messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
SHB

Chuyên viên Kiểm thử tấn công mạng (Redteam)

Hội sở chính Khối Công nghệ thông tin
Thương lượng 1 chỉ tiêu

Mô tả công việc

MÔ TẢ CÔNG VIỆC - Thực chiến Tấn công (Offensive Operations): Trực tiếp thực hiện kiểm thử xâm nhập (Penetration Testing) chuyên sâu trên đa nền tảng: Web Application, Mobile App (iOS/Android), APIs, Thick Client (Winform), Mạng nội bộ (Internal Network) và hệ thống Cloud. - Mô phỏng Mối đe dọa (Adversary Simulation / Red Teaming): Tham gia thiết kế và thực thi các chiến dịch Red Team, mô phỏng các kỹ thuật tấn công APT (Advanced Persistent Threat) nhằm đánh giá toàn diện năng lực phản ứng của hệ thống phòng thủ (Blue Team). - Nghiên cứu & Tấn công phi kỹ thuật (R&D & Social Engineering): Xây dựng các kịch bản lừa đảo có kiểm soát (Phishing/Social Engineering) để đánh giá nhận thức an ninh của cán bộ nhân viên. Nghiên cứu kỹ thuật bypass EDR/AV và phát triển các payload/công cụ tấn công đặc thù cho môi trường ngân hàng. - Tư vấn Khắc phục (Remediation Consulting): Không trực tiếp đi vá lỗi, nhưng bạn phải chịu trách nhiệm viết báo cáo kỹ thuật chi tiết, giải thích rủi ro (PoC) và tư vấn phương án khắc phục (Mitigation plan) triệt để cho đội ngũ Vận hành/Phát triển ứng dụng. YÊU CẦU CÔNG VIỆC - Trình độ & Kinh nghiệm: Tốt nghiệp Đại học chuyên ngành ATTT, CNTT, Mật mã học hoặc các khối ngành liên quan. - Có tối thiểu 2 - 3 năm kinh nghiệm thực chiến trong lĩnh vực Red Team (Chúng tôi coi trọng năng lực thực tế và tư duy khai thác hơn số năm kinh nghiệm). - Kỹ năng Kỹ thuật (Hard Skills): - Thành thạo tối thiểu một ngôn ngữ scripting/lập trình (Python, Bash, C/C++, C#) để tự viết hoặc tùy biến tool khai thác. - Nắm vững kiến trúc mạng, cơ sở dữ liệu, OS (Windows/Linux/Active Directory), Cloud và các nền tảng Middleware. - Hiểu biết sâu sắc về các lỗ hổng bảo mật phổ biến (OWASP Top 10, CWE) và phương pháp luận kiểm thử (OSSTMM, PTES). - Điểm cộng lớn: Có kinh nghiệm nghiên cứu cơ chế phát hiện mã độc của các phần mềm Anti-virus/EDR và kỹ năng obfuscation (làm rối mã). - Kỹ năng Mềm & Đạo đức nghề nghiệp (Soft Skills & Integrity): - Tuyệt đối tuân thủ đạo đức nghề nghiệp (White-hat Hacker) và các quy tắc cam kết (Rules of Engagement) trong môi trường tài chính. - Kỹ năng viết báo cáo kỹ thuật (Technical Report Writing) xuất sắc: Biết cách dịch một lỗi kỹ thuật phức tạp thành ngôn ngữ rủi ro kinh doanh cho Ban lãnh đạo. - Tư duy logic, sáng tạo, không ngại khó khi phải "đào sâu" vào một hệ thống đóng (Blackbox). - Điểm cộng Ưu tiên (Nice-to-have) - Sở hữu các chứng chỉ danh giá trong ngành Offensive Security: OSCP, OSEP, OSCE, CRTO... - Đã từng công bố lỗ hổng bảo mật (CVE) mức độ High/Critical trên các nền tảng uy tín. - Có thứ hạng cao trên các nền tảng Bug Bounty (HackerOne, Bugcrowd) hoặc các giải thi đấu CTF trong nước và quốc tế.

Phân tích kỹ năng cần có

# Phân Tích Kỹ Năng Cần Có — Chuyên Viên Red Team SHB ## 1. Hard Skills (Kỹ năng kỹ thuật bắt buộc) ### Kỹ năng lập trình/scripting | Ngôn ngữ | Mức độ yêu cầu | Ứng dụng trong Red Team | |---|---|---| | **Python** | Bắt buộc — thành thạo | Viết script khai thác, automation, xây dụng tool tùy biến | | **Bash** | Bắt buộc — thành thạo | Tự động hóa trên Linux, post-exploitation | | **C/C#** | Ưu tiên | Viết malware, bypass EDR, compile payload | | **PowerShell** | Ưu tiên | Active Directory attack, lateral movement | ### Kiến thức nền tảng bắt buộc - **Mạng**: TCP/IP, DNS, LDAP, SMB, RDP, VPN protocols - **Hệ điều hành**: Windows (AD, Kerberos, NTLM), Linux (privilege escalation) - **Cloud**: AWS/GCP/Azure (IAM misconfiguration, cloud-specific attacks) - **Web**: HTTP/S, REST API, GraphQL, WebSocket - **Database**: SQL injection, NoSQL injection, privilege escalation ### Framework & Phương pháp luận - **OWASP Top 10** (Web, Mobile, API) - **CWE Top 25** — lỗ hổng nghiêm trọng nhất - **OSSTMM** hoặc **PTES** — tiêu chuẩn kiểm thử - **MITRE ATT&CK** — framework mô phỏng APT - **NIST CSF** — khung phòng thủ ### Các kỹ thuật tấn công cần thành thạo ``` ┌─────────────────────────────────────────────────────┐ │ Web App Pentest │ │ ├── SQLi, XSS, SSRF, IDOR, Auth bypass │ │ ├── Business logic flaws │ │ └── API security testing │ ├─────────────────────────────────────────────────────┤ │ Network Pentest │ │ ├── Port scanning, service enumeration │ │ ├── SMB, LDAP, DNS attacks │ │ └── Lateral movement, pivoting │ ├─────────────────────────────────────────────────────┤ │ Red Team Operations │ │ ├── Initial access (phishing, credential reuse) │ │ ├── Privilege escalation │ │ ├── Dumping LSASS, Kerberoasting, Golden ticket │ │ └── Data exfiltration │ ├─────────────────────────────────────────────────────┤ │ EDR/AV Bypass (Điểm cộng lớn) │ │ ├── AMSI bypass, ETW patch │ │ ├── Process injection │ │ └── Obfuscation, packing │ └─────────────────────────────────────────────────────┘ ``` --- ## 2. Soft Skills (Kỹ năng mềm) - **Tư duy sáng tạo & logic** — không ngại đào sâu vào hệ thống đóng (blackbox) - **Viết báo cáo kỹ thuật xuất sắc** — dịch lỗi phức tạp thành rủi ro kinh doanh cho board - **Kỹ năng thuyết trình** — trình bày PoC trước đội ngũ non-technical - **Quản lý thời gian** — nhiều dự án cùng lúc, deadline chặt - **Tâm lý vững** — làm việc trong môi trường áp lực cao, bí mật --- ## 3. Chứng chỉ khuyến nghị theo thứ tự ưu tiên | Cấp độ | Chứng chỉ | Độ khó | Giá trị trong ngành | |---|---|---|---| | **Bắt buộc nên có** | eJPT (Entry) | Trung bình | Nền tảng vững | | **Rất giá trị** | OSCP | Cao | Tiêu chuẩn ngành Red Team toàn cầu | | **Ưu tiên cao** | OSEP (Advanced) | Rất cao | Red Team chuyên sâu, bypass EDR | | **Elite** | OSCE³ (CRTO) | Cực cao | Chuyên gia Red Team hàng đầu | | **Bổ sung** | CREST, GPEN, eCPTX | Trung bình-Cao | Mở rộng kiến thức | | **Chuyên biệt Cloud** | AWS Security Specialty, GXPN | Cao | Cloud pentest | --- ## 4. So sánh: Ứng viên Junior vs Senior cho vị trí này | Tiêu chí | Junior (0-2 năm) | Senior (3-5+ năm) | |---|---|---| | **Phạm vi công việc** | Web pentest, network scan cơ bản | Full Red Team, APT simulation | | **Scripting** | Dùng tool có sẵn, chỉnh sửa đơn giản | Viết tool tùy biến, automation | | **Báo cáo** | Mô tả kỹ thuật, cần hướng dẫn | Dịch rủi ro kinh doanh, tự chủ | | **Quản lý dự án** | Theo chỉ dẫn | Lên kế hoạch chiến dịch | | **Mức lương kỳ vọng** | 15-25 triệu/tháng | 30-60 triệu/tháng | **Lưu ý**: JD nói "coi trọng năng lực thực tế hơn số năm" — đây là cơ hội cho ứng viên tự do (freelance pentester, bug bounty hunter) có portfolio mạnh dù chưa đi làm chính thức.

Chuẩn bị phỏng vấn

# Hướng Dẫn Phỏng Vấn — Chuyên Viên Red Team SHB ## Quy Trình Phỏng Vấn Dự Kiến ``` Vòng 1: Sàng lọc hồ sơ + HR Phone Screen ├── Xác nhận thông tin cơ bản ├── Hỏi về kinh nghiệm Red Team └── Đánh giá đạo đức nghề nghiệp Vòng 2: Technical Interview (Trực tiếp/Virtual) ├── Kiểm tra kiến thức kỹ thuật (30-60 phút) ├── Live coding/scripting (30-45 phút) └── Trình bày Portfolio / Walkthrough lab Vòng 3: Hands-on Lab / Challenge (Có thể có) ├── Máy chủ cần pentest trong thời gian giới hạn └── Mô phỏng Red Team engagement Vòng 4: Panel Interview với C-level (IT Director, CISO) ├── Báo cáo chiến dịch Red Team đã thực hiện ├── Kỹ năng trình bày trước ban lãnh đạo └── Văn hóa, đạo đức nghề nghiệp Vòng 5: Đàm phán & Offer ``` --- ## Câu Hỏi Phổ Biến Theo Từng Vòng ### Vòng 1 — HR Screen 1. "Giới thiệu ngắn về kinh nghiệm Red Team của bạn" 2. "Tại sao bạn muốn chuyển từ [current role] sang Red Team tại ngân hàng?" 3. "Bạn có chứng chỉ gì liên quan đến offensive security không?" 4. "Bạn hiểu gì về Rules of Engagement trong Red Team?" ### Vòng 2 — Technical Interview 1. **Web Security:** - "Mô tả quy trình kiểm thử một ứng dụng web từ đầu đến cuối" - "SQL injection khác gì NoSQL injection? Kể tên 3 cách khai thác" - "SSRF thường khai thác như thế nào trong môi trường cloud?" 2. **Network & AD:** - "Mô tả attack path từ unauthenticated → Domain Admin" - "Kerberoasting hoạt động như thế nào? Làm sao phát hiện?" - "Golden Ticket vs Silver Ticket — khác nhau gì, khi nào dùng?" 3. **Programming:** - "Viết script Python tự động quét lỗ hổng XSS trên danh sách URL" - "Giải thích cách viết một EDR bypass payload đơn giản" 4. **Red Team Operations:** - "Thiết kế một chiến dịch Red Team đánh vào ngân hàng" - "Làm sao duy trì persistence mà không bị phát hiện?" - "Phân biệt Red Team vs Penetration Testing thuần túy" ### Vòng 3 — Hands-on Lab - Một máy chủ Linux/Windows cần root/system access trong 2-3 giờ - Một ứng dụng web có nhiều lỗ hổng cần tìm và khai thác - Một mô phỏng phishing campaign (thiết kế email, đo lường click rate) ### Vòng 4 — Panel với C-level 1. "Nếu phát hiện lỗ hổng Critical trên hệ thống core banking, bạn sẽ xử lý thế nào?" 2. "Làm sao đo lường hiệu quả của một chiến dịch Red Team?" 3. "Bạn sẽ trình bày một lỗ hổng bảo mật như thế nào cho CEO không có nền tảng kỹ thuật?" 4. "Mô tả một tình huống bạn phát hiện lỗi bảo mật nhưng bị từ chối sửa. Bạn xử lý ra sao?" --- ## Tips Chuẩn Bị Quan Trọng ### Trước phỏng vấn - **Ôn kỹ Active Directory attacks** — đây là 80% pentest trong ngân hàng - **Setup lab cá nhân**: TryHackMe, HackTheBox, PentesterLab - **Chuẩn bị 2-3 case study** thực tế (đã tìm thấy lỗi gì, khai thác ra sao, impact) - **Đọc write-up OSCP/OSEP** — hiểu methodology chuẩn - **Nghiên cứu SHB**: Sản phẩm, hệ thống, quy mô (đọc website, báo cáo thường niên) ### Khi phỏng vấn - **Thể hiện tư duy tấn công** — không chỉ list tools, phải nói được WHY và HOW - **Dùng ngôn ngữ của hacker** — nhưng giải thích cho non-technical interviewer - **Đạo đức nghề nghiệp** — nhấn mạnh bạn là white-hat, tuân thủ luật pháp - **Portfolio** — GitHub, write-up CVE, HackTheBox profile, Bug Bounty profile ### Dress Code - **Form: Business casual** — ngành IT ngân hàng thường không yêu cầu suit nghiêm ngặt - Giao diện chỉnh chu, sạch sẽ, thể hiện sự chuyên nghiệp - Laptop mang theo để demo portfolio/code --- ## Câu Hỏi Ứng Viên Nên Hỏi Nhà Tuyển Dụng 1. "Team Red Team hiện tại có bao nhiêu người và cơ cấu như thế nào?" 2. "Hệ thống mục tiêu pentest chủ yếu là gì? (Web app nội bộ, core banking, mobile banking...)" 3. "Tần suất Red Team engagement như thế nào? (hàng quý, hàng năm, ad-hoc)?" 4. "Có budget để mua thêm tools/licenses không? (Burp Suite Pro, Cobalt Strike...)" 5. "Có hỗ trợ học chứng chỉ OSCP/OSEP không?"

Lộ trình ôn thi

# Lộ Trình Ôn Tập & Chuẩn Bị — 2 Tuần Intensive ## Giai Đoạn 1: Nền Tảng Kiến Thức (Ngày 1-3) ### Tài Liệu Bắt Buộc ``` 📚 OWASP Top 10 (2021) └── Đọc + lab thực hành: PortSwigger Web Academy 📚 CWE Top 25 └── Hiểu 25 lỗ hổng nghiêm trọng nhất 📚 MITRE ATT&CK Framework └── Đi theo từng technique, thực hành trên lab 📚 PTES (Penetration Testing Execution Standard) └── Nắm vững quy trình pentest chuẩn ``` ### Kiến thức cần ôn lại - [ ] TCP/IP networking (DNS, HTTP, SMB, LDAP) - [ ] Windows Active Directory architecture - [ ] Linux privilege escalation fundamentals - [ ] Cloud security basics (AWS IAM, S3 bucket misconfig) --- ## Giai Đoạn 2: Kỹ Năng Tấn Công (Ngày 4-8) ### Web Application Pentest ``` 🔴 SQL Injection ├── Boolean-based, Time-based, Union-based ├── SQLMap advanced usage └── Lab: PortSwigger Academy (SQL Injection lab) 🔴 XSS (Cross-Site Scripting) ├── Reflected, Stored, DOM-based ├── XSS filter bypass techniques └── Lab: Beef framework, XSS game Google 🔴 IDOR, SSRF, CSRF └── Thực hành trên DVWA, WebGoat 🔴 API Security ├── REST API testing ├── JWT attacks (alg none, kid injection) └── Lab: crAPI (Completely Restful API) ``` ### Network & Active Directory ``` 🔴 Information Gathering ├── Nmap (advanced scripts: -sC, -sV, -O) ├── Enum4linux, SMB enumeration └── DNS zone transfer, subdomain enum 🔴 Initial Access ├── Phishing (Gophish setup) ├── Credential spraying, brute force └── Exploit public-facing applications 🔴 Lateral Movement & Privilege Escalation ├── Windows: SeImpersonate, Potato family ├── Linux: SUID, sudo -l, cron jobs └── AD: Pass-the-Hash, Kerberoasting, AS-REP Roasting 🔴 Domain Persistence ├── Golden Ticket, Silver Ticket ├── DCSync attack └── Shadow Credentials ``` ### Hands-on Labs Recommended | Nền tảng | Độ khó | Thời gian | Ghi chú | |---|---|---|---| | **TryHackMe** | Dễ-Trung bình | 2-3 giờ/ngày | Red Team path, AD modules | | **HackTheBox** | Trung bình-Khó | 3-4 giờ/ngày | Active Directory labs | | **PortSwigger Academy** | Trung bình | 1-2 giờ/ngày | Web pentest chuyên sâu | | **Offensive Security Proving Grounds** | Trung bình-Khó | 3 giờ/ngày | Chuẩn OSCP-style | --- ## Giai Đoạn 3: Red Team Operations & Scripting (Ngày 9-12) ### Python Scripting cho Red Team ```python # Sample: Script quét lỗ hổng XSS trên nhiều URL import requests from urllib.parse import urljoin def scan_xss(base_url, payloads): results = [] for payload in payloads: test_url = base_url + f"?q={payload}" response = requests.get(test_url) if payload in response.text: results.append({"url": test_url, "payload": payload}) return results # Cần mở rộng: regex detection, blind XSS, CSRF token handling ``` ### C# cho EDR Bypass (Cơ bản) ```csharp // Process Injection đơn giản - hiểu concept // Thực tế cần obfuscation nâng cao ``` ### Red Team Campaign Design - [ ] Thiết kế attack chain từ recon → initial access → persistence → objective - [ ] Viết Rules of Engagement giả lập - [ ] Tạo phishing template (HTML/CSS) - [ ] Setup C2 infrastructure (Covenant, Metasploit) --- ## Giai Đoạn 4: Ôn Tập & Mock Interview (Ngày 13-14) ### Checklist tự đánh giá - [ ] Tự trả lời được: "Mô tả path từ user thường → Domain Admin" - [ ] Viết được script Python cơ bản trong 10-15 phút - [ ] Explain được cách bypass EDR (AMSI, ETW patch) - [ ] Có 2-3 case study pentest để kể - [ ] Hiểu được OWASP Top 10 + CWE Top 25 ### Tài liệu ôn tập cuối cùng ``` 📕 "The Hacker Playbook 3" — Peter Kim └── Thực tế nhất về Red Team operations 📕 "Red Team Field Manual" — Ben Clark └── Cheatsheet commands cho pentester 📕 "Web Application Hacker's Handbook" — Dafydd Stuttard └── Bib pentest chuyên sâu 📕 YouTube: S4VITC, IppSec, HackerSploit └── Walkthrough HTB machines ``` --- ## Chuẩn Bị Portfolio (CV/Profile) ### Phải có 1. **GitHub repository** — code snippet, tools đã viết, CTF write-ups 2. **CVE/CVSS score** — nếu có (kể cả low/moderate) 3. **HackTheBox/TryHackMe profile** — thứ hạng, badges 4. **Bug Bounty profile** — dù chỉ là low-hanging fruits 5. **Blog/Write-up** — viết về một lỗ hổng đã tìm thấy ### Trình bày CV - Section "Technical Skills" rõ ràng: Tools, Languages, Frameworks - Section "Experience/Projects" với metrics: đã pentest bao nhiêu ứng dụng, phát hiện bao nhiêu lỗi - Section "Certifications" — điểm cộng lớn

Tư vấn nghề nghiệp

# Lời Khuyên Sự Nghiệp — Red Team trong Ngành Ngân Hàng ## Lộ Trình Thăng Tiến ``` Chuyên viên Red Team (Entry) │ 0-2 năm kinh nghiệm │ Lương: 15-25 triệu/tháng ▼ Chuyên viên Red Team Senior │ 3-5 năm kinh nghiệm │ Lương: 30-50 triệu/tháng │ Chuyên sâu 1-2 lĩnh vực (AD, Web, Cloud) ▼ Team Lead Red Team / Security Researcher │ 5-7 năm kinh nghiệm │ Lương: 50-80 triệu/tháng │ Quản lý team, thiết kế chiến dịch ▼ CISO / Head of Offensive Security │ 8+ năm kinh nghiệm │ Lương: 100-200+ triệu/tháng │ Định hướng chiến lược an ninh mạng ``` --- ## Mức Lương Kỳ Vọng Chi Tiết | Cấp bậc | Kinh nghiệm | Lương tháng (VNĐ) | Notes | |---|---|---|---| | **Junior Red Team** | 0-2 năm | 15-25 triệu | Fresher có cert OSCP có thể đàm phán 20M+ | | **Mid-level Red Team** | 2-4 năm | 25-40 triệu | Có portfolio mạnh + CVE → 40-50M | | **Senior Red Team** | 4-6 năm | 45-65 triệu | Team lead tiềm năng + nhiều cert | | **Expert/Principal** | 6-10 năm | 80-120 triệu | Chuyên gia có CVE, speak at conf | | **CISO** | 10+ năm | 150-300 triệu | Quản lý toàn bộ security | **Lưu ý**: "Thương lượng" trong JD nghĩa là SHB sẵn sàng trả cao cho ứng viên giỏi. Đàm phán dựa trên: - Portfolio thực tế (CVE, Bug Bounty, CTF rank) - Chứng chỉ (OSCP có thể cộng 3-5 triệu, OSEP cộng 5-10 triệu) - Kỹ năng đặc thù (EDR bypass, cloud security) --- ## Kỹ Năng Cần Phát Triển Thêm ### Ngắn hạn (6-12 tháng) ``` 1. Lấy OSCP — nền tảng bắt buộc cho Red Team Việt Nam 2. Thành thạo 1 cloud platform (AWS hoặc Azure) + security 3. Viết blog/write-up — build personal brand 4. Tham gia CTF, Bug Bounty — tích lũy portfolio 5. Học C# để viết custom malware/EDR bypass tools ``` ### Trung hạn (1-3 năm) ``` 1. Lấy OSEP hoặc CRTO — chuyên sâu Red Team 2. Chuyên sâu 1 lĩnh vực: AD attacks, Web App, Cloud 3. Tham gia/hack at conference (Black Hat, DEF CON Vietnam) 4. Contribute open-source security tools 5. Xây dựng lab riêng để nghiên cứu ``` ### Dài hạn (3-5+ năm) ``` 1. Public CVE (High/Critical) — tăng giá trị thị trường 2. Speak at security conferences 3. Chuyên ngành hóa: Malware analysis, APT research 4. Mở công ty security consulting hoặc teaching 5. Transition sang management: Security Manager → CISO ``` --- ## Tại Sao Chọn Red Team Trong Ngân Hàng? ### Ưu điểm - **Môi trường phong phú**: Hệ thống đa dạng (core banking, mobile, web, cloud) - **Budget cao**: Ngân hàng đầu tư mạnh vào security tools (Burp Suite, Cobalt Strike, Nessus) - **Thử thách**: Hệ thống được bảo vệ bởi EDR, WAF, SIEM tiên tiến - **Ổn định**: Lương ổn định, ít áp lực kinh doanh trực tiếp - **Phúc lợi tốt**: BHXH, BHYT, thưởng hiệu suất (thường 1-3 tháng) ### Thách thức - **Quy trình phức tạp**: Nhiều approval, Rules of Engagement chặt chẽ - **Thay đổi chậm**: Hệ thống legacy khó thay đổi, lỗi cũ khó fix triệt để - **Cạnh tranh cao**: Ít vị trí Red Team, nhiều ứng viên giỏi - **Trách nhiệm pháp lý**: Vi phạm có thể ảnh hưởng đến hàng triệu khách hàng --- ## Lời Khuyên Từ Người Đi Trước > *"Đừng chỉ học tool, học cách nghĩ như attacker. Một pentester giỏi có thể dùng notepad để hack, kém thì có Burp Suite Pro cũng không tìm được gì."* > *"OSCP là bắt buộc, nhưng OSEP mới làm bạn nổi bật. Nếu muốn vào ngân hàng lớn, hãy có ít nhất 1 CVE public."* > *"Ngân hàng không cần bạn hack được họ, họ cần bạn giúp họ hiểu rủi ro và fix nó. Kỹ năng viết báo cáo quan trọng ngang kỹ năng kỹ thuật."* > *"Bắt đầu với Bug Bounty — không có gì dạy nhanh hơn việc hack hệ thống thật và bị reject khi PoC không work."*

Câu hỏi thường gặp

Em mới tốt nghiệp ngành CNTT, chưa có kinh nghiệm Red Team chính thức, có thể ứng tuyển vị trí này không?

Có thể, nhưng cần chuẩn bị kỹ. JD nói 'coi trọng năng lực thực tế hơn số năm' — đây là cơ hội cho bạn. Hãy xây dựng portfolio mạnh: HackTheBox/TryHackMe rank, bug bounty (dù low severity), write-up blog, GitHub project. Nếu có OSCP hoặc eJPT, cơ hội tăng đáng kể. Trong phỏng vấn, thể hiện tư duy tấn công — không cần nhiều năm kinh nghiệm nhưng phải show được kiến thức nền vững và khả năng tự học.

Mức lương thực tế cho vị trí này là bao nhiêu? Có thương lượng được không?

JD ghi 'Thương lượng' nghĩa là SHB linh hoạt. Dựa trên thị trường 2024: Junior (0-2 năm) khoảng 15-25 triệu, Senior (3-5 năm) khoảng 35-55 triệu. Với ứng viên có OSCP + portfolio mạnh + CVE, có thể đàm phán 40-50 triệu. Đừng ngại đề xuất mức mong muốn cao hơn nếu bạn có portfolio ấn tượng. Ngân hàng rất cần nhân sự Red Team giỏi nên sẵn sàng trả cao cho đúng người.

Trong ngành ngân hàng, Red Team khác gì so với Red Team trong công ty IT thông thường?

Khác biệt lớn ở 3 điểm: (1) Hệ thống phức tạp hơn nhiều — core banking (COBOL, mainframe legacy), multi-channel (web, mobile, ATM, call center), cloud hybrid; (2) Yêu cầu tuân thủ nghiêm ngặt hơn — PCI-DSS, ISO 27001, NIST, quy định NHNN, nên Rules of Engagement chặt chẽ; (3) Áp lực rủi ro cao hơn — một lỗi bảo mật có thể ảnh hưởng hàng triệu khách hàng và danh tiếng ngân hàng. Đổi lại, bạn được làm việc với hệ thống thách thức cao và budget cho tools/pro licences tốt hơn.

OSCP hay OSEP quan trọng hơn cho vị trí này?

Với vị trí này, OSCP là nền tảng bắt buộc (foundation), OSEP là điểm cộng lớn để vượt trội. Lý do: OSCP dạy methodology pentest chuẩn (recon → exploit → priv esc → loot), phù hợp với mô tả pentest đa nền tảng trong JD. OSEP dạy Red Team chuyên sâu (EDR bypass, advanced AD attacks, C2), phù hợp với mô phỏng APT/Red Teaming. Nếu phải chọn một, lấy OSCP trước. Nếu muốn đàm phán lương cao, có cả hai là ideal.

Làm sao để thể hiện kỹ năng viết báo cáo kỹ thuật trong phỏng vấn?

Đây là kỹ năng được nhấn mạnh trong JD: 'dịch lỗi kỹ thuật thành rủi ro kinh doanh cho Ban lãnh đạo'. Cách thể hiện: (1) Mang theo sample report (đã ẩn thông tin nhạy cảm) — thể hiện format chuẩn, độ chi tiết; (2) Trình bày một case study: 'Lỗi này có CVSS 9.1, impact là attacker có thể truy cập CSDL 10 triệu khách hàng, nguy cơ reputational damage + regulatory fine'; (3) Demo kỹ năng diễn đạt: dùng ngôn ngữ simple nhưng chính xác, không jargon quá nhiều. Viết blog là cách tốt nhất để luyện kỹ năng này.

EDR/AV bypass có cần thiết không? Tôi chưa có kinh nghiệm trong lĩnh vực này.

JD ghi là 'điểm cộng lớn', không bắt buộc. Tuy nhiên, trong môi trường ngân hàng, EDR/AV bypass là kỹ năng rất giá trị vì ngân hàng đầu tư mạnh vào CrowdStrike, SentinelOne, Carbon Black. Nếu chưa có, bạn có thể: (1) Học concept cơ bản trên YouTube/Medium (AMSI bypass, process injection); (2) Thực hành trên Checkpoint, Threat Insider labs; (3) Đọc MITRE ATT&CK về defense evasion. Không cần master ngay, nhưng hiểu concept và có thể discuss là đủ để gây ấn tượng.

Tôi đang làm Security Engineer (defensive), muốn chuyển sang Red Team. Cần chuẩn bị gì?

Chuyển từ defensive → offensive là path phổ biến và dễ hơn ngược lại. Nền tảng defensive (SIEM, incident response, threat hunting) giúp bạn hiểu cách Blue Team phát hiện — lợi thế lớn cho Red Team. Cần bổ sung: (1) Tư duy tấn công — thay vì 'làm sao phát hiện', hỏi 'làm sao khai thác/bypass'; (2) Hands-on lab — TryHackMe, HTB, OSCP; (3) Programming — Python, PowerShell; (4) Portfolio — show được offensive work (dù nhỏ). Nói trong phỏng vấn rằng kinh nghiệm Blue Team giúp bạn hiểu detection và viết báo cáo realistic hơn.

Ngày làm việc của Red Team trong ngân hàng như thế nào? Có phải hack liên tục không?

Không phải hack liên tục như phim hacker. Thực tế phân bổ: (1) Engagement phase (30-40% thời gian) — pentest/red team thực sự, thường theo dự án có timeline; (2) Research (20%) — nghiên cứu lỗ hổng mới, EDR bypass, hệ thống mới; (3) Reporting (25%) — viết báo cáo chi tiết, trình bày với dev/ops; (4) Meeting (15%) — status update, remediation consultation, planning. Giờ làm việc thường 8:30-17:30, có thể OT khi approaching deadline. Đặc thù ngân hàng: nhiều approval process, không tự ý pentest hệ thống production không được phê duyệt.