Góc nhìn cá nhân: Thị trường Pentest và Security ở Việt Nam có thực sự “hẹp”?

SECURITY · PENTEST · AI

Một góc nhìn cá nhân về quy mô thị trường Pentest, cơ hội của ngành Security và cách trí tuệ nhân tạo đang thay đổi vai trò của kỹ sư bảo mật.

Tác giả: Hiếu ND Chủ đề: Product Security và AI Security
Lưu ý: Bài viết này chỉ phản ánh góc nhìn và quan sát cá nhân của Hiếu ND dựa trên kinh nghiệm làm việc, trao đổi với đồng nghiệp trong ngành và một số dữ liệu công khai. Đây không phải là báo cáo nghiên cứu hay khảo sát thị trường. Mọi nhận định chỉ mang tính tham khảo tại thời điểm bài viết được đăng và có thể thay đổi khi thị trường phát triển.

Mở đầu

Thỉnh thoảng mình thấy các câu hỏi như:

Có nên theo Pentest không?
Security có còn nhiều cơ hội việc làm?
AI có thay thế Pentester?
Có nên chuyển sang AI Security hay Product Security?

Đây đều là những câu hỏi rất hay nhưng cũng rất khó trả lời bằng một câu duy nhất.

Sau vài năm làm việc trong lĩnh vực Product SecurityPSIRT, mình nhận ra rằng có lẽ chúng ta đang vô tình gộp hai khái niệm khác nhau:

Khái niệm 1

Thị trường Security

Phạm vi rộng, bao gồm nhiều vai trò và nhiều hướng phát triển khác nhau.

Khái niệm 2

Thị trường Pentest

Chuyên sâu hơn và theo quan sát cá nhân thì quy mô tuyển dụng nhỏ hơn.

Một vài dữ liệu đáng chú ý

Theo thông tin được công bố tại Vietnam Security Summit 2025, Việt Nam đang đối mặt với tình trạng thiếu hụt nhân lực an toàn thông tin ở quy mô lớn.

700.000+ Nhân lực an ninh mạng có thể thiếu hụt trong những năm tới.
56% Cơ quan và doanh nghiệp chưa có đủ nhân sự CNTT và an toàn thông tin.
20%+ Tổ chức chưa có nhân sự chuyên trách về an ninh mạng.
46% Doanh nghiệp ghi nhận ít nhất một cuộc tấn công mạng trong năm 2024.
Minh họa về an toàn thông tin
Security là một lĩnh vực rộng, không chỉ giới hạn ở Pentest.

Nhưng mình nghĩ có một điểm rất dễ hiểu nhầm

Rất nhiều người đọc những con số trên rồi kết luận:

“Thị trường Pentest đang rất thiếu người.”

Theo mình, cách hiểu này chưa thật sự chính xác.

Các thống kê trên nói về nguồn nhân lực Cybersecurity nói chung, bao gồm:

  • SOC
  • Incident Response
  • DevSecOps
  • Cloud Security
  • Security Engineer
  • IAM
  • Compliance
  • GRC
  • Product Security
  • Security Architecture
Điểm đáng lưu ý

Thiếu nhân lực Security nói chung không đồng nghĩa riêng Pentest là mảng có nhu cầu tuyển dụng lớn nhất.

Pentest có lẽ là một thị trường khá nhỏ

Đây hoàn toàn là góc nhìn cá nhân.

Nếu chỉ xét riêng vị trí Pentester như Web, Mobile, API thì số lượng doanh nghiệp tuyển dụng mà mình quan sát được không quá nhiều.

Thông thường sẽ tập trung ở:

  • Công ty dịch vụ an toàn thông tin
  • Ngân hàng
  • Fintech
  • Một số công ty công nghệ lớn
  • Doanh nghiệp phát triển sản phẩm

Ngay cả ở những công ty này, quy mô đội Pentest cũng thường không lớn. Một sản phẩm có thể chỉ có 1–3 Pentester hoặc thuê đơn vị bên ngoài đánh giá định kỳ.

Điều đó khiến mình có cảm giác rằng Pentest là một nghề rất chuyên môn, nhưng quy mô tuyển dụng thực tế lại khá hạn chế.

Trong khi đó Security lại rộng hơn rất nhiều

Nếu mở rộng phạm vi ra toàn bộ lĩnh vực Security thì câu chuyện khác hẳn. Một doanh nghiệp có thể cần:

  • Cloud Security Engineer
  • DevSecOps Engineer
  • SOC Analyst
  • Security Operations
  • Product Security
  • Security Architect
  • Security Automation
  • Security Compliance
  • AI Security
  • Incident Response

Đây mới là phần tạo nên nhu cầu nhân lực rất lớn của ngành.

Minh họa AI và Security
AI và Automation đang thay đổi cách kỹ sư bảo mật làm việc.

AI đang thay đổi Pentest nhanh hơn mình nghĩ

Theo quan sát cá nhân, AI đã hỗ trợ rất nhiều công việc trước đây Pentester phải làm thủ công.

  • Đọc source code
  • Phân tích luồng xử lý
  • Tìm pattern lỗ hổng
  • Sinh PoC
  • Viết báo cáo
  • Tóm tắt kết quả kiểm thử

Điều này không đồng nghĩa Pentester sẽ biến mất. Nhưng theo mình, giá trị của Pentester sẽ dần chuyển từ:

Trước đây

Người trực tiếp thực hiện mọi thao tác

Tự làm gần như toàn bộ quá trình kiểm thử.

Xu hướng mới

Người hiểu hệ thống và đánh giá rủi ro

Biết tận dụng AI như một cộng sự để tăng hiệu quả làm việc.

Theo mình, Product Security sẽ là hướng phát triển dài hạn hơn

Nếu phải chọn một hướng phát triển trong 5–10 năm tới, mình sẽ nghiêng về Product Security hơn Pentest thuần.

Bởi Product Security không chỉ tập trung vào việc tìm lỗ hổng mà còn bao gồm:

  • Secure SDLC
  • Threat Modeling
  • Security Review
  • Security Automation
  • Security Governance
  • Developer Education
  • AI-assisted Security
  • Security Architecture

Điều mình đang quan tâm hơn

Thời gian gần đây mình dành nhiều thời gian hơn cho:

  • AI for Security
  • Repository Reasoning
  • Security Automation
  • AI-assisted Vulnerability Discovery
  • Trustworthy AI

Thay vì cố gắng tìm thêm một XSS hay SQL Injection, mình thấy thú vị hơn khi suy nghĩ:

“Làm sao để một kỹ sư bảo mật có thể làm việc hiệu quả gấp 5 hay 10 lần nhờ AI?”

“Làm sao xây dựng được những công cụ mà hàng nghìn kỹ sư khác cũng có thể sử dụng?”

Kết luận

Tóm tắt quan điểm

  • Pentest tại Việt Nam có quy mô tuyển dụng khá nhỏ.
  • Security nói chung vẫn còn rất nhiều cơ hội.
  • AI sẽ thay đổi cách làm Pentest nhiều hơn là thay thế hoàn toàn Pentester.
  • Giá trị trong tương lai sẽ đến từ việc kết hợp Security + AI + Automation + Product Thinking.

Một lần nữa, đây chỉ là góc nhìn cá nhân của Hiếu ND tại thời điểm viết bài.

Mình rất mong được nghe thêm những quan điểm khác từ anh em trong ngành, bởi chắc chắn mỗi người sẽ có một trải nghiệm và góc nhìn riêng.

Nguồn tham khảo

Hiếu ND

Hiếu ND

Kỹ sư bảo mật và nhà nghiên cứu quan tâm đến Product Security, AI for Security, Security Automation và Trustworthy AI.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *