, nhà phát hành Adobe buộc phải “khai tử” Flash vào năm 2020 để nhường chỗ cho những tiêu chuẩn mới hơn, an toàn hơn.

Các thiết bị lưu trữ hình ảnh, dữ liệu nhạy cảm như điện thoại di động, camera an ninh không an toàn như nhiều người vẫn nghĩ, như đã được chứng minh qua 9 lỗ hổng zero-day mà Viettel Cyber Security (VCS) tìm ra tại Pwn2Own 2024. Và mục tiêu dài hạn của VCS là làm thế nào để những sản phẩm này an toàn hơn cho người dùng.

Pwn2Own là một trong những sự kiện lớn nhất và uy tín nhất trong ngành bảo mật, nơi các nhóm nghiên cứu chạy đua để tìm ra các lỗ hổng zero-day (lỗ hổng chưa từng được biết đến trước đấy) trên các thiết bị phổ biến như ô tô, điện thoại, camera, loa thông minh, máy chủ văn phòng…

Với mỗi lỗ hổng tìm được, các nhóm nhận được tiền thưởng 20.000 đến 50.000 USD và điểm “Master of Pwn” từ nhà tổ chức Zero Day Initiative (ZDI). Pwn2Own 2024 diễn ra cuối tháng 10 tại Ireland là sự kiện với số tiền thưởng kỷ lục, lần đầu tiên giải thưởng vượt mức 1 triệu USD kể từ khi giải bắt đầu được tổ chức vào năm 2007.

Trong đó Viettel Cyber Security mang về hơn 200.000 USD, phần thưởng lớn nhất nhờ phát hiện nhiều lỗ hổng nhất, và danh hiệu vô địch “Master of Pwn”. Nhưng người chiến thắng thực sự tại các sự kiện như Pwn2Own là người dùng, vì các thiết bị điện tử sẽ được bảo vệ, bảo mật dữ liệu tốt hơn sau khi các nhóm hacker chỉ ra lỗ hổng.

Những đối thủ lớn nhất thế giới

Pwn2Own là nơi họp mặt của những nhóm nghiên cứu bảo mật hàng đầu thế giới như Neodyme (Đức), DEVCORE (Đài Loan, Trung Quốc), Cluck (Mỹ) – là các nhóm nổi tiếng với việc tìm ra các lỗ hổng zero-day và đã từng vô địch nhiều cuộc thi bảo mật thế giới trong đó có Pwn2Own các năm trước.

“Tham gia trực tiếp tại Pwn2Own là cơ hội để đối đầu với những đối thủ danh tiếng, nhiều người có thể gọi là ‘idol’ trong ngành bảo mật với những lỗ hổng mà họ đã tìm ra trên các hệ thống quan trọng”, anh Ngô Anh Huy, trưởng đoàn của VCS tại Ireland, chia sẻ. Nhưng đây mới chỉ là một phần lý do khiến cho cuộc thi trở nên khó khăn.

Các thiết bị được đưa ra làm mục tiêu tại Pwn2Own đều thuộc về các hãng công nghệ lớn Samsung, HP, Canon, Synology, QNAP Systems… và được kinh doanh trên toàn thế giới.

“Với mỗi thiết bị, nhóm phải nghiên cứu để tìm ra lỗ hổng mà các nhóm khác ít có khả năng tìm ra nhất, và phải ‘canh’ xem lỗ đó liệu có bất chợt bị vá ngay trước ngày thi hay không để chuyển sang phương án thay thế”, anh Huy cho biết.

Khoảng cách địa lý và gián đoạn cung ứng thiết bị do bão Yagi cũng khiến cho VCS gặp bất lợi hơn so với các nhóm ở Mỹ và châu Âu. Phải đến thời điểm trước cuộc thi 2 tuần nhóm VCS mới sở hữu đầy đủ các thiết bị để tiến hành nghiên cứu (nhiều thiết bị yêu cầu tấn công trên các phiên bản bán ở nước ngoài do đó không thể mua phiên bản trong nước). Dù vậy, tất cả những điều này không ngăn cản việc các kỹ sư VCS đã tìm ra hàng loạt lỗ hổng “độc đáo” và nghiêm trọng.

Chiến tích “Master of Pwn”

Trong số 9 lỗ hổng zero-day mà VCS đã phát hiện, “đắt giá” nhất là lỗ hổng xuất hiện trên các thiết bị mạng và lưu trữ được nhiều doanh nghiệp sử dụng, có nguy cơ gây ảnh hưởng nghiêm trọng nếu bị kẻ xấu lợi dụng.

“Nhóm Viettel Cyber ​​​​Security kết hợp 4 bug [lỗi] trong bộ định tuyến và trong ổ cứng kết nối mạng để xâm nhập ổ cứng TrueNAS MiniX thông qua router QNAP QHora-322. Bằng cách tấn công SQL Injection [chèn mã độc tác động đến dữ liệu] và missing auth/exposed function [truy cập hệ thống dù chưa được cấp phép], Zero Day Initiative viết trên blog.

SQL (Structured Query Language, ngôn ngữ lập trình được sử dụng để quản lý và thao tác dữ liệu trong các hệ quản trị) injection là một kỹ thuật tấn công bảo mật, trong đó kẻ tấn công chèn mã SQL độc hại vào ứng dụng nhằm truy cập trái phép, thao túng hoặc phá hoại dữ liệu. Missing auth/exposed function là lỗi trong lập trình ứng dụng web và di động, xảy ra khi hệ thống không đủ các biện pháp bảo mật để ngăn kẻ tấn công truy cập vào các chức năng quan trọng hoặc dữ liệu nhạy cảm dù không được cấp quyền.

Kết hợp 2 cách tấn công, VCS khai thác thành công một hệ thống giả định trong doanh nghiệp, bao gồm ổ cứng kết nối mạng TrueNAS MiniX và bộ định tuyến QNAP QHora-322. QNAP, nhà sản xuất của QNAP QHora-322, là hãng thiết bị Đài Loan hoạt động toàn cầu và cung cấp thiết bị cho hàng chục nghìn doanh nghiệp. Tương tự với iXsystems (Mỹ), nhà sản xuất TrueNAS Mini X.

“Chúng tôi đánh giá đây là lỗ hổng khá nghiêm trọng. Một thiết bị kết nối mạng khá phổ biến tại các doanh nghiệp có thể trở thành cửa ngõ để hacker xâm nhập vào mạng nội bộ, kéo theo nhiều nguy cơ về mất an toàn hệ thống, lộ lọt dữ liệu”, Nguyễn Mạnh Dũng, thành viên trẻ tuổi nhất của nhóm VCS sinh năm 2003 và tham gia Pwn2Own lần đầu tiên, cũng là người trực tiếp nghiên cứu và khai thác các lỗ hổng, cho biết. “Nhóm khá tự hào với lỗ hổng này, vì bề mặt tấn công được sử dụng không cần nhiều điều kiện đặc biệt, dễ tấn công diện rộng và mức độ nghiêm trọng do đó cũng cao hơn”.

ZDI đánh giá đây là một lỗ hổng khó và nghiêm trọng. Lỗ hổng cụ thể đang trong thời hạn 30 ngày “niêm phong”, được chuyển đến các nhà sản xuất thiết bị để xây dựng bản vá, trước khi được công khai. Quy trình này tương tự với tất cả các lỗ hổng mà ZDI ghi nhận qua Pwn2Own.

“Những người dùng, doanh nghiệp trực tiếp sử dụng những thiết bị này và cũng là nạn nhân của các vụ tấn công có thể xảy ra. Mục đích cuối cùng của việc tìm ra lỗ hổng là để cho các hãng thấy họ cũng đang có những nguy cơ, gián tiếp cải thiện mức độ bảo mật, an toàn cho người dùng”, Mạnh Dũng nói.

Một lỗ hổng nghiêm trọng khác và khó khai thác khác mà nhóm phát hiện ra là lỗ hổng trong camera an ninh TC-500 của Synology, nhóm kỹ sư VCS cho biết. Thiết bị này được bán phổ biến trên các sàn thương mại điện tử ở nhiều nước trong đó có Việt Nam, khiến cho hacker có thể chiếm quyền hệ thống và lén theo dõi thông qua camera.

Hướng tới những chiến thắng lớn hơn

Toàn bộ các lỗ hổng zero-day đem về cho nhóm VCS chiến thắng chung cuộc tại Pwn2Own 2024 với 33 điểm, cách biệt lớn với đội đứng thứ hai đạt 17,25 điểm. Một năm trước, tại Pwn2Own 2023 diễn ra tại Vancouver, VCS cũng đạt kết quả tương tự khi chiến thắng với cách biệt điểm số gần gấp hai lần. Dù vậy, danh hiệu không phải mục đích của nhóm nghiên cứu.

“Những lỗ hổng VCS tìm ra sẽ đóng góp vào sự hoàn thiện hơn của các sản phẩm, thiết bị, giúp cho các thiết bị mới sẽ không chỉ cải tiến về mặt mặt tính năng, mà còn hoàn thiện về mặt bảo mật để người dùng có thể yên tâm rằng mọi hoạt động, dữ liệu của họ đang được xử lý một cách an toàn”, anh Nguyễn Xuân Hoàng, thành viên nhiều năm của nhóm VCS đã từng thi đấu trực tuyến giành ngôi vô địch 2023 và là người xây dựng kế hoạch tham gia thi đấu năm nay, cho biết.

“Chúng tôi nhìn nhận chiến thắng Pwn2Own không phải là đích đến, mà là một trong những kết quả của việc Viettel đầu tư cho một thế hệ trẻ có nền tảng và kỹ năng tốt, nhờ có điều kiện để nghiên cứu bảo mật. Có lẽ là không nhiều, hay có thể nói Viettel là công ty duy nhất ở Việt Nam đầu tư cho một nhóm toàn tâm toàn ý để nghiên cứu chuyên sâu”, anh Anh Huy chia sẻ.

“Một cách dễ hiểu, nghiên cứu bảo mật bắt đầu từ việc xác định và tìm hiểu về mục tiêu, sau đó tìm kiếm các lỗ hổng – đây cũng là phần mà nhóm đang làm để thi đấu P2O, và bước cuối cùng là tạo ra những sản phẩm dịch vụ từ lỗ hổng tìm được. Để tiếp tục phát triển, chúng tôi có dự định nghiên cứu sâu hơn ở bước thứ nhất và thứ ba, từ những việc như thiết bị được cấu thành như thế nào và những công nghệ mới nhất trong sản xuất thiết kế, đến việc đưa tri thức vào các sản phẩm, giải pháp bảo mật”.

Hoàng Nam

Ngày đầu tiên của tháng 11/2024, Tập đoàn tổ chức gặp mặt và khen thưởng đội thi của Công ty An ninh mạng Viettel vô địch cuộc thi bảo mật lớn nhất thế giới Pwn2Own 2024.

Biểu dương các thành viên của đội thi, Chủ tịch Viettel Tào Đức Thắng cũng chia sẻ niềm tự hào của Thủ tướng Chính phủ và Bộ trưởng Bộ Quốc phòng với thành tích mà team VCS đạt được. Theo đó, Thủ tướng Chính phủ Phạm Minh Chính dù đang công tác tại Trung Đông đã gửi thư khen ngợi đội thi. Thủ trưởng Bộ Quốc phòng cũng chỉ đạo các cơ quan của Bộ có những hình thức động viên kịp thời.

Chủ tịch nhấn mạnh với Công ty An ninh mạng Viettel và đội thi rằng chức vô địch không chỉ là niềm tự hào của riêng thành viên đội. Chính vì thế, team VCS cần xác định dự thi không phải cho vui hay thỏa mãn đam mê mà đây là trách nhiệm với Tập đoàn, với thương hiệu Viettel.

Trên tinh thần đó, Chủ tịch Tào Đức Thắng chỉ đạo đội thi những năm tiếp theo cần có chiến lược rõ ràng, tập trung vào hạng mục nào, cuộc thi nào, đánh giá kỹ lưỡng tầm vóc và quy mô của các cuộc thi. Đó phải là những đấu trường vừa giúp người Viettel thỏa khát vọng chinh phục nhưng cũng phải mang thương hiệu VCS, thương hiệu Viettel ra quốc tế.

Chủ tịch yêu cầu các thành viên của đội phải khát khao, nuôi dưỡng động lực mới để tiếp tục gặt hái thành công. "Cuộc thi của năm sau luôn khó hơn năm trước rất nhiều. Các nhà sản xuất sau khi bị phát hiện lỗ hổng, họ sẽ nâng cấp công nghệ phòng thủ mới hơn. Các đối thủ cũng sẽ mạnh hơn".

"Chúng ta đừng nhìn nhận việc vô địch 2 năm liền là điều rất dễ. Thay mặt CBNV và lãnh đạo Tập đoàn chúc mừng VCS và team Viettel đã liên tiếp vô địch. Tôi mong muốn các bạn hãy tiếp tục phát huy và cống hiến nhiều hơn nữa cho Tập đoàn, cho Công ty", Chủ tịch Tào Đức Thắng căn dặn.

Được sự động viên và chỉ đạo của Chủ tịch Tập đoàn, đội trưởng đội thi Ngô Anh Huy gửi lời cảm ơn đến Chủ tịch, lãnh đạo Tập đoàn, các cơ quan đơn vị và người Viettel đã theo dõi, cổ vũ. Đồng chí Ngô Anh Huy cũng chia sẻ thành tích của đội là sự đóng góp của rất nhiều người và được hun đúc sau cả một quá trình dài Tập đoàn chú trọng vào lĩnh vực an ninh mạng.

Vượt qua hàng loạt đối thủ sừng sỏ trên khắp thế giới, ngày 27/10 vừa qua, đội ngũ VCS lần thứ 2 liên tiếp nâng cao chiếc cúp vô địch tại Pwn2Own Ireland 2024 sau khi khai thác thành công 9 lỗ hổng, giành về 205.000 USD.

Đội thi đứng vị trí đầu bảng sau 4 ngày thi đấu với 33 điểm, gần gấp 2 lần đội đứng thứ hai là Team Cluck.

Xếp dưới đội VCS trong top 5 là một số nhóm nghiên cứu từ châu Âu, Canada, Mỹ. Nhóm DevCore, từng có các thành viên vô địch Pwn2Own năm 2021 và 2022, lần này đứng thứ tư.

Năm ngoái, nhóm kỹ sư VCS cũng giành giải Nhất với 30 điểm và nhận 180.000 USD.

Kiệt Minh

Người xưa có câu “khôn không đến trẻ - khỏe không đến già”. Bảo mật an toàn thông tin ở Việt Nam là lĩnh vực mới. VCS là một trong những doanh nghiệp Việt Nam tiên phong trong lĩnh vực này, cũng mới có hơn 10 năm tuổi đời. Đội ngũ của VCS cũng phần đông mới đang tuổi thanh xuân. Để có được đội ngũ “khôn” ngay từ khi tuổi đời còn trẻ, VCS đã chọn cách luyện quân rất Viettel. Đưa người trẻ vào thực chiến. Anh Nguyễn Sơn Hải - Giám đốc VCS chia sẻ với VTF về “thuật luyện quân” của đơn vị đặc thù này.

Trong giai đoạn phát triển mới, Tập đoàn tiếp tục xác định đội ngũ người Viettel người trẻ giàu khát vọng chính là trụ cột trong việc thực hiện các khát vọng Viettel. Tinh thần này được thể hiện như thế nào tại VCS, thưa anh?

Ngành An toàn thông tin là ngành mới. VCS cũng là đơn vị trẻ. Hầu hết nhân sự của chúng tôi đều là đội ngũ trẻ, thậm chí rất trẻ - nếu so về tuổi đời nhân sự, cũng là dễ hiểu. Tuy nhiên, đội ngũ trẻ không phải là tất yếu. Đó là sự lựa chọn.

Các công ty khác trong ngành này thường xây dựng đội ngũ nhân sự bằng tuyển dụng, tức là dùng chính sách để thu hút người đã có kinh nghiệm, đủ kỹ năng về làm việc được ngay. Còn tại VCS, chúng tôi chú trọng đến việc đào tạo. Đào tạo là quá trình đưa người có tiềm năng trở thành người có đủ năng lực. Điều này cũng xuất phát từ chính định hướng của Tập đoàn khi thành lập VCS. Chúng tôi không chỉ tập trung kinh doanh thương mại thông thường mà còn có nhiệm vụ bảo vệ an ninh quốc phòng. Do đó, để làm tốt cả hai yêu cầu trên VCS phải luôn thực sự làm chủ công nghệ, phải thực sự chủ động được đội ngũ. Muốn chủ động, phải tự mình và liên tục tạo ra được đội ngũ của mình.

Vì vậy, VCS sẵn sàng tiếp nhận các bạn từ khi là sinh viên năm 3 hoặc mới ra trường.

Vậy lãnh đạo công ty đã có những định hướng cụ thể gì trong việc đào tạo, nâng cấp chất lượng nguồn nhân sự trẻ để hoàn thành tốt mục tiêu, thưa anh?

Ngày đầu thành lập Ban An toàn thông tin Tập đoàn (tiền thân của Công ty An ninh mạng Viettel) chỉ với 6 người. Đến nay đội ngũ VCS là hơn 500 nhân sự. Tất cả đều là do VCS có chiến lược trong việc phát triển nhân sự bài bản, trọng tâm. Từ 2015 đến nay, hàng năm chúng tôi lựa chọn thông qua đào tạo định hướng cho hàng trăm lượt sinh viên các chuyên ngành phù hợp. Từ đó trong đó tuyển dụng được 5% phù hợp nhất mời làm việc tại VCS. Sau tuyển dụng, quan điểm của VCS là đào tạo bằng công việc, qua tác chiến thật hoặc áp lực như thật. Trong quân đội có câu “thao trường đổ mồ hôi - chiến trường bớt đổ máu". Còn ở VCS, có thể nói chúng tôi “lấy chiến trường làm thao trường” để rèn sức, luyện tài. Chiến trường ở đây hiểu theo nghĩa rộng, nhiều cấp độ.

Trước hết, chúng tôi khuyến khích chiến thuật “quân ta đánh quân mình”. Nghĩa là nhân viên của công ty được tấn công vào chính các hệ thống nội bộ của Viettel. Đây vừa là cách đào tạo nâng cao kỹ năng, vừa là cách để phát hiện lỗ hổng, hoàn thiện sản phẩm và tăng cường khả năng chống lại các cuộc tấn công từ bên ngoài.

Ngoài ra, việc các hạ tầng trọng yếu của Viettel thường xuyên là đối tượng tấn công của các nhóm hacker được tổ chức cực kỳ bài bản trên thế giới cũng là môi trường rèn luyện rất tốt. Trong những cuộc chiến thật đó, các lứa lớp của đội ngũ có cơ hội bảo ban nhau, thảo luận với nhau và cả thể hiện sở trường sở đoản của mỗi người.

Tìm kiếm, tổ chức và khuyến khích cho đội ngũ chuyên gia tham dự những cuộc thi an ninh mạng từ phạm vi hẹp đến tầm cỡ thế giới là một cách để VCS có điều kiện tìm đến, nâng cao kỹ năng, kiến thức, cập nhật các vấn đề của ngành, các xu hướng mới của thế giới.

Do vậy, việc team VCS đạt thành tích cao tại một cuộc thi bảo mật quốc tế như Pwn2Own không phải điều may mắn mà do các bạn đã được rèn luyện thực tiễn rất nhiều trong quá trình làm việc.

Vậy chắc hẳn trước khi gặt hái thành công lớn tại Pwn2Own 2023 và 2024, trong quá trình tham dự các cuộc thi như vậy cũng không ít lần team VCS phải trải qua thất bại. Lãnh đạo VCS rút ra được bài học gì sau thành công vừa rồi và cả những thất bại trong quá khứ?

Để nói về thất bại, theo quan điểm của VCS chắc có lẽ sẽ khác với nhiều tổ chức khác. Trước hết chúng tôi xác định tham gia thi để luyện quân, để “build” nguồn lực con người. Đó là một tầm nhìn dài hơi nên không thể yêu cầu lần nào tham gia thi cũng đều phải thắng 100%. Thứ hai, khi nghiên cứu chuẩn bị cho mỗi cuộc thi, các bạn đều “sinh ra” được nhiều giá trị để ứng dụng vào trong hoạt động thực hành, đóng góp tri thức cho các đội nhóm khác. Vì vậy, cho dù có thất bại thì vẫn mang lại nhiều thứ chứ không phải không nhận được gì. Thứ ba, đối với một số bạn trong team và cả với công ty cũng vậy, các cuộc thi đó đủ hấp dẫn nên có thất bại lần này thì vẫn xứng đáng để chinh phục lần sau. Thất bại tạo ra động lực để mình tiếp tục và cố gắng.

Còn về thành công, trong cuộc thi lần này thì theo tôi không chỉ là thành quả của các thành viên trong đội mà đó là sự kế thừa, tích lũy từ các thế hệ trước đó. Đó là thành quả của nhiều năm dồn công dồn sức. Chính những thất bại đã từng trải qua là các bậc thang để đưa VCS đến chiến thắng ngày hôm nay. Thành công là chung nhưng bản thân mỗi người trong đó lại nhận ra giá trị riêng cho mình. Đây cũng là một mốc trưởng thành rõ rệt đối với team nghiên cứu chuyên sâu. Đó là bài học cho sự trưởng thành trong khâu tổ chức, kỹ năng làm việc nhóm trong hoạt động nghiên cứu sau một khoảng thời gian team bị phân tách. Đây cũng là lời giải cho vấn đề sử dụng con người và chắc chắn sẽ là khởi đầu thuận lợi của team trong tương lai.

Được biết, ngoài việc chinh phục thị trường trong nước thì VCS đang tăng tốc để hướng tới mục tiêu “Go Global" vào năm 2025. Việc thường xuyên tham gia các cuộc thi tầm cỡ quốc tế là tiền đề để VCS tiến gần hơn đến mục tiêu này đúng không, thưa đồng chí?

Như đã nói, đầu tư cho con người là nhiệm vụ chiến lược, là yếu tố sống còn trong lĩnh vực an toàn thông tin. Do đó, nếu muốn phát triển ra ngoài lãnh thổ Việt Nam thì việc cần làm đầu tiên là xây dựng được một đội ngũ nhân sự mang tầm quốc tế. Với định hướng “Go Global”, chúng tôi đặt mục tiêu ít nhất 10% nhân sự VCS phải có năng lực chuyên môn tầm cỡ thế giới. Để làm được điều đó thì bắt buộc phải tạo không gian, cơ hội để đội ngũ nhân sự có cơ hội tiếp xúc với môi trường quốc tế, trau dồi kiến thức nhằm phát triển năng lực. Chính vì vậy, việc tham dự các cuộc thi lớn là điều mà VCS luôn ưu tiên. Vì, mình không “vào hang cọp thì làm sao bắt được cọp”?!.

Xin cảm ơn anh!

Có quan điểm cho rằng, trong thế giới phẳng về công nghệ, có công nghệ là có giải pháp. Vậy làm thế nào để có công nghệ? Nhanh nhất là đi mua. Còn ở Viettel, giải pháp của mọi giải pháp công nghệ đều nằm ở yếu tố con người. Con người tạo ra và sử dụng công nghệ. Tầm nhìn tổ chức đặt ở đâu, khát vọng và năng lực con người trong tổ chức hướng tới đó.

Đối thủ toàn cầu, cần nhân sự trình độ toàn cầu

Bản chất lĩnh vực an ninh mạng có một đặc thù riêng là mang tính chất đối kháng. Đối thủ đến từ toàn cầu và trong nhiều trường hợp, người bảo vệ không biết người tấn công là ai. Trong cuộc chiến đó, người bảo vệ có trình độ vượt lên đối thủ có cơ hội chiến thắng cao hơn, bền vững hơn. Ở chiều ngược lại, các thủ đoạn và xu hướng tấn công mới cũng không ngừng sinh sôi theo chiều hướng phát triển và phổ cập của công nghệ mới.

Do đó, nếu muốn phát triển và thành công trong ngành thì nhất định phải xây dựng được một đội ngũ nhân sự luôn ở trình độ toàn cầu. Muốn có nhân sự toàn cầu, tất nhiên cần tầm nhìn về tiêu chuẩn năng lực vượt khỏi những biểu hiện cụ thể của bối cảnh hiện tại. Bởi thế giới công nghệ đang vận động rất nhanh, kéo theo bối cảnh của ngành an ninh mạng cũng liên tục thay đổi. Trình độ hôm nay phù hợp, rất có thể ngày mai đã lạc hậu. Phải có năng lực tiên lượng bao giờ đội ngũ cần năng lực trình độ gì, để sẵn sàng ứng phó với hành vi nào, của loại đối thủ nào. Cần phải chuẩn bị ngay từ hôm nay cho một cuộc chiến có thể nổ ra bất cứ lúc nào trong tương lai.

Trong 10 năm qua, các chuyên gia hàng đầu thế giới về an ninh mạng là những “cao thủ” về tấn công bằng mã độc và phần mềm độc hại, đến từ chối dịch vụ, tấn công khai thác lỗ hổng, tấn công mạng không dây, tấn công ứng dụng… Những kỹ năng đó chắc chắn sẽ “bó tay” trong xu hướng tất yếu trí tuệ nhân tạo, điện toán đám mây, IoT và tự động hóa theo thời gian thực… đều có thể là nạn nhân hoặc/và vũ khí của tấn công an ninh mạng.

Lãnh đạo VCS thường nói với đội ngũ của mình, nhân sự làm an ninh mạng vừa phải luyện tuyệt kỹ một môn võ, vừa phải cập nhật “đổi võ” để sẵn sàng cho ngày mai.

Nhờ chiến lược đi trước một bước, VCS hiện đã hình thành 3 thế hệ với đội ngũ hơn 500 chuyên gia, trong đó nhiều chuyên gia hàng đầu thế giới về tất cả các chuyên ngành sâu trong lĩnh vực an ninh mạng. Sự kiện các chuyên gia trẻ tuổi của VCS xuất sắc giành chức vô địch Pwn2Own hai năm liên tiếp 2023, 2024 với các thiết bị mục tiêu hiện đại nhất là một minh chứng cho chiến lược phát triển con người tại đây.

Chọn lựa bằng thử thách - Khai mở bằng khát vọng

VCS hiện nay cũng có thể coi là “cánh chim đầu đàn" trong lĩnh vực bảo mật an toàn thông tin không gian mạng tại Việt Nam. Trong bối cảnh thị trường trong nước chưa có nguồn nhân sự chất lượng đáp ứng đủ yêu cầu, VCS chọn con đường tự đào tạo để có thể tự chủ được nguồn lực của mình. Hàng năm, VCS là đơn vị ra đề cho các cuộc thi tìm kiếm tài năng sinh viên công nghệ tại Việt Nam và ASEAN để từ đó sàng lọc, tìm kiếm ứng viên phù hợp. Đa số các chuyên gia tại VCS được “nuôi” từ khi còn là sinh viên năm thứ 3.

Nói về cách thức chọn lựa nhân sự phù hợp, tại VCS có một điểm rất khác biệt, đó là: “Chọn lựa bằng thử thách". Các ứng viên được áp dụng phương pháp sàng lọc theo phễu. Nghĩa là nhân sự mới sẽ tham gia các khóa đào tạo chung rồi sau đó tiến hành phân nhóm. Tại cấp độ nhóm, VCS tạo ra nhiều mục tiêu đủ khó để từng bước sàng lọc nhân sự. Ai theo được đến cuối cùng thì chắc chắn đó là người phù hợp.

Gắn kết bằng những cơ hội rộng mở

VCS ý thức được rằng để có thể xây dựng được đội ngũ nhân sự “world class", ngoài việc chú trọng ở khâu đầu vào thì còn phải làm rất tốt trong việc giữ chân người tài. Tuy nhiên, “chảy máu chất xám” là một trong những vấn nạn mà các doanh nghiệp đều phải đối mặt, đặc biệt trong lĩnh vực ngành có độ “hot" cao như bảo mật, an toàn thông tin. Theo ban lãnh đạo VCS, muốn giữ chân được người giỏi ngoài việc xây dựng chính sách về lương thưởng, chế độ đãi ngộ, phúc lợi… thì bản thân tổ chức phải ngày càng lớn mạnh, ngày càng phát triển thì người lao động mới gắn bó lâu dài.

Câu chuyện của Nguyễn Hoàng Hải hiện đang công tác tại Trung tâm Giám sát và Phản ứng trên không gian mạng (VCS) là một ví dụ điển hình:

Là sinh viên Khoa Công nghệ thông tin của trường ĐH Bách Khoa Hà Nội, ngay từ năm thứ 2 đại học Hải đã đi tìm các công ty hoạt động trong lĩnh vực này để xin thực tập, học hỏi. Sau nhiều trải nghiệm thực tế, Hải nhận thấy nếu muốn thành công mình phải tìm được một nơi tập trung nhiều người giỏi, vì nơi những người giỏi lựa chọn thì chắc chắn sẽ là nơi tốt nhất. “Và tôi đã tìm đến với VCS bởi ở đây đều có những người giỏi nhất mà tôi biết lúc đó đang làm việc” - Nguyễn Hoàng Hải tâm sự.

Những ngày đầu tiên gia nhập, một sinh viên mới ra trường gần như bị “choáng ngợp" bởi tệp khách hàng của VCS trải dài từ các cơ quan chính phủ, doanh nghiệp lớn cả nhà nước, tư nhân và nước ngoài. Đó là các mục tiêu bảo về với rất nhiều lĩnh vực và có nhiều cuộc tấn công đặc thù, các kỹ thuật hacking lần đầu được trải nghiệm. Hải cho biết, lúc đó thực sự rất hoang mang, luôn sợ mình sai sót điều gì đó sẽ gây ra ảnh hưởng nghiêm trọng. Tuy nhiên, mỗi khi gặp khó khăn Hải nhận thấy luôn nhận được sự hỗ trợ kịp thời từ các mentor, leader và của cả Ban Giám đốc. Đặc biệt, không chỉ được tháo gỡ vấn đề qua chỉ đạo mà các cấp quản lý luôn trực tiếp tham gia, đứng vào vai trò nhân viên để trải nghiệm và từ đó đưa ra phương án giải quyết tối ưu nhất.

Chính nhờ sự dìu dắt tận tâm ấy, Hải đã trau dồi kiến thức và phát triển kỹ năng nhanh hơn rất nhiều. Tính đến hiện tại, Hải đã đồng hành cùng VCS được hơn 5 năm và đang nắm giữ vị trí team leader quản lý gần 20 chuyên viên. “Với tôi, được gắn bó và làm việc tại VCS là một sự lựa chọn đúng đắn bởi ở đây không chỉ cho mang lại mức thu nhập xứng đáng mà tôi luôn nhìn thấy những cơ hội phát triển bản thân trong tương lai. Để có tôi của ngày hôm nay, các anh chị đi trước cũng đã dày công đầu tư, tâm huyết đào tạo và chính bản thân tôi cũng đang truyền lại những điều đó cho các thế hệ sau. Nó giống như một sợi dây gắn kết bền chặt khiến tôi muốn được ở lại VCS để vừa “đền ơn" vừa cống hiến. Tôi cũng muốn gửi lời nhắn nhủ đến tất cả các bạn chuyên viên trẻ đã và sẽ làm việc tại VCS. Đó là “Hãy luôn làm việc hết mình, rồi những gì tốt đẹp nhất sẽ đến với bạn” - Nguyễn Hoàng Hải nói về trải nghiệm của mình.

Nhờ có tầm nhìn mục tiêu chiến lược về con người với những hành động quyết liệt, giờ đây VCS đã trở thành tên tuổi lớn nhất trong lĩnh vực an ninh mạng tại Việt Nam. Không chỉ chiếm lĩnh thị trường trong nước, doanh nghiệp cũng đang gấp rút chuẩn bị cho lộ trình “Go Global" vào năm 2025. Chính nguồn nhân sự dồi dào, chất lượng và chuyên nghiệp như hiện nay sẽ là chìa khóa vạn năng giúp VCS mở mọi cánh cửa trong tương lai.

Ngày 25/10/2024, đội ngũ an ninh mạng Viettel (Viettel Cyber Security - VCS) thuộc Tập đoàn Viettel giành ngôi vô địch tại cuộc thi Pwn2Own 2024 được tổ chức tại Ireland. Đây là lần thứ hai liên tiếp đội ngũ an ninh mạng Viettel vô địch Pwn2Own.

Pwn2Own là một trong những cuộc thi an ninh mạng lớn nhất và uy tín nhất thế giới. Tại đây, các nhóm hacker mũ trắng và nhóm nghiên cứu bảo mật từ khắp nơi trên thế giới cạnh tranh để tìm ra và khai thác các lỗ hổng zero-day (lỗ hổng bảo mật chưa từng được biết đến) trên các thiết bị phổ biến như điện thoại thông minh, camera an ninh, thiết bị văn phòng và các phần mềm được nhiều doanh nghiệp sử dụng.

Tại Pwn2Own 2024, đội ngũ an ninh mạng Viettel đã phát hiện và khai thác 9 lỗ hổng zero-day trên các sản phẩm của HP, Canon, Synology, QNAP Systems, v.v… và đạt tổng 33 điểm, gần gấp 2 lần đội đứng thứ hai là Team Cluck từ Mỹ với 17.25 điểm. Tiếp theo trong bảng xếp hạng là Midnight Blue từ châu Âu, Neodyme từ Đức và DEVCORE từ Đài Loan (Trung Quốc), đều là các nhóm đã từng tham gia và đạt kết quả cao tại Pwn2Own và các cuộc thi bảo mật khác.

Phần thưởng cho mỗi lỗ hổng tìm được từ 20.000 – 50.000 USD và tổng giải thưởng tại Pwn2Own vào khoảng 1 triệu USD, trong đó đội ngũ an ninh mạng Viettel nhận được hơn 200.000 USD. Các lỗ hổng được VCS phát hiện cũng giúp các nhà sản xuất cải thiện tính bảo mật của thiết bị, tránh lọt lộ hình ảnh, dữ liệu của các cá nhân, doanh nghiệp sử dụng.

Pwn2Own 2024 có 8 hạng mục, tập trung vào các thiết bị tích hợp trí tuệ nhân tạo (AI), đòi hỏi các chuyên gia bảo mật không chỉ am hiểu mã nguồn mà còn có kiến thức cách thức các hệ thống AI lưu trữ, xử lý dữ liệu và vận hành trong thiết bị. Tại đây, đội ngũ an ninh mạng Viettel khai thác thành công ở các hạng mục camera giám sát, loa thông minh, máy in, thiết bị lưu trữ gắn mạng (NAS), bộ định tuyến văn phòng (SOHO).

Điểm thách thức của năm nay là hầu hết thiết bị AI có tính năng tự động phát hiện và xác thực người dùng dựa trên học máy, tự động cập nhật và điều chỉnh để phát hiện các hành vi bất thường, còn gọi là lớp bảo vệ động. Do đó, việc tìm lỗ hổng và chiếm quyền các thiết bị trở nên khó khăn hơn.

Đây cũng là các thiết bị do các công ty công nghệ lớn phát triển, trải qua quá trình kiểm thử nghiêm ngặt và liên tục cập nhật bảo mật. Vì vậy Pwn2Own không chỉ là cạnh tranh giữa các nhóm nghiên cứu bảo mật mà còn là “cạnh tranh” với các hãng công nghệ lớn.

Trên mỗi thiết bị, VCS nghiên cứu mã nguồn và thử nghiệm các kịch bản tấn công khả thi. Nhóm xác định các lỗ hổng khó, ít có khả năng trùng lặp với các nhóm khác, để trình diễn trực tiếp và chiếm quyền truy cập hoặc điều khiển thiết bị. (Lỗ hổng trùng lặp không được tính là hợp lệ.)

Các thiết bị VCS tìm kiếm lỗ hổng và khai thác tại Pwn2Own 2024 là camera an ninh Lorex 2K, camera AI Synology TC500, camera Ubiquiti AI Bullet, loa thông minh Sonos Era 300, máy in HP Color LaserJet Pro, máy in Canon imageCLASS MF656Cdw, thiết bị lưu trữ QNAP TS-464, thiết bị lưu trữ TrueNAS Mini X.

Pwn2Own là cuộc thi bảo mật được Zero Day Initiative (ZDI) tổ chức từ năm 2007 đến nay. ZDI là một chương trình do công ty bảo mật Trend Micro sáng lập vào năm 2005, nhằm thúc đẩy việc phát hiện và công bố các lỗ hổng bảo mật chưa được biết đến trước đây (zero-day), bảo vệ người dùng. Khi một lỗ hổng được phát hiện và báo cáo qua ZDI, chương trình sẽ phối hợp với nhà phát triển thiết bị, phần mềm để khắc phục để đảm bảo an toàn, an ninh mạng cho người dùng.