Các nhóm sản phẩm CMC

Góc nhìn từ chuyên gia CMC Telecom: Pentesting giúp doanh nghiệp phát hiện lỗ hổng trước khi hacker khai thác

Th3 18, 2026

Trong bối cảnh chuyển đổi số diễn ra mạnh mẽ, hạ tầng công nghệ của doanh nghiệp ngày càng phức tạp với sự kết hợp của data center, cloud, ứng dụng web và hệ thống API. Điều này khiến “bề mặt tấn công” ngày càng mở rộng, tạo thêm nhiều điểm mà tin tặc có thể khai thác. Thực tế cho thấy nhiều tổ chức chỉ phát hiện ra lỗ hổng bảo mật khi sự cố đã xảy ra hoặc dữ liệu đã bị truy cập trái phép. Vì vậy, thay vì chờ đến khi hệ thống gặp sự cố, ngày càng nhiều doanh nghiệp lựa chọn kiểm thử xâm nhập (penetration testing – pentest) như một phương pháp chủ động nhằm phát hiện các điểm yếu trong hệ thống trước khi kẻ tấn công có cơ hội khai thác.

Mới đây, Nguyễn Công Thành – Chuyên gia kiểm thử bảo mật, khối An toàn thông tin CMC Telecom đã đạt chứng chỉ GIAC Penetration Tester (GPEN), một trong những chứng chỉ quốc tế uy tín dành cho các chuyên gia kiểm thử xâm nhập. Đây là chứng chỉ được cộng đồng an ninh mạng quốc tế đánh giá cao về mức độ chuyên sâu cũng như khả năng kiểm chứng năng lực thực hành của các chuyên gia bảo mật.

GPEN – chứng chỉ dành cho các chuyên gia pentesting chuyên sâu

GPEN được thiết kế nhằm đánh giá năng lực thực hành của các chuyên gia an ninh mạng trong việc mô phỏng các kỹ thuật tấn công thực tế. Nội dung của chứng chỉ bao gồm nhiều lĩnh vực quan trọng trong kiểm thử xâm nhập như khai thác lỗ hổng hệ thống, kiểm thử bảo mật ứng dụng web, phân tích phương thức tấn công và kỹ thuật leo thang đặc quyền trong hệ thống.

Khác với nhiều chứng chỉ thiên về lý thuyết, GPEN yêu cầu người thi phải hiểu rõ cách thức vận hành của hệ thống cũng như các kỹ thuật mà hacker có thể sử dụng để xâm nhập và khai thác lỗ hổng. Để chuẩn bị cho kỳ thi này, anh Thành đã dành khoảng một tháng tập trung nghiên cứu tài liệu, luyện tập các bài thực hành mô phỏng môi trường thực tế và các kịch bản tấn công mô phỏng. Bài thi GPEN diễn ra trong 3 tiếng, yêu cầu thí sinh vận dụng kiến thức và kỹ năng thực hành để phân tích và xử lý các tình huống bảo mật thực tế. Chính vì vậy, chứng chỉ này thường được xem là một trong những tiêu chuẩn chuyên môn quan trọng đối với các chuyên gia Pentesting.

Góc nhìn từ chuyên gia CMC Telecom: kiểm thử an ninh cần đặt trong kịch bản tấn công thực tế

Theo anh Nguyễn Công Thành, việc kiểm tra an ninh hệ thống của doanh nghiệp hiện nay không chỉ dừng lại ở việc tìm kiếm các lỗ hổng từ bên ngoài mà cần đặt trong những kịch bản tấn công thực tế. Nhiều phương pháp kiểm thử hiện đại thậm chí giả định rằng kẻ tấn công đã có thể xâm nhập vào hệ thống, từ đó đánh giá khả năng lan rộng quyền truy cập, leo thang đặc quyền hoặc đánh cắp dữ liệu trong nội bộ hạ tầng công nghệ.

Bên cạnh các hệ thống CNTT truyền thống, phạm vi kiểm tra an ninh hiện nay cũng được mở rộng sang nhiều nền tảng khác như thiết bị IoT, ứng dụng mobile và các dịch vụ chạy trên internet. Những môi trường này ngày càng đóng vai trò quan trọng trong hoạt động của doanh nghiệp nhưng cũng tiềm ẩn nhiều nguy cơ bảo mật nếu không được kiểm tra và quản trị chặt chẽ.

Từ kinh nghiệm thực tế, anh Thành cho biết nhiều doanh nghiệp thường gặp một số vấn đề bảo mật phổ biến như việc sử dụng mật khẩu yếu hoặc thông tin đăng nhập bị lộ lọt, hệ thống được cấu hình chưa an toàn hoặc các dịch vụ nội bộ vô tình bị mở ra internet. Ngoài ra, không ít tổ chức vẫn chậm trễ trong việc cập nhật các bản vá bảo mật cho phần mềm hoặc chưa có cơ chế giám sát hiệu quả để phát hiện những hoạt động bất thường trong hệ thống. Những điểm yếu này nếu không được phát hiện sớm có thể trở thành cửa ngõ để kẻ tấn công xâm nhập sâu hơn vào hạ tầng công nghệ của doanh nghiệp.

Khuyến nghị từ chuyên gia để nâng cao an ninh hệ thống

Từ góc độ chuyên môn, Nguyễn Công Thành cho rằng doanh nghiệp cần chủ động xây dựng các biện pháp phòng vệ ngay từ bên trong hệ thống thay vì chỉ tập trung vào các lớp bảo mật bên ngoài. Một trong những bước quan trọng là tăng cường cơ chế xác thực đối với các tài khoản quan trọng nhằm giảm nguy cơ bị chiếm quyền truy cập. Bên cạnh đó, doanh nghiệp cần thiết lập quyền truy cập hợp lý cho từng nhóm người dùng và tách biệt các hệ thống quan trọng để hạn chế rủi ro lan rộng nếu xảy ra sự cố.

Ngoài ra, việc theo dõi hoạt động của hệ thống thường xuyên để phát hiện dấu hiệu bất thường cũng đóng vai trò rất quan trọng trong chiến lược bảo mật. Các doanh nghiệp nên thực hiện kiểm tra an ninh định kỳ để kịp thời phát hiện và xử lý các lỗ hổng mới phát sinh. Theo chuyên gia CMC Telecom, việc kết hợp kiểm thử xâm nhập định kỳ với các hoạt động giám sát và vận hành bảo mật liên tục sẽ giúp doanh nghiệp nâng cao khả năng phòng vệ trước các mối đe dọa an ninh mạng.

Nâng cao năng lực đội ngũ an toàn thông tin

Việc các chuyên gia của CMC Telecom liên tục đạt được các chứng chỉ quốc tế trong lĩnh vực an ninh mạng cho thấy nỗ lực nâng cao năng lực chuyên môn của đội ngũ kỹ sư, đồng thời góp phần củng cố khả năng phát hiện và phòng vệ trước các mối đe dọa ngày càng phức tạp trong môi trường số. Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc đầu tư vào nguồn nhân lực bảo mật chất lượng cao cùng các phương pháp kiểm thử chủ động như pentesting đang trở thành yếu tố quan trọng giúp doanh nghiệp bảo vệ hệ thống và dữ liệu một cách bền vững.

Tin mới nhất

Chuyên gia CMC Telecom chinh phục chứng chỉ CISSP

CMC Telecom nhận danh hiệu Doanh nghiệp viễn thông của năm

Doanh nghiệp ngày nay không bị hack, họ tự làm lộ bí mật doanh nghiệp

Hạ tầng AI: Từ chi phí công nghệ đến đòn bẩy tăng trưởng dài hạn

CMC Telecom tiếp tục được vinh danh tại Global Brand Awards, khẳng định chiến lược trải nghiệm khách hàng bền vững