Now Reading: Tại sao người làm Security luôn bi quan?

Loading
svg
Open

Tại sao người làm Security luôn bi quan?

04/07/202610 min read

Có người từng hỏi tôi rằng làm Security lâu có khiến con người ta trở nên bi quan hơn không. Tôi đã cười và trả lời rằng có lẽ là có. Nhưng sau đó, tôi nghĩ lại. Có lẽ điều thay đổi không phải là cách chúng tôi nhìn cuộc sống, mà là cách chúng tôi nhìn rủi ro.

Người làm bảo mật được đào tạo để đặt câu hỏi trước khi đặt niềm tin. Khi một email xuất hiện trong hộp thư, nhiều người chỉ quan tâm đến nội dung của nó. Chúng tôi lại vô thức để ý đến tên miền người gửi, chữ ký số, những đường dẫn được rút gọn hay một tệp đính kèm có vẻ vô hại. Không phải vì chúng tôi thích nghi ngờ người khác, mà vì công việc đã dạy rằng những cuộc tấn công nguy hiểm nhất thường bắt đầu từ những điều rất bình thường.

Thói quen ấy dần len vào cuộc sống hàng ngày. Tôi đọc kỹ hơn trước khi bấm nút “Đồng ý”. Tôi dành thêm vài giây để xác minh một thông tin trước khi chia sẻ. Khi ai đó nói rằng một dịch vụ hoàn toàn miễn phí, tôi thường tự hỏi họ đang thu lại điều gì. Có người gọi đó là bi quan. Tôi lại nghĩ đó chỉ là một dạng cẩn trọng được hình thành sau nhiều năm tiếp xúc với những câu chuyện mà phần lớn mọi người không bao giờ nhìn thấy.

Làm trong ngành bảo mật cũng đồng nghĩa với việc phải dành nhiều thời gian để nghĩ về những điều tồi tệ nhất có thể xảy ra. Chúng tôi xây dựng kịch bản cho những cuộc tấn công chưa từng diễn ra, tìm kiếm những lỗ hổng chưa bị khai thác và chuẩn bị cho những sự cố mà ai cũng hy vọng sẽ không bao giờ xảy đến. Đó là một công việc kỳ lạ, bởi thành công của nó thường được đo bằng những điều không xảy ra. Nếu một cuộc tấn công bị ngăn chặn từ sớm, sẽ chẳng có ai biết rằng nó từng tồn tại.

Có lẽ vì thế mà nhiều người cảm thấy dân Security lúc nào cũng nhìn đời bằng một lăng kính u ám. Chúng tôi luôn hỏi “nếu như”. Nếu tài khoản này bị đánh cắp thì sao? Nếu máy chủ này ngừng hoạt động thì sao? Nếu người dùng vô tình mở tệp đính kèm đó thì sao? Những câu hỏi ấy đôi khi khiến chúng tôi có vẻ bi quan, nhưng thực chất đó chỉ là cách chúng tôi chuẩn bị cho những điều chưa xảy ra.

Điều thú vị là càng làm nghề lâu, tôi càng nhận ra Security không hề được xây dựng trên sự hoài nghi tuyệt đối. Ngược lại, nó được xây dựng trên việc chấp nhận rằng mọi hệ thống đều có thể thất bại và mọi con người đều có thể mắc sai lầm. Chính vì chấp nhận điều đó, chúng tôi mới thiết kế thêm các lớp bảo vệ, xây dựng quy trình ứng phó và chuẩn bị phương án phục hồi. Nếu tin rằng con người sẽ không bao giờ mắc lỗi, có lẽ ngành bảo mật đã không tồn tại.

Có một khái niệm rất nổi tiếng trong lĩnh vực này là Zero Trust. Nhiều người hiểu nó như một triết lý “không tin ai cả”. Tôi lại thích một cách diễn giải khác: hãy tin, nhưng đừng để niềm tin trở thành giả định vĩnh viễn. Hệ thống cần được xác minh liên tục. Thiết bị cần được kiểm tra liên tục. Quyền truy cập cũng cần được đánh giá lại theo thời gian. Đó không phải là sự bi quan, mà là sự khiêm tốn trước thực tế rằng mọi thứ đều có thể thay đổi.

Nghề Security khiến tôi nhìn thấy nhiều rủi ro hơn trước. Nhưng đồng thời, nó cũng khiến tôi hiểu rằng không có thứ gì an toàn tuyệt đối. Không có sản phẩm nào chặn được mọi cuộc tấn công. Không có quy trình nào loại bỏ hoàn toàn sai sót. Và cũng không có con người nào không từng mắc lỗi.

Có lẽ vì vậy, tôi không còn nghĩ người làm Security là những người bi quan. Chúng tôi chỉ dành nhiều thời gian hơn để suy nghĩ về những điều người khác chưa nghĩ đến. Không phải để sống trong lo lắng, mà để khi điều xấu thực sự xảy ra, mọi người vẫn còn cơ hội bắt đầu lại.

How do you vote?

1 People voted this article. 1 Upvotes - 0 Downvotes.
Loading
svg