この質問がstackexchange形式にとって十分直接的なものであることを願っています。そうでない場合は申し訳ありませんが、終了するために遠慮なく投票してください。
CREST認定の取得に関心がありますが、鶏と卵の問題のようです。認定がないと、プロとしての経験を積むことができません。プロとしての経験がなければ、認定を受けることはできません。
認定なしで業界での経験を積むことは可能ですか?これの当然の結果-業界での経験なしでCREST認定になることは可能ですか?
より直接的に言えば、業界での経験がCREST認定への最も直接的な経路ですか?
スキルと知識だけでCREST試験に合格できます。しかし、実際の経験がない人が試験に割り当てられた限られた時間内にそうすることができる可能性は非常に低いです。
Wireghoulの答えはその場にあります。業界での経験に正式な要件はありませんが、実際には、十分に成功するための唯一の方法は、仕事のためにそれを行うことです。
多くの筆記試験会社が認定なしでジュニアポジションを提供している場合があります。彼らは通常、ITのバックグラウンド(学位、または開発者、システム管理者、または同様の役割としての経験)を探しています。さらに、基本的なペンのテストを行うことを学んだことなど、セキュリティに対する個人的な関心の証拠を見たいと思うでしょう。ほとんどの企業には技術的な「アサルトコース」があります。ただし、ジュニアの役割については、基本的なスキルを示すだけで十分です。私の雇用主(ペンテスト)は、これに基づいてプロのテスターになるために進んだ多くの人々を雇いました。
CRESTには、登録済みテスターと上級テスターの2つのレベルがあります。大まかな目安として、登録テスターを実施するには1年、シニアテスターを実施するには3〜4年の経験が必要です。しかし、人々はさまざまな速度で学びます。上級試験には2つのフレーバー(アプリケーションとインフラストラクチャ)があり、かなり難しいです-いくつかの優れたテスターが失敗することは知っています。
実際に業界の経験が必要であるとは言いませんが、ペンテスト自体の経験と実践だけが必要です。
たとえば、Offensive Securityは Kali Linuxでの侵入テスト コースを提供しており、多くのマシンで構成されるシミュレートされた企業ネットワークラボにアクセスして、練習し、スキルを磨くことができます。それらすべてを応援し、試験に合格することができれば、これは優れた基盤となります。
攻撃的なセキュリティコースだけでCRESTに合格できるわけではありませんが、これをハッキングと組み合わせて Metasploitable 2 を含みます Damn Vulnerable Web App を含み、Webセキュリティの評価を実践します。 dあなたはそこへの道のほとんどでした。エントリレベルのCREST試験の筆記セクションに合格するために調査する必要のあるCRESTシラバスの項目。ただし、それらの多くはIT全般に当てはまるため、すでに多くの技術知識がある場合は合格できます。それ。
私も wireghoul's answer に同意します。これは、利用可能な時間が限られていて、合格するための主要な障壁であるという点です。