messenger

Chat Mess

zalo

Chat Zalo

phone

Phone

Gọi ngay: 097.5151.777
messenger

Facebook

messenger

TikTok

Hỗ trợ tư vấn: 097.5151.777
VPBank

CVCC Bảo mật CNTT - TA192

Khối Công nghệ thông tin
NHÂN VIÊN

Mô tả công việc

1. Vulnerability assessment and penetration testing program and responsible for the design and performance of application security robustness tests. - Deliver the annual penetration testing schedule and conducting awareness campaigns to ensure proper budgeting by business lines for annual tests - Operate a hands-on role involving penetration testing and vulnerability assessment activities of complex applications, operating systems, wired and wireless networks, and mobile applications/devices - Automate penetration and other security testing on networks, systems and applications - Consult with application developers, systems administrators, and management to demonstrate security testing results, explain the threat presented by the results, and consult on remediation - Communicate security issues to a wide variety of internal and external “customers” to include technical teams, executives, risk groups, vendors and regulators - Trial attacks & incident response - Research/develop new security standards/technique guidle and apply to bank - Operate security technologies, control security changes/ensuring the safety of information technology systems 2. Implement security program to security development Participation with key technicque in security projects, security solutions requires a very high of expertise skill 3. Develop/implement/apply security by design to Projects - Develop/implement/trainning/apply security by design framework to Bank - Security controls end to end for projects/CR make sure new services & system is safe before golive - Supporting Vendor Security activities to ensure 3rd‐party software and development meets Bank security standards.

Phân tích kỹ năng cần có

## Phân tích Kỹ năng cho vị trí CVCC Bảo mật CNTT - VPBank ### 🔐 Tổng quan vị trí Đây là vị trí **senior-level** trong lĩnh vực Security Testing/Application Security tại VPBank. Yêu cầu khả năng thực hiện penetration testing, vulnerability assessment và triển khai security by design cho các dự án ngân hàng. --- ### 💻 Hard Skills bắt buộc #### 1. Security Testing & Penetration Testing | Kỹ năng | Mức độ | Ghi chú | |---------|--------|---------| | Penetration Testing (Web, API, Mobile) | Chuyên sâu | Thực hiện pentest cho ứng dụng phức tạp | | Vulnerability Assessment | Chuyên sâu | Nhận diện, đánh giá lỗ hổng bảo mật | | Network Penetration Testing | Trung bình-Cao | Wired & wireless networks | | Mobile Application Testing | Trung bình-Cao | Android, iOS | | Source Code Review | Trung bình | Review code để tìm lỗ hổng | #### 2. Security Tools & Technologies - **Scanning:** Nessus, OpenVAS, Qualys - **Penetration Testing:** Burp Suite Pro, Metasploit, Kali Linux - **Web Security:** OWASP ZAP, Acunetix - **Network:** Wireshark, Nmap, Netcat - **Mobile:** MobSF, APKTool, Frida - **CI/CD Security:** SonarQube, Snyk, Checkmarx #### 3. Security Frameworks & Standards - **OWASP Top 10/Top 10 Mobile** - **PCI-DSS** (bắt buộc vì ngân hàng) - **ISO 27001** - **NIST Cybersecurity Framework** - **Security by Design principles** #### 4. Technical Knowledge | Lĩnh vực | Yêu cầu | |----------|---------| | Networking (TCP/IP, HTTP/S, DNS) | Chuyên sâu | | Web Application Architecture | Chuyên sâu | | Database Security | Trung bình | | Cloud Security (AWS/GCP/Azure) | Trung bình | | DevSecOps | Trung bình-Cao | --- ### 📜 Chứng chỉ được khuyến khích | Chứng chỉ | Giá trị | Ưu tiên | |-----------|---------|---------| | **OSCP** (Offensive Security) | Rất cao | ⭐⭐⭐ | | **CEH** (EC-Council) | Cao | ⭐⭐ | | **CISSP** | Rất cao (management) | ⭐⭐ | | **CISM** | Cao (management) | ⭐⭐ | | **OSCP** | Rất cao (technical) | ⭐⭐⭐ | | **eWPT** (eLearnSecurity) | Cao | ⭐⭐ | | **GWAPT** (SANS/GIAC) | Cao | ⭐⭐ | | **CompTIA PenTest+** | Trung bình | ⭐ | **Gợi ý:** Với vị trí này, **OSCP** hoặc **CEH** là chứng chỉ tối thiểu nên có. OSCP được đánh giá cao hơn trong ngành security testing. --- ### 🧠 Soft Skills quan trọng 1. **Kỹ năng giao tiếp** - Diễn đạt vấn đề bảo mật cho cả technical team và non-technical stakeholders (executives, regulators) 2. **Kỹ năng viết báo cáo** - Trình bày kết quả pentest rõ ràng, có action plan 3. **Quản lý thời gian** - Hoàn thành pentest schedule đúng deadline 4. **Tư duy phản biện** - Phân tích threat model, đánh giá risk 5. **Cập nhật liên tục** - Theo dõi CVE mới, attack vectors mới --- ### 📊 So sánh: Ứng viên Junior vs Senior vs Expert | Tiêu chí | Junior (0-2 năm) | Senior (3-5 năm) | Expert (5+ năm) | |----------|------------------|------------------|------------------| | Pentest scope | Web app cơ bản | Full-stack apps | Complex systems, cloud | | Automation | Sử dụng tool có sẵn | Viết script đơn giản | Tự xây tool framework | | Reporting | Template có sẵn | Tự thiết kế report | Advisory-level report | | Remediation | Follow guide | Tư vấn solution | Strategic recommendations | | Team size | 1-2 người | 3-5 người | Lead team | Vị trí này yêu cầu **Senior trở lên** (3-5 năm kinh nghiệm security testing).

Chuẩn bị phỏng vấn

## Hướng dẫn Phỏng vấn VPBank - CVCC Bảo mật CNTT ### 📋 Quy trình phỏng vấn dự kiến **Thông thường 3-4 vòng:** | Vòng | Nội dung | Thời gian | |------|----------|----------| | Vòng 1 | HR - Đánh giá chung, salary expectation | 30-45 phút | | Vòng 2 | Technical - Kiểm tra kỹ năng chuyên môn | 60-90 phút | | Vòng 3 | Technical Lead/Manager - Case study/Practical test | 60-120 phút | | Vòng 4 | Cấp cao - Cultural fit, final round | 30-45 phút | --- ### 🔍 Câu hỏi thường gặp theo từng vòng #### Vòng 1: HR Interview 1. **Giới thiệu bản thân và kinh nghiệm security testing của bạn** - Tips: Tập trung vào projects pentest, số lượng ứng dụng đã test, loại hình (web, mobile, API) 2. **Tại sao bạn muốn chuyển sang VPBank?** - Tips: Nghiên cứu trước về VPBank, fintech banking, digital transformation 3. **Mức lương kỳ vọng?** - Tips: Vị trí senior security testing tại VPBank: **30-50 triệu/tháng** tùy kinh nghiệm 4. **Bạn biết gì về an ninh mạng ngân hàng?** - Tips: PCI-DSS, circular 19/2017/TT-NHNN, các quy định bảo mật ngân hàng --- #### Vòng 2: Technical Interview **Câu hỏi OWASP Top 10 (BẮT BUỘC):** 1. SQL Injection - các loại, cách exploit, cách prevent? 2. XSS - reflected, stored, DOM-based - khác nhau thế nào? 3. CSRF vs SSRF - giải thích và cách phòng chống? 4. Broken Authentication - các lỗi phổ biến và solutions? 5. Sensitive Data Exposure - ngân hàng cần bảo vệ những gì? **Câu hỏi Penetration Testing:** 1. Quy trình pentest một ứng dụng web banking từ đầu đến cuối? 2. Làm thế nào để bypass WAF (Web Application Firewall)? 3. Kể tên các burp suite extensions bạn hay dùng? 4. Khác nhau giữa black-box, grey-box, white-box testing? 5. Làm sao test API security? (REST, SOAP) **Câu hỏi Vulnerability Assessment:** 1. Làm thế nào để prioritize vulnerabilities theo risk? 2. CVSS score được tính như thế nào? 3. Làm sao phân biệt false positive vs real vulnerability? --- #### Vòng 3: Technical Practical/Case Study **Lab/Practical Test có thể gặp:** - CTF (Capture The Flag) - giải bài web hacking - Demo pentest trên lab có sẵn - Code review - tìm lỗ hổng trong code snippet - Security architecture review - đánh giá thiết kế hệ thống **Case study có thể gặp:** 1. "Một ứng dụng mobile banking có chức năng chuyển tiền bị lỗi. Bạn sẽ test security như thế nào?" 2. "Dev team muốn implement OAuth 2.0. Bạn có recommendations gì về security?" 3. "VPBank muốn triển khai Security by Design. Framework của bạn gồm những gì?" --- #### Vòng 4: Manager/C-level Interview 1. **Bạn sẽ xây dựng penetration testing program như thế nào cho VPBank?** - Chuẩn bị: Lên kế hoạch annual schedule, budgeting, team structure 2. **Làm sao để manage stakeholders khi bạn phát hiện lỗ hổng nghiêm trọng?** - Tips: Communication skills, risk escalation framework 3. **Xu hướng bảo mật ngân hàng 2024-2025?** - Chuẩn bị: AI/ML in security, Zero Trust, DevSecOps, Cloud security 4. **Bạn có câu hỏi gì cho chúng tôi?** - Nên hỏi: Team size, current security challenges, career path --- ### 👔 Dress Code - **Business casual** - áo sơ mi, quần âu (nam) / áo sơ mi, chân váy (nữ) - Không cần suit lịch sự quá - VPBank văn hóa khá open - IT/Tech company vibe ### ✅ Checklist chuẩn bị - [ ] Ôn OWASP Top 10 2021 - [ ] Thực hành trên HackTheBox/VulnHub - [ ] Chuẩn bị portfolio các pentest đã làm (đã được phép disclose) - [ ] Nghiên cứu VPBank và các sản phẩm digital (VPBank NEO, EZPay) - [ ] Hiểu về PCI-DSS compliance - [ ] Cập nhật CVE mới nhất 2024 - [ ] Chuẩn bị laptop nếu có practical test - [ ] Research về VPBank security team trên LinkedIn

Lộ trình ôn thi

## Lộ trình Ôn thi & Chuẩn bị (2-4 tuần) ### 📚 Kiến thức Nền tảng cần ôn #### Tuần 1: OWASP & Web Security Fundamentals **Tài liệu bắt buộc:** 1. **OWASP Top 10 2021** - Đọc chi tiết từng mục - https://owasp.org/Top10/ - Hiểu: Tên lỗ hổng, cách exploit, impact, prevention 2. **OWASP Testing Guide v4** - https://owasp.org/www-project-web-security-testing-guide/ - Framework cho penetration testing 3. **PortSwigger Web Security Academy** (Miễn phí) - https://portswigger.net/web-security - Học qua lab thực hành **Thực hành:** - DVWA (Damn Vulnerable Web Application) - OWASP WebGoat - Juice Shop --- #### Tuần 2: Penetration Testing Methodology **Framework chuẩn:** 1. **PTES (Penetration Testing Execution Standard)** - Pre-engagement → Intelligence Gathering → Threat Modeling → Vulnerability Analysis → Exploitation → Post Exploitation → Reporting 2. **OWASP Testing Checklist:** - Information Gathering - Configuration & Deploy Management Testing - Identity Management Testing - Authentication Testing - Authorization Testing - Session Management Testing - Input Validation Testing - Error Handling Testing - Cryptography Testing - Business Logic Testing - Client-side Testing **Lab thực hành:** - **HackTheBox** - machines từ easy → medium - **TryHackMe** - rooms: Web Fundamentals, Pentesting, OWASP Top 10 - **PentesterLab** - Pro badge exercises --- #### Tuần 3: Security Tools & Automation **Công cụ cần thành thạo:** | Tool | Mục đích | Resource | |------|----------|----------| | Burp Suite Pro | Web testing | PortSwigger Academy | | Nmap | Network scanning | nmap.org documentation | | Metasploit | Exploitation | Metasploit Unleashed | | SQLMap | SQL Injection | sqlmap wiki | | OWASP ZAP | Automated scanner | owasp.org | | Nikto | Web server scanner | github | | Gobuster/Dirb | Directory brute force | wordlists | **Automation:** - Python scripting cho security testing - Bash scripting cho automation - Thư viện: requests, BeautifulSoup, scapy --- #### Tuần 4: Banking Security & Compliance **Ngân hàng cụ thể:** 1. **PCI-DSS v4.0** - 12 requirements chính - Tập trung: Requirement 6 (Develop and maintain secure systems), Requirement 11 (Test security systems) - Resource: pcisecuritystandards.org 2. **Circular 19/2017/TT-NHNN** - Quy định về bảo mật trong thanh toán điện tử - Các yêu cầu kỹ thuật cho ngân hàng 3. **Thông tư 35/2016/TT-NHNN** - An toàn thông tin cho ngân hàng 4. **Vietnam Cybersecurity Law 2018** - Các điều khoản liên quan đến fintech/banking **Research VPBank:** - Tìm hiểu sản phẩm: VPBank NEO, VPBank digital, VPBank credit card - Đọc báo cáo annual report về IT security - Follow VPBank trên LinkedIn, news --- ### 📖 Tài liệu tham khảo bổ sung **Sách khuyến nghị:** 1. "The Web Application Hacker's Handbook" - Dafydd Stuttard 2. "Penetration Testing: A Hands-On Introduction" - Georgia Weidman 3. "OWASP Testing Guide v4" - Free download 4. "Security Engineering" - Ross Anderson 5. "Real-World Bug Hunting" - Peter Yaworski **YouTube Channels:** - NetworkChuck (basics) - John Hammond (CTFs, tools) - LiveOverflow (advanced web security) - InsiderPHD (bug bounty tips) **Communities:** - Vietnam: WhiteHat Forum, Vietnam Information Security Association - International: Reddit netsec, Twitter #infosec, Discord servers --- ### 📅 Lộ trình 2 tuần gấp rút | Ngày | Nội dung | |------|----------| | Day 1-2 | OWASP Top 10 theory | | Day 3-4 | PortSwigger Web Academy labs | | Day 5-6 | Pentest methodology + tools | | Day 7 | HackTheBox easy machines | | Day 8-9 | SQL Injection, XSS deep dive | | Day 10 | API security testing | | Day 11 | PCI-DSS fundamentals | | Day 12 | VPBank research | | Day 13 | Mock interview + practical prep | | Day 14 | Review all notes + rest |

Tư vấn nghề nghiệp

## Lời khuyên Sự nghiệp cho Security Engineer tại VPBank ### 🚀 Lộ trình Thăng tiến ``` Junior Security Engineer (0-2 năm) ↓ Security Engineer / Penetration Tester (2-4 năm) ↓ Senior Security Engineer / Team Lead (4-6 năm) ↓ Security Architect / Security Manager (6-10 năm) ↓ CISO / Head of Security (10+ năm) ``` **Vị trí này (CVCC) tương đương Senior Engineer** - bạn đang ở bước nhảy quan trọng để: - Lead penetration testing projects - Mentor junior members - Định hướng security strategy --- ### 💰 Mức lương Kỳ vọng theo cấp bậc (VPBank/TP.HCM/Hà Nội) | Level | Kinh nghiệm | Lương tháng (VND) | |-------|-------------|-------------------| | Junior | 0-2 năm | 15-25 triệu | | Mid-level | 2-4 năm | 25-40 triệu | | Senior (bạn đang ứng tuyển) | 4-6 năm | 40-60 triệu | | Lead/Manager | 6-8 năm | 60-90 triệu | | Expert/CISO | 10+ năm | 100-200+ triệu | **Thêm:** - Thưởng performance: 1-3 tháng lương - Bảo hiểm cao cấp (VPBank care) - Phụ cấp khác: ăn trưa, điện thoại, parking - Review lương: 1 lần/năm **Thương lượng:** Với OSCP/CEH + 4+ năm kinh nghiệm, bạn có thể yêu cầu **45-55 triệu** hoặc cao hơn. --- ### 📈 Kỹ năng cần Phát triển thêm **Ngắn hạn (6-12 tháng):** 1. **Automation & Scripting** - Python for security automation - CI/CD security integration - Security-as-Code 2. **Cloud Security** - AWS/Azure security certifications - Cloud pentesting - Container security (Docker, Kubernetes) 3. **Threat Intelligence** - MITRE ATT&CK framework - Threat hunting - SIEM/SOAR **Dài hạn (1-3 năm):** 1. **Security Architecture** - Zero Trust Architecture - Security design patterns - Enterprise security frameworks 2. **Management/Leadership** - Team management - Security governance - Risk management - Vendor management 3. **Chứng chỉ nâng cao** - CISSP (nếu muốn đi management) - OSCE3 / OSEP (nếu muốn chuyên sâu) - CISM --- ### 🏦 VPBank - Culture & Expectations **Ưu điểm:** - Môi trường fintech-forward, chấp nhận đổi mới - Digital transformation đang active - Lương cạnh tranh so với thị trường - Đào tạo nội bộ tốt **Thách thức:** - Áp lực timeline (banking = deadline-driven) - Compliance-heavy (nhiều quy định phải tuân thủ) - Change management khó khăn - Legacy systems vẫn còn nhiều **Tips:** - Kết nối với team members trên LinkedIn trước khi apply - VPBank đánh giá cao "self-starter" - người chủ động - Sẵn sàng present/pitch security findings cho board --- ### 🔄 Next Steps sau khi nhận offer 1. **Học hỏi legacy systems** - Hiểu hệ thống core banking, core payment 2. **Meet stakeholders** - Dev team, risk team, compliance team 3. **Document current state** - Security posture hiện tại 4. **Identify quick wins** - Lỗ hổng dễ fix trước 5. **Build roadmap** - Long-term security improvement plan --- ### ⚠️ Cảnh báo thực tế - Ngân hàng = nhiều "red tape" - sửa lỗi cần approval nhiều tầng - Vendor security = đau đầu (third-party risk) - On-call/incident response có thể xảy ra ban đêm/cuối tuần - Bảo mật ngân hàng Việt Nam đang trong giai đoạn "catching up" - nhiều cơ hội nhưng cũng nhiều thách thức

Câu hỏi thường gặp

Mình có 3 năm kinh nghiệm pentest ở công ty security, muốn chuyển sang ngân hàng VPBank thì có phù hợp không?

Hoàn toàn phù hợp! 3 năm kinh nghiệm pentest + CVCC level là cực kỳ matching. Bạn chỉ cần show được: (1) Portfolio pentest thực tế, (2) Hiểu về banking compliance (PCI-DSS), (3) Kỹ năng communicate security findings cho non-technical stakeholders. Ngân hàng đánh giá cao ứng viên có kinh nghiệm security testing thực tế, không cần phải có banking background trước đó.

Mức lương cho vị trí này là bao nhiêu? Thương lượng như thế nào?

Với vị trí CVCC Bảo mật CNTT tại VPBank, mức lương Senior level thường dao động 35-55 triệu/tháng tùy kinh nghiệm và interview performance. Để thương lượng hiệu quả: (1) Research market rate trên Glassdoor/LinkedIn, (2) Đề cập chứng chỉ (OSCP/CEH) như điểm cộng, (3) Nêu rõ achievements cụ thể (số lượng pentest đã làm, lỗ hổng critical đã tìm ra), (4) Không nên đề cập salary quá sớm - để HR hỏi trước.

Sinh viên mới ra trường ngành An toàn thông tin, chưa có kinh nghiệm, có nên ứng tuyển vị trí này không?

Thành thật mà nói, vị trí CVCC yêu cầu Senior level (thường 4-5 năm kinh nghiệm). Nếu bạn mới ra trường, đây là level quá cao. Tuy nhiên, bạn có thể: (1) Apply và thử vận may - đôi khi VPBank cần người gấp, (2) Tìm các vị trí Junior Security Engineer tại VPBank hoặc công ty security khác trước, (3) Trong thời gian chờ, lấy chứng chỉ OSCP/CEH và thực hành HackTheBox để build portfolio. Sau 2-3 năm, bạn sẽ ready cho CVCC.

Kỹ năng nào quan trọng nhất khi phỏng vấn vị trí này?

Top 3 kỹ năng được đánh giá cao: (1) OWASP Top 10 - bạn PHẢI biết sâu, không chỉ đọc lý thuyết, phải thực hành exploit được, (2) Penetration testing methodology - biết quy trình từ recon → exploit → post-exploit → reporting, (3) Communication - bạn cần explain security issues cho devs, management, regulators. Technical giỏi mà không diễn đạt được cũng không qua.

Làm Security Engineer tại ngân hàng khác gì so với công ty security?

Khác biệt chính: (1) Bạn sẽ test internal systems nhiều hơn, không phải của khách hàng bên ngoài, (2) Compliance/Regulation rất nặng - phải tuân thủ PCI-DSS, circular NHNN, luật an ninh mạng, (3) Change management chậm hơn - fix lỗi cần nhiều approval, (4) Breadth vs Depth - bạn cần biết nhiều thứ (cloud, network, app, infra) hơn là chuyên sâu một lĩnh vực, (5) On-call incident response - có thể phải xử lý security incident vào lúc không bình thường.

Có cần chứng chỉ security không? OSCP hay CEH tốt hơn?

Chứng chỉ không bắt buộc nhưng là điểm cộng lớn. OSCP vs CEH: (1) OSCP được đánh giá cao hơn trong penetration testing vì exam hands-on thực tế, (2) CEH thiên về theory và đa dạng topics, phù hợp nếu bạn muốn hiểu rộng, (3) Với VPBank - OSCP sẽ giúp bạn nổi bật hơn trong technical interview. Gợi ý: Nếu budget/time cho phép, lấy cả hai. Nếu chỉ một, chọn OSCP.

Work-life balance trong security team ngân hàng như thế nào?

Trung thực: Không bằng startup/tech company. Ngân hàng = deadline-driven + compliance-heavy. Realistic: (1) Giờ làm thường 8:00-17:30 hoặc 9:00-18:00, nhưng có thể OT khi có pentest deadline hoặc incident, (2) Incident response có thể cần on-call 24/7 (luân phiên team), (3) Audit season (Q4 thường) = bận hơn bình thường, (4) Bù lại: job security cao, lương ổn định, benefits tốt. Đánh đổi: stability vs flexibility.

Sau 2-3 năm ở VPBank, mình có thể chuyển sang đâu?

Rất nhiều options: (1) Security Manager/CISO tại bank khác (Techcombank, Vietinbank đang expand digital), (2) Security Lead tại fintech (VNPay, MoMo, ZaloPay - lương cao hơn nhưng áp lực hơn), (3) Security Consultant - advisory cho Big 4 (Deloitte, PwC) hoặc security vendor, (4) Product Security tại tech company (Grab, SEA, Shopee), (5) Go abroad - Singapore/HK banks pay 2-3x Vietnam. VPBank là bước đệm tốt cho career trajectory.