Bài viết & Thông báo
Cập nhật bài viết và thông báo mới nhất từ khoa An toàn Thông tin
19 kết quả#Cybersecurity
Hướng nghiệpNgành An Toàn Thông Tin là gì? Học xong ra trường làm gì?
Mỗi mùa tuyển sinh, câu hỏi tưởng chừng đơn giản: "Ngành An toàn Thông tin (ATTT) học gì, ra trường làm gì?" lại khiến không ít phụ huynh và học sinh lúng túng. Không phải vì thiếu thông tin, mà vì thông tin quá nhiều nhưng lại… khó hiểu. Khác với Kinh tế hay Y khoa,..., những ngành mà chỉ cần nghe tên là hình dung được công việc. Đối với ATTT mang một đặc thù riêng: nó là ngành xây dựng trên nền tảng của một ngành khác.
CybersafeMicrosoft Security Update Guide: 167 lỗ hổng , 2 Zero-day 14/04/2026
Bài viết phân tích bản vá Patch Tuesday ngày 14/04/2026 của Microsoft với 167 lỗ hổng, trong đó có 2 zero day và nhiều trường hợp nghiêm trọng liên quan đến Remote Code Execution, Elevation of Privilege, SharePoint, Defender, Active Directory và BitLocker. Từ các CVE tiêu biểu, bài viết rút ra cách đọc bản vá dưới góc nhìn của sinh viên An toàn Thông tin, đồng thời giới thiệu tư duy Vulnerability Management, cách ưu tiên vá, đọc CVSS và theo dõi Threat Intelligence để hình thành kỷ luật nghề nghiệp trong thực tế.
blogsVì sao fine tune LLaMA vẫn đáng làm trong security pipeline (Có hướng dẫn thực hiện)
Fine tune LLaMA cho security không nhằm cạnh tranh benchmark với các model frontier, mà nhằm giải quyết nhu cầu rất thực tế của môi trường pentest và AppSec. Khi dữ liệu nhạy cảm không thể rời khỏi hệ thống nội bộ, khi pipeline cần tốc độ cao, chi phí thấp, khả năng kiểm soát tốt và kết quả có thể tái lập, một local model nhỏ được huấn luyện đúng dữ liệu vẫn là lựa chọn hiệu quả và thực dụng hơn nhiều.
blogsAI SOC không nằm ở chỗ hiểu alert nhanh hơn, mà ở chỗ xử lý được công việc đến cùng
Nhiều hệ thống AI SOC hiện nay mới chỉ giúp analyst đọc alert nhanh hơn, gom context nhanh hơn và viết tóm tắt đẹp hơn. Giá trị thực chỉ xuất hiện khi AI đi vào workflow, thực hiện được các bước xử lý có kiểm soát, phối hợp được nhiều công cụ, ghi lại đầy đủ dấu vết và chỉ đẩy con người vào các điểm cần phán đoán hoặc phê duyệt.
blogsLỗ hổng IDOR không chỉ là lỗi kiểm tra id, mà là thất bại của tư duy phân quyền theo tài nguyên
IDOR không chỉ là lỗi đổi một ID trong URL mà là biểu hiện trực tiếp của Broken Access Control khi hệ thống truy xuất tài nguyên dựa trên object reference do client cung cấp nhưng không ràng buộc quyền thực tế của caller trên resource đó. Muốn xử lý tận gốc, ứng dụng phải chuyển từ tư duy kiểm tra chức năng đơn thuần sang authorization theo tài nguyên, kết hợp ownership, tenant boundary, ACL, kế thừa quyền, kiểm soát ở tầng service, repository và database để chặn truy cập trái phép một cách nhất quán.
blogsZero trust architecture dưới góc nhìn của một appsec engineer
Nếu nhìn từ góc độ của một AppSec engineer, Zero Trust Architecture không chỉ là câu chuyện của hạ tầng mạng hay sản phẩm bảo mật. Đây là một cách thiết kế hệ thống sao cho mọi truy cập đều phải đi qua các giả định tin cậy rõ ràng, các điểm kiểm soát có chủ đích, và các quyết định truy cập có thể kiểm chứng. Giá trị lớn nhất của Zero Trust nằm ở chỗ nó buộc kiến trúc phải trả lời được ai đang truy cập, từ đâu, bằng thiết bị nào, tới tài nguyên gì, với mức rủi ro nào, và trong ngữ cảnh nào thì được phép đi tiếp. Với AppSec designer, đây chính là cách chuyển bảo mật từ tầng khẩu hiệu sang tầng kiến trúc và cơ chế thực thi.
blogsCùng xem, khi AI tham gia viết code, năng lực thiết kế mới quyết định hệ thống an toàn đến đâu (Opaque ID Design)
AI đang giúp lập trình viên tạo API nhanh hơn, nhưng cũng đang làm lộ rõ khoảng cách giữa viết được mã và hiểu được hệ thống mình đang xây. Một ví dụ điển hình là việc nhiều ứng dụng vẫn công khai primary key của cơ sở dữ liệu ra ngoài endpoint, từ đó mở đường cho lỗi tham chiếu đối tượng trực tiếp không an toàn (Insecure Direct Object Reference, IDOR). Định danh mờ (Opaque ID) là một quyết định thiết kế hữu ích để giảm khả năng suy diễn và enumeration, nhưng giá trị thật của nó chỉ xuất hiện khi người làm hiểu đúng bản chất, tránh các anti pattern, và đặt nó trong bức tranh tổng thể của authorization, validation, logging, transaction, cache, và kiểm soát rủi ro toàn hệ thống. Trong thời đại AI, lợi thế không còn nằm ở tốc độ sinh mã, mà nằm ở chiều sâu nhận thức về hậu quả thiết kế.
blogsHTTPS Session
Với vai trò là một CA gốc (root CA), máy chủ VeriSign đã tạo một cặp khóa (VS Pub Key – khóa công khai, VS Priv Key – khóa riêng). VeriSign sử dụng VS Priv Key để ký vào VS Pub Key của mình và tạo ra chứng thư số gốc (Root certificate, CA certificate) – đây được gọi là chứng thư số tự ký (self-signed certificate). (Việc ký chứng thư số sẽ được đề cập trong Bước E.) Lưu ý, các tổ chức lớn và quan trọng như VeriSign không dùng chứng thư gốc cao nhất của họ để ký chứng thư khách hàng mà sẽ sử dụng hệ thống phân cấp của các CA.
blogsAgentic SOC 2026: Khi AI Agent Tham Gia vào Trung Tâm Giám Sát Bảo Mật
"Agentic SOC không đơn thuần là thêm một module AI vào hệ thống. Đó là sự tiến hóa từ những kịch bản (playbook) cứng nhắc sang mô hình suy luận bán tự chủ. Khám phá cách các AI Agent giải quyết bài toán 'nhiễu' dữ liệu, làm giàu ngữ cảnh sự cố và lộ trình 4 giai đoạn để triển khai một SOC thông minh nhưng vẫn trong tầm kiểm soát.
blogsKiến thức cơ bản về mật mã học cho kỹ sư phần mềm và kỹ sư an toàn ứng dụng
Mật mã học (cryptography) nên được xem như một công cụ giảm thiểu ở mức kiến trúc (architectural mitigation tool), có nhiệm vụ bảo vệ tính bí mật (confidentiality), tính toàn vẹn (integrity), tính xác thực (authenticity) và trách nhiệm giải trình (accountability) khi được đặt đúng vị trí trong hệ thống và được quản lý xuyên suốt toàn bộ vòng đời của nó.
CybersafeCVE Tháng 3/2026: Thời Đại Exploit Được Viết Trong Vài Giờ
Tháng 3/2026 ghi nhận một kỷ lục không ai muốn chứng kiến: exploit hoạt động được viết ra chỉ 20 giờ sau khi CVE được công bố, không cần PoC, không cần mã nguồn rò rỉ. Từ lỗi Java deserialization CVSS 10.0 trong Cisco FMC bị ransomware group khai thác âm thầm suốt 36 ngày trước khi vendor biết, đến RCE không cần xác thực trên nền tảng AI Langflow với hơn 145.000 sao GitHub, rồi supply chain attack biến chính scanner bảo mật Aqua Trivy thành công cụ đánh cắp secret từ pipeline CI/CD của người dùng. Tháng này còn chứng kiến CVE đầu tiên khai thác trực tiếp AI co-pilot trong Microsoft Office như một vector exfiltration dữ liệu. Đây là tổng kết 9 lỗ hổng đáng chú ý nhất, cùng phân tích kỹ thuật và khuyến nghị xử lý thực tế cho từng trường hợp.
blogsThreat Modeling : đưa tư duy đối kháng vào thiết kế phần mềm từ sớm
Threat Modeling giúp đội phát triển đưa bảo mật vào đúng thời điểm, ngay khi hệ thống còn đang được mô hình hóa và thiết kế. Bằng cách nhìn hệ thống từ góc độ tài sản, ranh giới tin cậy, entry point, risk và misuse case, nhóm có thể phát hiện sớm các đường lạm dụng, ưu tiên đúng rủi ro và chuyển các quyết định bảo mật thành kiểm soát thực tế trước khi chi phí sửa đổi trở nên quá lớn.