Một góc nhìn cá nhân về quy mô thị trường Pentest, cơ hội của ngành Security và cách trí tuệ nhân tạo đang thay đổi vai trò của kỹ sư bảo mật.
Mở đầu
Thỉnh thoảng mình thấy các câu hỏi như:
Đây đều là những câu hỏi rất hay nhưng cũng rất khó trả lời bằng một câu duy nhất.
Sau vài năm làm việc trong lĩnh vực Product Security và PSIRT, mình nhận ra rằng có lẽ chúng ta đang vô tình gộp hai khái niệm khác nhau:
Thị trường Security
Phạm vi rộng, bao gồm nhiều vai trò và nhiều hướng phát triển khác nhau.
Thị trường Pentest
Chuyên sâu hơn và theo quan sát cá nhân thì quy mô tuyển dụng nhỏ hơn.
Một vài dữ liệu đáng chú ý
Theo thông tin được công bố tại Vietnam Security Summit 2025, Việt Nam đang đối mặt với tình trạng thiếu hụt nhân lực an toàn thông tin ở quy mô lớn.
Nhưng mình nghĩ có một điểm rất dễ hiểu nhầm
Rất nhiều người đọc những con số trên rồi kết luận:
“Thị trường Pentest đang rất thiếu người.”
Theo mình, cách hiểu này chưa thật sự chính xác.
Các thống kê trên nói về nguồn nhân lực Cybersecurity nói chung, bao gồm:
- SOC
- Incident Response
- DevSecOps
- Cloud Security
- Security Engineer
- IAM
- Compliance
- GRC
- Product Security
- Security Architecture
Thiếu nhân lực Security nói chung không đồng nghĩa riêng Pentest là mảng có nhu cầu tuyển dụng lớn nhất.
Pentest có lẽ là một thị trường khá nhỏ
Đây hoàn toàn là góc nhìn cá nhân.
Nếu chỉ xét riêng vị trí Pentester như Web, Mobile, API thì số lượng doanh nghiệp tuyển dụng mà mình quan sát được không quá nhiều.
Thông thường sẽ tập trung ở:
- Công ty dịch vụ an toàn thông tin
- Ngân hàng
- Fintech
- Một số công ty công nghệ lớn
- Doanh nghiệp phát triển sản phẩm
Ngay cả ở những công ty này, quy mô đội Pentest cũng thường không lớn. Một sản phẩm có thể chỉ có 1–3 Pentester hoặc thuê đơn vị bên ngoài đánh giá định kỳ.
Điều đó khiến mình có cảm giác rằng Pentest là một nghề rất chuyên môn, nhưng quy mô tuyển dụng thực tế lại khá hạn chế.
Trong khi đó Security lại rộng hơn rất nhiều
Nếu mở rộng phạm vi ra toàn bộ lĩnh vực Security thì câu chuyện khác hẳn. Một doanh nghiệp có thể cần:
- Cloud Security Engineer
- DevSecOps Engineer
- SOC Analyst
- Security Operations
- Product Security
- Security Architect
- Security Automation
- Security Compliance
- AI Security
- Incident Response
Đây mới là phần tạo nên nhu cầu nhân lực rất lớn của ngành.
AI đang thay đổi Pentest nhanh hơn mình nghĩ
Theo quan sát cá nhân, AI đã hỗ trợ rất nhiều công việc trước đây Pentester phải làm thủ công.
- Đọc source code
- Phân tích luồng xử lý
- Tìm pattern lỗ hổng
- Sinh PoC
- Viết báo cáo
- Tóm tắt kết quả kiểm thử
Điều này không đồng nghĩa Pentester sẽ biến mất. Nhưng theo mình, giá trị của Pentester sẽ dần chuyển từ:
Người trực tiếp thực hiện mọi thao tác
Tự làm gần như toàn bộ quá trình kiểm thử.
Người hiểu hệ thống và đánh giá rủi ro
Biết tận dụng AI như một cộng sự để tăng hiệu quả làm việc.
Theo mình, Product Security sẽ là hướng phát triển dài hạn hơn
Nếu phải chọn một hướng phát triển trong 5–10 năm tới, mình sẽ nghiêng về Product Security hơn Pentest thuần.
Bởi Product Security không chỉ tập trung vào việc tìm lỗ hổng mà còn bao gồm:
- Secure SDLC
- Threat Modeling
- Security Review
- Security Automation
- Security Governance
- Developer Education
- AI-assisted Security
- Security Architecture
Điều mình đang quan tâm hơn
Thời gian gần đây mình dành nhiều thời gian hơn cho:
- AI for Security
- Repository Reasoning
- Security Automation
- AI-assisted Vulnerability Discovery
- Trustworthy AI
Thay vì cố gắng tìm thêm một XSS hay SQL Injection, mình thấy thú vị hơn khi suy nghĩ:
“Làm sao để một kỹ sư bảo mật có thể làm việc hiệu quả gấp 5 hay 10 lần nhờ AI?”
“Làm sao xây dựng được những công cụ mà hàng nghìn kỹ sư khác cũng có thể sử dụng?”
Kết luận
Tóm tắt quan điểm
- Pentest tại Việt Nam có quy mô tuyển dụng khá nhỏ.
- Security nói chung vẫn còn rất nhiều cơ hội.
- AI sẽ thay đổi cách làm Pentest nhiều hơn là thay thế hoàn toàn Pentester.
- Giá trị trong tương lai sẽ đến từ việc kết hợp Security + AI + Automation + Product Thinking.
Một lần nữa, đây chỉ là góc nhìn cá nhân của Hiếu ND tại thời điểm viết bài.
Mình rất mong được nghe thêm những quan điểm khác từ anh em trong ngành, bởi chắc chắn mỗi người sẽ có một trải nghiệm và góc nhìn riêng.
Nguồn tham khảo
Hiếu ND
Kỹ sư bảo mật và nhà nghiên cứu quan tâm đến Product Security, AI for Security, Security Automation và Trustworthy AI.


