Duy trì nhịp học, liên tục nhập vai trong các cuộc thi "cướp cờ" giúp Trung Hậu tốt nghiệp thủ khoa Học viện Kỹ thuật Mật mã, hướng trở thành kỹ sư "săn" lỗ hổng bảo mật.

Cuối tháng 1, Nghiêm Trung Hậu, 23 tuổi, tốt nghiệp hệ kỹ sư ngành An toàn thông tin, Học viện Kỹ thuật Mật mã (KMA) với điểm trung bình 3.77/4. Trở thành thủ khoa đầu ra, Hậu khá bất ngờ vì vốn không đặt nặng mục tiêu dẫn đầu hay có một kế hoạch quá chi tiết.

"Mình chỉ cố gắng giữ nhịp học ổn định qua từng học kỳ", Hậu nói.

Nghiêm Trung Hậu. Ảnh: Nhân vật cung cấp

Hậu là cựu học sinh trường THPT Lê Lợi, Hà Nội. Ban đầu, Hậu dự định theo học ngành Công nghệ thông tin vì nghĩ phù hợp với nam giới, chứ không có định hướng cụ thể.

Quyết định theo đuổi ngành An toàn thông tin của nam sinh cũng tình cờ, khi được một đàn anh khóa trước tư vấn. Khi vào chuyên ngành, Hậu mới nhận ra lĩnh vực này phức tạp. Sinh viên không chỉ xây dựng hệ thống bảo vệ mà phải học cách tiếp cận vấn đề từ hai phía: vừa thiết kế, vừa tìm điểm yếu để khai thác.

"Áp lực tăng dần khi các môn học đều gắn với thực hành và dự án nhóm", Hậu nói, cho biết môn khó nhất là Khai thác lỗ hổng phần mềm và Kiểm thử hệ thống vì kiến thức rất rộng và trừu tượng.

Để vượt qua, nam sinh chủ động hỏi bạn bè ở những phần chưa nắm vững, rồi làm lại các ví dụ, bài tập mà thầy cô giao. Thay vì học từng môn, khoảng 2-3 tuần trước kỳ thi, nam sinh duy trì thói quen tổng ôn để hệ thống toàn bộ nội dung.

An toàn thông tin là ngành học rộng, gồm nhiều mảng như khai thác lỗ hổng website, lỗ hổng ứng dụng, điều tra số, dịch lược... Hậu tập trung vào mảng bảo mật website, do đây là hướng dễ tiếp cận với người mới và có nhiều tài liệu hỗ trợ. Song, chỉ học kỹ thuật để xây dựng, khai thác web là chưa đủ.

Theo Hậu, các lỗ hổng bảo mật sinh ra từ mã nguồn sai, thiếu an toàn. Do đó, muốn hiểu lỗ hổng thì phải hiểu mã nguồn tạo ra nó, tức là lập trình (code). Nam sinh tự học lập trình web, xem đây là nền tảng để hình thành tư duy phân tích điểm yếu hệ thống từ gốc.

Phần lớn dự án Hậu tham gia liên quan lỗ hổng web, từ tìm lỗi, truy vết nguyên nhân đến đề xuất hướng khắc phục. Nam sinh thường đảm nhận vai trò "tấn công".

Hậu giải thích, trong an toàn thông tin, tấn công hay phòng thủ đều là những cách để đánh giá mức độ an toàn của hệ thống. Cuộc "đối đầu" của các kỹ sư ở hai nhóm nhằm xây dựng những kịch bản có thể xảy ra khi hacker xâm nhập, từ đó có phương án nâng cấp hệ thống.

Để rèn kỹ năng tấn công, mỗi cuối tuần, Hậu tham gia CTF (Capture the flag - Cướp cờ) - hình thức thi đấu an ninh mạng phổ biến, nơi người chơi khai thác các lỗ hổng bảo mật để tìm ra một chuỗi ký tự ẩn, gọi là "cờ". Nam sinh xem đây là môi trường nhập vai lý tưởng, giúp rèn khả năng khai thác và nhận biết lỗ hổng trong các tình huống thực tế.

Năm thứ ba, Hậu trúng tuyển thực tập tại VNPT. Giai đoạn này, nam sinh chủ yếu hỗ trợ kiểm thử và làm quen với quy trình thực tế. Trải nghiệm này giúp Hậu hiểu rằng phải luôn cập nhật kiến thức vì công nghệ thay đổi rất nhanh.

Vừa học, vừa thực tập nên không ít thời điểm nam sinh thấy căng thẳng. Hậu phải đăng ký lớp học buổi tối, còn ban ngày dành làm việc. Đến năm cuối, Hậu cân đối lại, thực tập buổi sáng, còn chiều đi học.

"Việc thực tập sớm không chỉ giúp tích lũy kinh nghiệm thực tế, mà còn rèn tác phong làm việc, đặc biệt là kỷ luật thời gian", nam sinh đúc rút.

Hậu trong ngày tốt nghiệp, tháng 1/2026. Ảnh: Nhân vật cung cấp

Sau tốt nghiệp, tân thủ khoa vẫn duy trì công việc tại VNPT và dự định học lên thạc sĩ hoặc lấy các chứng chỉ quốc tế. Mục tiêu dài hạn của Hậu là trở thành chuyên gia nghiên cứu lỗ hổng bảo mật (vulnerability research).

Công việc này yêu cầu kỹ sư không chỉ "săn" lỗi mà phải chứng minh được khả năng khai thác, đánh giá mức độ ảnh hưởng và lập báo cáo kỹ thuật. Nếu thành công, lỗ hổng có thể được cấp mã định danh CVE - hệ thống ghi nhận lỗ hổng bảo mật quy mô toàn cầu.

"Đó là hướng đi khó, yêu cầu nền tảng rất sâu và phải học liên tục, nhưng mình thấy thú vị vì được tiếp cận vấn đề ở mức bản chất hơn", Hậu cho hay.

Nhìn lại chặng đường đã qua, Hậu thấy kết quả học tập của mình không đến từ những thời điểm bứt phá, mà nhờ duy trì nhịp học ổn định và liên tục thực hành.

Với các bạn trẻ muốn theo ngành này, Hậu khuyên học lập trình (C, C++ hoặc Python) càng sớm càng tốt.

"Không nhất thiết phải biết quá nhiều, nhưng phải hiểu thật chắc những thứ cơ bản để đi đường dài", Hậu nhìn nhận.

Thanh Hằng