Security365

Lộ trình trở thành Drill Master cùng Security365

by

IT-PRO
in

Trong ngành an ninh mạng, ai cũng biết đến Red Teamer, Blue Teamer hay SOC Analyst. Nhưng có một vai trò ít được nhắc đến mà lại đóng vai trò then chốt trong việc nâng cao năng lực phòng thủ của tổ chức — đó là Drill Master: người thiết kế, tổ chức và dẫn dắt các cuộc diễn tập an ninh mạng.

Drill Master không chỉ là người viết kịch bản — mà là người hiểu cả tấn công lẫn phòng thủ, nắm vững quy trình ứng phó sự cố, có khả năng điều phối đa phòng ban, và biết cách biến một buổi diễn tập thành bài học thay đổi hành vi của cả tổ chức.

Bài viết này vạch ra lộ trình từng bước để trở thành Drill Master chuyên nghiệp — kèm theo các chương trình đào tạo và chứng chỉ mà Security365 cung cấp tại mỗi giai đoạn.

Drill Master là ai?

Drill Master (hay Exercise Planner/Coordinator) là chuyên gia chịu trách nhiệm toàn bộ vòng đời của một cuộc diễn tập an ninh mạng:

Trước diễn tập: Phân tích rủi ro tổ chức, nghiên cứu threat intelligence, thiết kế kịch bản dựa trên MITRE ATT&CK, xây dựng tiêu chí đánh giá, chuẩn bị hạ tầng lab, briefing đội điều phối.

Trong diễn tập: Dẫn dắt buổi diễn tập với vai trò Facilitator hoặc White Team Lead — inject tình huống, điều phối nhịp độ, đảm bảo mọi người tham gia đúng vai trò, xử lý tình huống phát sinh.

Sau diễn tập: Tổng hợp kết quả, viết After-Action Report, trình bày findings cho ban lãnh đạo, đề xuất lộ trình cải thiện, và theo dõi việc thực hiện các khuyến nghị.

Drill Master cần kết hợp bốn nhóm năng lực: kỹ thuật an ninh mạng (hiểu cả Red lẫn Blue), quản lý dự án (lên kế hoạch, phối hợp, kiểm soát), truyền thông (dẫn dắt thảo luận, viết báo cáo, trình bày cho C-level), và kiến thức ngành (hiểu đặc thù hệ thống và quy định của ngành mà tổ chức hoạt động).

Lộ trình 5 cấp độ

Cấp độ 1 — Foundation: Nền tảng An ninh mạng (0–6 tháng)

Mục tiêu: Xây dựng kiến thức nền tảng về an ninh mạng, hiểu cách hệ thống hoạt động và cách chúng bị tấn công.

Kiến thức cần có:

  • Mạng máy tính: TCP/IP, DNS, HTTP/HTTPS, firewall, VPN, network segmentation
  • Hệ điều hành: Windows Server, Active Directory, Linux administration
  • An ninh mạng cơ bản: mô hình CIA, mã hóa, xác thực, các loại tấn công phổ biến
  • Hiểu biết về MITRE ATT&CK framework ở mức tổng quan

Chứng chỉ khuyến nghị:

  • CompTIA Security+
  • CompTIA Network+
  • (ISC)² CC (Certified in Cybersecurity)

Thực hành:

  • Tự dựng lab cơ bản: Windows Server + Active Directory + Kali Linux
  • Hoàn thành learning path “Pre Security” và “SOC Level 1” trên TryHackMe
  • Thực hành các bài tập cơ bản trên CyberDefenders

Chương trình Security365: “Cybersecurity Foundation for Drill Practitioners” — khóa học 5 ngày phủ nền tảng mạng, hệ điều hành và an ninh mạng, thiết kế riêng cho những người định hướng vào lĩnh vực diễn tập.

Cấp độ 2 — Practitioner: Thực hành Offensive & Defensive (6–18 tháng)

Mục tiêu: Xây dựng kỹ năng thực hành cả tấn công lẫn phòng thủ — Drill Master cần hiểu cả hai phía để thiết kế kịch bản sát thực tế.

Offensive (Red Team Basics):

  • Penetration testing methodology (OWASP, PTES)
  • Sử dụng Kali Linux, Metasploit, Nmap, Burp Suite
  • Kỹ thuật tấn công Active Directory: Kerberoasting, Pass-the-Hash, DCSync
  • Phishing và social engineering
  • Viết báo cáo penetration test

Defensive (Blue Team Basics):

  • Vận hành SIEM: Wazuh, Splunk hoặc Elastic
  • Phân tích log: Windows Event Log, Sysmon, firewall log
  • Incident Response theo NIST SP 800-61
  • Threat hunting cơ bản
  • Digital forensics cơ bản

Chứng chỉ khuyến nghị:

  • Offensive: CEH (Certified Ethical Hacker), eJPT (eLearnSecurity Junior Penetration Tester), hoặc HTB CPTS
  • Defensive: BTL1 (Blue Team Level 1), CCD (Certified CyberDefender), hoặc GCIH (GIAC Certified Incident Handler)

Thực hành:

  • Dựng SOC lab với Wazuh + Clear NDR + Kali + Metasploitable (theo bài hướng dẫn trước)
  • Hoàn thành 50+ machines trên Hack The Box hoặc 100+ rooms trên TryHackMe
  • Thực hành 20+ challenges trên CyberDefenders
  • Tham gia ít nhất 2 cuộc thi CTF

Chương trình Security365:

  • “Red Team Fundamentals” — 5 ngày thực hành tấn công từ reconnaissance đến post-exploitation
  • “Blue Team & SOC Operations” — 5 ngày vận hành SIEM, phân tích log, incident response
  • “Purple Team Workshop” — 3 ngày kết hợp Red + Blue, mapping MITRE ATT&CK

Cấp độ 3 — Designer: Thiết kế kịch bản diễn tập (18–30 tháng)

Mục tiêu: Chuyển từ “người thực hành” sang “người thiết kế” — biết cách xây dựng kịch bản diễn tập chuyên nghiệp cho nhiều loại hình và nhiều ngành.

Kiến thức chuyên sâu:

  • Phương pháp luận thiết kế diễn tập: HSEEP (Homeland Security Exercise and Evaluation Program)
  • Thiết kế kịch bản theo threat intelligence: tham chiếu APT groups, TTPs từ MITRE ATT&CK
  • Xây dựng tiêu chí đánh giá (evaluation criteria) và ma trận đánh giá
  • Viết After-Action Report chuyên nghiệp
  • Hiểu đặc thù hệ thống theo ngành: ngân hàng (Core Banking, SWIFT), y tế (HIS, IoMT), viễn thông (mạng lõi, SS7), cơ quan nhà nước (dịch vụ công, CSDL dân cư)

Các loại diễn tập cần thành thạo thiết kế:

  • Tabletop Exercise cho ban lãnh đạo
  • Cyber Drill kỹ thuật cho SOC/CSIRT
  • Red Team vs Blue Team Exercise
  • Purple Team Exercise theo MITRE ATT&CK
  • Phishing simulation toàn công ty
  • Diễn tập tuân thủ (Nghị định 85, Thông tư 20, ISO 27001)

Chứng chỉ khuyến nghị:

  • CISM (Certified Information Security Manager) — quản lý an ninh thông tin
  • ISO 27001 Lead Auditor — hiểu yêu cầu tuân thủ
  • OSCP (Offensive Security Certified Professional) — nâng cao kỹ năng offensive
  • GCIH hoặc GCFA — nâng cao incident response/forensics

Thực hành:

  • Thiết kế ít nhất 5 kịch bản diễn tập cho các ngành khác nhau
  • Dựng lab giả lập ngân hàng (theo bài hướng dẫn trước)
  • Viết 3 After-Action Report mẫu
  • Tham gia với vai trò White Team/Observer trong ít nhất 2 cuộc diễn tập thực tế

Chương trình Security365:

  • “Cyber Drill Scenario Design Masterclass” — 5 ngày học thiết kế kịch bản theo HSEEP và MITRE ATT&CK
  • “Industry-Specific Drill Workshop” — 3 ngày thiết kế kịch bản riêng cho từng ngành (ngân hàng, y tế, viễn thông, cơ quan nhà nước)
  • “Compliance-Based Drill Design” — 2 ngày thiết kế diễn tập đáp ứng Nghị định 85, ISO 27001

Cấp độ 4 — Leader: Dẫn dắt diễn tập (30–48 tháng)

Mục tiêu: Trở thành người dẫn dắt (Facilitator) và đánh giá (Evaluator) trong các cuộc diễn tập — kỹ năng mềm trở nên quan trọng không kém kỹ năng kỹ thuật.

Kỹ năng dẫn dắt:

  • Facilitation: dẫn dắt thảo luận nhóm lớn (20–50 người), kiểm soát thời gian, đảm bảo mọi bên đều tham gia
  • Inject management: biết khi nào và cách nào đưa thông tin mới vào kịch bản để tạo áp lực phù hợp
  • De-escalation: xử lý tình huống khi người tham gia phản ứng tiêu cực hoặc xung đột
  • Executive communication: trình bày kết quả diễn tập cho CEO/CISO bằng ngôn ngữ kinh doanh, không phải ngôn ngữ kỹ thuật
  • Stakeholder management: phối hợp với IT, HR, Pháp chế, Truyền thông, Ban Giám đốc

Kỹ năng đánh giá:

  • Xây dựng rubric đánh giá định lượng
  • Quan sát và ghi nhận hành vi trong diễn tập mà không can thiệp
  • Phân biệt “lỗi quy trình” với “lỗi cá nhân” — tập trung vào hệ thống, không đổ lỗi
  • Viết findings có hành động cụ thể (actionable recommendations)

Chứng chỉ khuyến nghị:

  • CISSP (Certified Information Systems Security Professional) — kiến thức quản lý an ninh toàn diện
  • CRISC (Certified in Risk and Information Systems Control) — quản lý rủi ro
  • Chứng chỉ đào tạo viên (Train-the-Trainer) trong lĩnh vực an ninh mạng

Thực hành:

  • Dẫn dắt ít nhất 5 Tabletop Exercise với ban lãnh đạo
  • Dẫn dắt ít nhất 3 Cyber Drill kỹ thuật
  • Dẫn dắt ít nhất 2 Purple Team Exercise
  • Tham gia diễn tập quốc gia (APCERT Drill, diễn tập do VNCERT/CC tổ chức)
  • Mentor cho 2–3 người ở cấp độ thấp hơn

Chương trình Security365:

  • “Drill Facilitation & Leadership” — 3 ngày thực hành dẫn dắt diễn tập với kịch bản thực
  • “Executive Tabletop Facilitation” — 2 ngày chuyên sâu về dẫn dắt thảo luận với ban lãnh đạo
  • “Advanced Purple Team Exercise Management” — 3 ngày quản lý diễn tập Purple Team quy mô lớn
  • Thực tập thực tế: Tham gia các dự án diễn tập của Security365 với vai trò co-facilitator

Cấp độ 5 — Master: Drill Master chuyên nghiệp (48+ tháng)

Mục tiêu: Trở thành chuyên gia cấp cao, có khả năng thiết kế và dẫn dắt diễn tập ở mọi quy mô — từ doanh nghiệp đơn lẻ đến liên tổ chức, cấp ngành, cấp quốc gia.

Năng lực của Drill Master:

  • Thiết kế chương trình diễn tập dài hạn (multi-year drill program) cho tổ chức
  • Tổ chức diễn tập liên tổ chức (nhiều đơn vị tham gia đồng thời)
  • Xây dựng Cyber Range và kịch bản diễn tập tùy chỉnh theo hạ tầng thực tế
  • Tư vấn cho CISO/CTO về chiến lược diễn tập và đầu tư an ninh mạng
  • Đào tạo thế hệ Drill Master tiếp theo
  • Đóng góp cho cộng đồng: viết bài, thuyết trình hội thảo, chia sẻ phương pháp luận

Chuyên môn sâu theo ngành:

  • Banking & Finance: Core Banking, SWIFT CSP, PCI-DSS, quy định NHNN
  • Healthcare: HIS, DICOM, IoMT, HIPAA, quy định Bộ Y tế
  • Government: dịch vụ công, CSDL quốc gia, Luật An ninh mạng, Nghị định 85
  • Telecom & Critical Infrastructure: SCADA/ICS, mạng lõi, quy định về hạ tầng trọng yếu

Thực hành:

  • Đã dẫn dắt 20+ cuộc diễn tập thực tế ở nhiều ngành
  • Đã thiết kế chương trình diễn tập dài hạn cho ít nhất 3 tổ chức
  • Đã tổ chức ít nhất 1 diễn tập liên tổ chức hoặc cấp ngành
  • Thuyết trình tại ít nhất 2 hội thảo an ninh mạng trong nước hoặc quốc tế
  • Published ít nhất 5 bài viết chuyên sâu về phương pháp luận diễn tập

Chương trình Security365:

  • “Drill Master Certification Program” — chương trình 10 ngày kết hợp lý thuyết, thực hành và đánh giá năng lực toàn diện
  • Mentorship program: Được mentor bởi Drill Master cấp cao của Security365
  • Co-delivery: Đồng dẫn dắt các dự án diễn tập thực tế của Security365 cho khách hàng
  • Chứng nhận “Security365 Certified Drill Master” — sau khi hoàn thành chương trình và đạt yêu cầu đánh giá

Tổng hợp lộ trình

Cấp độThời gianTrọng tâmChứng chỉ ngànhChương trình Security365
1. Foundation0–6 thángNền tảng CNTT & ATTTSecurity+, CCCybersecurity Foundation
2. Practitioner6–18 thángRed + Blue hands-onCEH/eJPT + BTL1/CCDRed Team + Blue Team + Purple Team
3. Designer18–30 thángThiết kế kịch bảnCISM, OSCP, ISO 27001 LAScenario Design + Industry Workshop
4. Leader30–48 thángDẫn dắt & đánh giáCISSP, CRISCFacilitation + Executive TTX
5. Master48+ thángChiến lược & mentoringDrill Master Certification

Tại sao chọn lộ trình cùng Security365?

Học từ dự án thực tế: Security365 không chỉ đào tạo lý thuyết — học viên được tham gia các dự án diễn tập thực tế cho khách hàng doanh nghiệp, ngân hàng, cơ quan nhà nước với vai trò observer → co-facilitator → lead facilitator theo lộ trình.

Kịch bản sát thực tế Việt Nam: Tất cả kịch bản đào tạo được xây dựng dựa trên các vụ tấn công đã xảy ra tại Việt Nam (VNDIRECT, PVOIL, Vietnam Airlines…) và đặc thù hệ thống, quy định pháp lý Việt Nam (Nghị định 85, Thông tư 20, Luật An ninh mạng).

Cộng đồng Drill Master: Gia nhập mạng lưới các chuyên gia diễn tập do Security365 xây dựng — chia sẻ kịch bản, phương pháp, kinh nghiệm và cơ hội dự án.

Chứng nhận được công nhận: Chương trình “Security365 Certified Drill Master” được thiết kế theo chuẩn quốc tế (HSEEP, MITRE ATT&CK, NIST) và được các tổ chức khách hàng của Security365 công nhận.

Bắt đầu từ đâu?

Nếu bạn là người mới hoàn toàn: Bắt đầu với Cấp độ 1 — đăng ký khóa “Cybersecurity Foundation” của Security365, đồng thời tự học trên TryHackMe.

Nếu bạn đã có nền tảng CNTT/ATTT: Nhảy thẳng vào Cấp độ 2 hoặc 3 — liên hệ Security365 để đánh giá năng lực hiện tại và nhận tư vấn lộ trình cá nhân hóa.

Nếu bạn đã là pentester/SOC analyst muốn chuyển hướng: Bạn đã có 60–70% kỹ năng kỹ thuật cần thiết. Cấp độ 3–4 tập trung vào phương pháp luận thiết kế kịch bản và kỹ năng dẫn dắt — chính xác những gì bạn cần bổ sung.

Mỗi tổ chức đều cần người biết cách tổ chức diễn tập — nhưng rất ít người được đào tạo bài bản cho vai trò này. Đó chính là cơ hội của bạn.

Liên hệ Security365 ngay hôm nay để nhận tư vấn lộ trình cá nhân hóa và bắt đầu hành trình trở thành Drill Master chuyên nghiệp.

Email: lienhe@security365.vn Website: cyber.security365.vn/drill-master