An ninh mạng (Cybersecurity)
Tại CLB RTIC, mảng An ninh mạng được thành lập với một triết lý rõ ràng:
"Xây dựng một cách an toàn ngay từ đầu" (Build Securely from the Start).
Chúng tôi tập trung vào việc tích hợp tư duy bảo mật vào chính vòng đời phát triển sản phẩm, từ đó tạo ra các ứng dụng và hệ thống vững chắc từ gốc rễ.
Để thực hiện sứ mệnh này một cách hiệu quả nhất, chúng tôi không hoạt động một mình.
Mảng An ninh mạng của RTIC tự hào được hợp tác chiến lược cùng CLB An toàn thông tin Khoa CNTT (ISC - Information Security Club).
Sự kết hợp này tạo ra một sức mạnh cộng hưởng độc đáo:
- RTIC: Tập trung vào việc áp dụng kiến thức an ninh mạng vào các dự án thực tế (DevSecOps), đảm bảo các sản phẩm về AI, Robotics, Phần mềm được phát triển an toàn.
- ISC: Là CLB chuyên sâu về An toàn thông tin, sở hữu chuyên môn cao trong các lĩnh vực tấn công và phòng thủ, CTF, nghiên cứu lỗ hổng.
Sự hợp tác này đảm bảo thành viên RTIC không chỉ học lý thuyết mà còn được cọ xát, học hỏi và làm việc cùng những chuyên gia an ninh mạng hàng đầu trong cộng đồng sinh viên.
1. Mục tiêu của Mảng An ninh mạng
Dựa trên sự hợp tác chiến lược với ISC, mảng An ninh mạng của RTIC đặt ra các mục tiêu:
- Trang bị kiến thức phòng thủ ứng dụng: Cung cấp cho thành viên, đặc biệt là các lập trình viên tương lai, kiến thức về các lỗ hổng phổ biến (OWASP Top 10) và cách phòng chống chúng trong quá trình phát triển phần mềm.
- Xây dựng "Tư duy An ninh" (Security Mindset): Rèn luyện cho mọi thành viên RTIC khả năng nhận diện rủi ro bảo mật tiềm ẩn trong sản phẩm mình tạo ra.
- Tận dụng sức mạnh cộng đồng: Tổ chức các buổi workshop, sinh hoạt học thuật và các sự kiện chung với ISC, tạo cơ hội cho thành viên RTIC được học hỏi trực tiếp từ các chuyên gia CTF và an ninh mạng của CLB bạn.
- Tích hợp an ninh vào vòng đời sản phẩm (DevSecOps): Trở thành cầu nối giữa các nhóm phát triển của RTIC và các chuyên gia từ ISC, thực hiện kiểm thử và đánh giá bảo mật cho chính các sản phẩm "Made by RTIC".
2. Lộ trình học tập và Hoạt động
Lộ trình học tập được thiết kế để tận dụng tối đa sự hợp tác với ISC.
a. Giai đoạn Nền tảng (Dành cho sinh viên năm 1-2)
-
Chuỗi Workshop "Secure Coding 101" (Hợp tác cùng ISC):
- Nội dung: Giới thiệu các lỗ hổng web kinh điển (SQL Injection, XSS) dưới góc nhìn của lập trình viên. Các buổi học sẽ được đồng tổ chức hoặc có sự tham gia chia sẻ từ các thành viên giàu kinh nghiệm của ISC để minh họa các kỹ thuật tấn công thực tế.
- Mục tiêu: Giúp thành viên RTIC hiểu rõ cách hacker khai thác lỗ hổng và cách viết mã để phòng tránh ngay từ đầu.
-
Hoạt động "CTF Try-out" (Cùng ISC):
- Nội dung: Tham gia các buổi training và giải các thử thách CTF cơ bản do ISC tổ chức. Thành viên RTIC được khuyến khích lập đội chung với thành viên ISC để học hỏi phương pháp tư duy và kỹ năng giải quyết vấn đề.
- Mục tiêu: Trải nghiệm không khí của các cuộc thi an ninh mạng, làm quen với các dạng bài và công cụ cơ bản trong một môi trường thân thiện.
b. Giai đoạn Chuyên sâu (Dành cho sinh viên năm 2-4)
-
Sinh hoạt học thuật - "Joint Tech-Talks":
- Nội dung: Tổ chức các buổi sinh hoạt chuyên đề chung giữa hai CLB. RTIC có thể trình bày về việc áp dụng AI trong việc phát hiện bất thường, trong khi ISC có thể phân tích sâu về một kỹ thuật tấn công mới.
- Mục tiêu: Thúc đẩy sự trao đổi kiến thức đa chiều, kết hợp giữa phát triển sản phẩm và an ninh chuyên sâu.
-
Dự án thực chiến - "Internal Pentest Program":
- Nội dung: Đây là hoạt động hợp tác đỉnh cao. Các sản phẩm do Tổ Nghiên Cứu & Phát Triển của RTIC hoàn thiện sẽ trở thành mục tiêu cho một cuộc kiểm thử bảo mật nội bộ.
- Red Team (Đội tấn công): Bao gồm các chuyên gia từ ISC và thành viên nòng cốt của mảng An ninh mạng RTIC.
- Blue Team (Đội phòng thủ): Chính là nhóm phát triển sản phẩm của RTIC.
- Mục tiêu: Tạo ra một quy trình DevSecOps thực tế. Đội phát triển được nhận phản hồi bảo mật chất lượng cao, còn đội tấn công được thực hành trên các hệ thống thực tế.
- Nội dung: Đây là hoạt động hợp tác đỉnh cao. Các sản phẩm do Tổ Nghiên Cứu & Phát Triển của RTIC hoàn thiện sẽ trở thành mục tiêu cho một cuộc kiểm thử bảo mật nội bộ.
3. Tài nguyên và Công cụ
- Hệ sinh thái chung: Tận dụng các kênh trao đổi, nền tảng và phòng lab của cả RTIC và ISC.
- Nền tảng học tập & thực hành: TryHackMe, Hack The Box, PortSwigger Academy, và các nền tảng CTF do chính ISC xây dựng hoặc đề xuất.
- Bộ công cụ (Toolkit): Kali Linux, Burp Suite, Nmap, OWASP ZAP, và các công cụ chuyên dụng khác được giới thiệu bởi ISC.
4. Cơ cấu và Liên hệ
- Mảng An ninh mạng là một nhóm chuyên môn thuộc Ban Học Thuật của RTIC.
- Mảng duy trì một mối quan hệ hợp tác đặc biệt và thường xuyên với CLB An toàn thông tin (ISC). Các hoạt động chung sẽ được lên kế hoạch và thống nhất bởi Ban Chủ nhiệm của hai CLB.
- Hoạt động được điều phối bởi Trưởng ban Học Thuật RTIC (Trần Minh Khánh - 23133035), và hoạt động như một cầu nối chính thức đến Ban Chủ nhiệm của ISC.
Với định hướng này, mảng An ninh mạng (Cybersecurity) của RTIC không chỉ mang lại kiến thức vững chắc mà còn giúp thành viên phát triển kỹ năng thực chiến, sẵn sàng cho các dự án và thử thách trong ngành.