Xin chào mọi người, tháng 6/2024 vừa rồi mình mới pass CISSP exam. Đã có nhiều bài viết review của người nước ngoài nhưng các blog chia sẻ về kinh nghiệm ôn thi CISSP ở Việt Nam còn ít nên mình sẽ viết 1 bài chia sẻ phương pháp học của mình hi vọng giúp ích được các bạn vượt qua kì thi một cách dễ dàng và nhanh chóng!

Vậy CISSP là gì?

Trước hết, CISSP có lẽ không còn lạ gì đối với các chuyên gia trong lĩnh vực CyberSecurity. CISSP (Certified Information Systems Security Professional) là chứng chỉ thuộc hệ thống chứng chỉ của ISC2 - tổ chức chuyên chứng nhận và đào tạo cho các chuyên gia về quản lý các chương trình an toàn thông tin. Hệ thống chứng chỉ của ISC2 bao gồm nhiều chứng chỉ khác nhau nhưng CISSP được biết đến là khó, nổi tiếng và đắt nhất của ISC2

CISSP tập trung vào các khía cạnh trong việc thiết kế, triển khai và quản lý an toàn thông tin của một tổ chức. như bọn tây lông hay nói trên cộng đồng Reddit “Cissp is truly a mile wide and an inch deep”. Chính xác là như thế, CISSP không đề cập quá sâu tới 1 vấn đề nào đó, nhưng những kiến thức có đề cập đến thì rộng, rất rất rộng. Thời điểm đầu ôn thi mình thấy khá nhàm chán đối với một người làm thuần kĩ thuật như mình

Mình ưa những chứng chỉ Lab (thực hành) nhiều hơn là chứng chỉ lý thuyết. Tuy nhiên CISSP là một hành trang tốt cho mình trong việc phát triển Career Path cho nên trước sau gì thì mình cũng sẽ thi tuy nhiên do thời gian vừa rồi bận chuyện gia đình nên mình ít có thời gian ngồi liên tục để Lab cho nên mình tranh thủ "quick loot" những Cert lý thuyết trước vì mình có thể tận dụng học được ở mọi nơi, trên máy tính hay điện thoại.

Quá trình tự học và thi trong hơn 2 tháng

Đầu tiên mình phải đính chính là mình “giật tít” cho mọi người hào hứng thôi chứ thật ra thời gian bao lâu còn phụ thuộc vào nền tảng kiến thức sẵn có, chọn được những nguồn tài liệu ôn thi chất lượng từ sớm để đỡ phí thời gian vào học những thứ không đem lại quá nhiều hiệu quả, Phương pháp phân bổ thời gian và ôn luyện và chiến lược làm bài trong phòng thi. Kết hợp hiệu quả các yếu tố trên và mình may mắn pass chứng chỉ này trong thời gian hơn 2 tháng, nhưng cũng có thể nhanh hoặc chậm hơn tuỳ vào mỗi người. OK, không lòng vòng nữa mình sẽ nói chi tiết về các khía cạnh trên ngay bây giờ

1. Kiến thức nền tảng

Trước khi bắt đầu đến với CISSP thì hiện tại mình là Network Security Engineer. kiến thức nền tảng của mình đã có về Networking, System, Hacking, Web Development, Coding, Cloud, Toeic 885 Point,… đây đều là những kiến thức nằm trong nhiều domain của CISSP và giúp mình trong quá trình học hiệu quả và nhanh hơn. Chỉ có các domain 1-2-3 thì mình mất nhiều công sức hơn vì nó liên quan nhiều đến quy trình, luật lệ, quản trị mà mình chưa được tiếp xúc nhiều trước đó. Các Domain này làm mình cảm thấy khá nhàm chán thời điểm đầu ôn thi vì quá nhiều lý thuyết và nhiều khái niệm mới.

Ví dụ:Criminal investigation follow theo standard of evidence: Beyond a reasonable doubt. Nghĩa là đối với những cuộc điều tra hình sự, các toà án hình sự sẽ phải tuân theo tiêu chuẩn về các chứng cứ vượt lên trên sự nghi ngờ có lý do. Dịch sang Tiếng Việt thôi đã thấy chán rồi 😵‍💫 Bây giờ giả sử trường hợp một cơ sở của doanh nghiệp A bị hoả hoạn khiến hàng ngàn người chết, bạn có quyền nghi ngờ đối thủ, hay một người có động cơ (tình nghi) làm việc đó. Đó làreasonable doubt, nhưng như thế là chưa đủ. Bạn phải có bằng chứng đủ độ tin cậy không chối cãi được thì mới quy kết trách nhiệm cho một ai đó, một Camera ghi hình lại được một cá nhân nào đó cố tình phóng hoả cơ sở đó thì đó mới gọi làbeyond reasonable doubt. Thậm chí một người tự nhận mình là kẻ giết người thì cũng chưa hẳn là kẻ giết người mà, có thể bị áp lực của một thế lực nào đó ép phải nhận tội, hay đơn giản người đó có những vấn đề về thần kinh, không làm chủ được những gì mình nói,.... Rồi hay bạn thử dịch và hiểu về khá niệmCivil investigation follow theo standard of evidence: Preponderance of the evidencethử xem.

Với ví dụ trên, nếu mình không có nền tảng kiến thức về luật, thì đây là kiến thức mới với mình và phải bỏ công sức tìm hiểu về nó, nếu bạn thắc mắc vì sao lại cần kiến thức đó, liên quan gì tới Security? Thật ra Security rộng hơn mình tưởng rất nhiều, cụ thể trong quá trình ôn luyện mọi người sẽ hiểu vì sao phải học những kiến thức đó nhé. Yên tâm, đi thi chắc chắn đề bài sẽ không hỏi sâu như bạn là một sinh viên tốt nghiệp Đại Học Luật Hà Nội đâu nhưng sẽ rất rộng. CISSP có vô vàn những kiến thức kiểu như thế, non-tech và tưởng chừng không liên quan đến Security, dịch word-by-word cũng không dễ để hiểu được ngay. Thế mới nói “Cissp is truly a mile wide and an inch deep” là hoàn toàn chính xác. Do đó kiến thức nền tảng là rất quan trọng, đặc biệt ngôn ngữ cũng là rào cản lớn với những ai không có base tốt về tiếng anh, các kiến thức bổ ích được chia sẻ chủ yếu trên các forum nước ngoài, những bài viết chia sẻ bằng Tiếng Việt ít, cũng vì hiểu được điều đó nên mình viết post này hi vọng đóng góp được một chút kiến thức cá nhân cho mọi người

2. Tài liệu ôn thi

Các nguồn tài liệu mình sử dụng để học lý thuyết:

• Video của Skillset trên Youtube (free)
• Sách CISSP Offical Study Guide - Mike Chapple
• Google, Reddit

Các nguồn bank question:

• Thor Easy/Mid bank question (Udemy) 7/10
• Learnzapp bank question (Highly-Recommend) 8/10
• Luke Ahmed bank question (very-very-high-recommend) 9.5/10

3. Phương pháp phân bổ thời gian và ôn luyện

Đối với mình, mỗi ngày mình sẽ bỏ ra 2-3 tiếng ôn luyện, cuối tuần có thể nhiều hơn. Tranh thủ những lúc rảnh rỗi đưa vợ đi mua đồ, ngồi chờ thì lấy điện thoại để học, nói chung các Cert lý thuyết đều rất tiện để học ở mọi nơi không như các cuộc thi Lab. Nhiều người hay học 1 lượt lý thuyết gồm 8 domain trước rồi mới làm các bank question để luyện sau thì mình không theo lộ trình như vậy, thấy như thế kiến thức bị rơi rụng nhanh và nhiều, mình chủ yếu học xong domain nào thì làm luôn các đề liên quan đến domain đó. cụ thể như sau:

• ĐọcSách CISSP Offical Study Guidevà xem video trên youtube của Skillset
• LàmLearnzapp bank question - khoảng 2000 câu hỏi overallsau mỗi domain. Các câu hỏi trong Learnzapp đã bao gồm bank question củaCISSP Offical Practice Test - Mike Chapplenên chỉ cần làm 1 trong 2 tuỳ xem bạn làm ở đâu tiện hơn. Mình thì sử dụng Learnzapp vì thấy giao diện trực quan hơn là file PDF
• Sử dụngGooglevàRedditđể học kiến thức mới nếu đọc trong sách và xem video chưa hiểu, cũng như bổ sung những khoảng GAP trong quá trình làm các bank question
• Sau khi done được Learnzapp thì chuyển sangThor Easy/Mid bank question (Udemy) - Khoảng 500 câu hỏi.
• Cuối cùng là luyệnLuke Ahmed bank question - Khoảng 900 câu hỏi.

Với các bank question:

• Thor Easy/Mid bank questionhơi technical, không quá tương đương với đề thi. Nhưng cũng là một nguồn tài liệu để mình ôn luyện, vì trong quá trình trả lời câu hỏi, sẽ lại phải search, lại phải nghiên cứu thêm. Không bổ này thì bổ kia.
• Learnzapp bank questionvẫn hơi technical nhưng mình thấy phong cách đưa câu hỏi khá tương đồng với đề thi ở cách đưa ra tình huống, luyện nhiều Learnzapp sẽ giúp mình cảm thấy quen hơn và không bị ngợp khi gặp đề thi thật nên mình highly recommend nguồn này, tuy nhiên sẽ bị tính phí. Nếu mua thì sẽ được test nhiều câu hỏi hơn trong 1 lần test, còn không sub thì sẽ được ít hơn. Nói chung dư giả thì mua 1-2 tháng cũng không vấn đề gì vì phí cũng đâu đó tầm 2-300k/month.
• Luke Ahmed bank questionthì mình đặc biệt recommend mọi người ôn nguồn này. Tại vì sao? Trên Reddit rất nhiều người recommend Luke Ahmed bank question vì nó giúp mình thay đổi mindset rất nhiều về thế nào là "How To Think Like A Manager". Đó là lộ trình ôn luyện của mình. Nhưng lên được phương pháp và lộ trình học không khó, khó nhất là có kỷ luật bản thân để tuân theo những gì mình đưa ra hay không thôi.

Change the Mindset

Trên cộng đồng Reddit và cả các nguồn review khác nữa nói rất nhiều rằng để pass CISSP thì mình phải "Think Like A Manager", cụm từ này cứ như hình với bóng với CISSP exam vậy. Ban đầu mình hiểu ý mọi người nói là gì, hiểu rằng cần phải đứng vai trò là một CISO, hay Security Consultant khi đưa ra quyết định về một vấn đề hay giải quyết vấn đề nào đó, cần phải tiếp cận theo hướng Top-Down nhưng thật sự nếu chỉ có thế, vẫn không thể thay đổi mindset của mình khi làm bài thi được, mình vẫn đi theo hướng technical khi đưa ra quyết định xử lý một vấn đề nào đó. Cho đến khi mình làm bank question của Luke Ahmed, các câu hỏi đã làm mình thay đổi hoàn toàn mindset này, để sâu hơn thì mọi người đăng ký course của ông ấy nhé tại đây nhé https://www.studynotesandtheory.com, nhưng sẽ hơi chát khoảng hơn 40$/month. Tuy nhiên mình tìm thấy một lỗ hổng bảo mật trên website của ổng và khai thác sẽ có thể chẳng cần subcribe nhưng vẫn có thể truy cập được full bank question. Mình đánh giá web này được dev khá non tay và cũng có thể để tối ưu hiệu năng của backend nên lỗ hổng đó khá dễ thấy. Nhưng vì respect tâm huyết của ông này khi tạo ra bộ bank question có 1 không 2 nên chắc chắn ông ấy xứng đáng được mọi người subcribe thay vì dùng lậu, mình hoàn toàn không khuyến khích mọi người dùng lậu bank question này. Ngoài ra các câu hỏi của Luke bị hơi Stricky quá so với thi thực tế và có những câu hỏi quá dài.

Để thi và luyện đề thì cần tiếp cập theo hướngTop-Down. Nhưng để học theo và thu nạp kiến thức thì mình lại tiếp cận theo hướngBottom-Up. CISSP đề cập tới rất nhiều kiến thức, có thể không cần hiểu sâu bạn vẫn có thể trả lời được. Tuy nhiên, để nhớ lâu mà không phải học vẹt, học keyword thì chỉ có cách hiểu sâu về nó. Mình không hề bị khó khăn trong các câu hỏi liên quan đến Cryptographyvì mình không học thuộc nó, mình hiểu nó, hiểu cơ chế của nó nên mình không cần phải nhớ nữa, sau khi làm 1 vòng các domain khác quay lại mình vẫn không hề bị rơi mất kiến thức về các loại mã hoá, các cơ chế bẻ khoá các loại mã hoá vốn là một loại kiến thức rất khó để nhớ được trong CISSP nếu bạn chỉ học nông nông và mong là pass được các câu hỏi liên quan đến nó trong kì thi.

Luôn take note và review lại những gì cảm thấy chưa hiểu, mới hiểu và hiểu chưa sâu để khi rảnh xem lại. Mình thì hay dùng ứng dụng Note của apple vì đồng bộ được giữa Icloud Macbook và Iphone. Đây là thói quen thôi, mọi người có thể sử dụng nhiều nền tảng free khác như Notion. Về cách review lại những câu hỏi khi luyện đề, kể cả đúng cũng phải review không chỉ những câu sai, đấy là phương pháp mình áp dụng khi học bất kỳ cert lý thuyết nào của mình.

Vậy khi nào thì có thể tự tin đi thi? Với mình thì thời điểm mình đăng ký thi là khi mình đạt điểm trên 90% toàn bộ các bài test củaLearnzapp,Thor Easy/Mid. Điểm trên 80% toàn bộ các bài test của Luke Ahmed. Đây chỉ là trải nghiệm của bản thân mình thôi, còn thực tế thì phải làm thật đa dạng càng nhiều nguồn câu hỏi càng tốt, để mình openmind và củng cố thêm kiến thức.

Reddit đã có rất nhiều bài chia sẻ kinh nghiệm về việc tìm kiếm Dump, mua và thử Dump đều fail cả thậm chí là không có nổi 1 câu nào trong đề thi thật cho nên nếu đang có ý định tìm dump thì thời gian và tiền bạc đó nên mua subcribe các Resource kể trên và chú tâm vào ôn cật lực sẽ hữu ích hơn.

Đi thi

Mình đăng ký thi ở IPMAC, Hà Nội. Đợt mình thi thì 15/4/2024 CISSP đã thay đổi một chút. CISSP sẽ gồm 100-150 câu hỏi trong vòng 3 tiếng. Mình pass ở câu thứ 100, điểm pass là 700-1000 điểm, domain 1 tăng từ 15% lên 16%, domain 8 giảm từ 11% xuống 10%. Còn hình thức thi sẽ vẫn là dạng CAT, sau khi đã trả lời xong một câu hỏi thì sẽ không được review để trả lời lại các câu trước đó. Cho nên không được quá mất thời gian vào một câu hỏi khó hoặc câu hỏi khảo sát (không tính điểm). Nghe phong phanh là hình thức thi này sẽ không cố định bộ câu hỏi nào cho phiên thi của mình mà sẽ dựa vào kết quả trả lời của các câu hỏi trước để đưa ra các câu hỏi tiếp theo, ví dụ bạn yếu domain 1 và trả lời sai nhiều các câu hỏi này thì đề thi sẽ cứ cho ra các câu hỏi tiếp theo nằm trong domain 1. Nên làm quen với tình huống và bình tĩnh khi thi là rất quan trọng. Đề thi CISSP rất hay bẫy câu chữ cho nên đọc kĩ câu hỏi trước khi trả lời. Lúc luyện đề ở Learnzapp, có nhiều câu mình đã bị chủ quan đọc nhanh và sau khi review lại thì sai do không đọc kĩ đề bài nên cố gắng tránh những lỗi như vậy

Endorsement

Sau khi thi xong, nhận được tờ giấy như trên đầu Post tức là đã chính thức vượt qua phần khó nhất rồi, phần còn lại chỉ là thủ tục để nhận được cert chính thức thôi. Sau khi pass, ISC2 sẽ gửi mình email để mình submit kinh nghiệm làm việc, nếu bạn có quen 1 CISSP nào đó thì có thể nhờ họ Endorse giúp bạn bằng cách nhập ID và tên của họ vào Application Form trên Portal và thông tin kinh nghiệm bạn điền sẽ được gửi cho người đó để verify. Còn nếu bạn không quen ai thì ISC2 sẽ tự verify thông tin mà bạn cung cấp. Với CISSP, sau khi pass kì thi thì cần chứng minh bạn có đủ 5 năm kinh nghiệm trong công việc thuộc ít nhất là 2 trong 8 domain của CISSP có đề cập. Nếu có bằng đại học về IT hoặc các chứng chỉ quốc tết được ISC2 công nhận trong danh sách tại đây thì sẽ được giảm trừ tối đa là 1 năm kinh nghiệm. Quá trình Endorsement thì được process khá lâu mất tới 1 vài tháng nên mình vẫn đang chờ thủ tục để nhận chứng chỉ. Nếu ai cần hỏi thêm thì có thể connect với mình qua linkedIn

Tổng kết

CISSP là chứng chỉ không những chỉ phù hợp cho các cấp quản lý, mà với những người đang làm sâu về mặt kỹ thuật như mình nếu có thì cũng đều giúp ích trong công việc, nâng cao trình độ bản thân, có cái nhìn rộng và xa hơn trên con đường làm nghề và để thôi văn vở thì chốt hạ lý do quan trọng nhất có lẽ vẫn là để deal lương 😄 thôi chào mọi người mình xin phép đi update CV đây!