私の雇用主は、エントリーレベルのポジションにCompTIAのSecurity +認定を要求しました。それはあなたに基本を与えるでしょう。その形式(多肢選択式の回答)に対する批判にもかかわらず、実際にコースを実施し、知識が不足している領域を研究することにより、セキュリティについてまともなスタートを切ることができます。その後、マルウェア分析、侵入テスト、侵入分析、フォレンジックなど、次にどこに行きたいかを選択する問題になる可能性があります。
セキュリティ+から始めましょう。これは最も基本的で、おそらく最も一般的なエントリーレベルの認定です。
Systems Security Certified Practitioner(SSCP)は1年しか必要とせず、Security +より少し概念的です。
security +から始めて、Amazonからこの本を購入してください CompTIA Security +:Get Certified Get Ahead また、Security +試験に合格した後、侵入テスト、フォレンジック、マルウェア分析など、どの方向に進みたいかを選択する必要があります。そしてそれに焦点を当てます。
私も長い間開発者でしたが、最近、フルタイムのセキュリティに切り替えました。
私は実地体験があまりなかったので、1週間のブートキャンプで SANS GSEC試験 を取ることにしました。これで、素晴らしいインストラクターとの体験ができました。
だから私が私のインタビューに行ったとき、彼らは尋ねるでしょう、あなたは今までsnortを使用したことがありますか? Wiresharkフィルターの使用方法を知っていますか?iptablesの経験は豊富ですか?私はそれらすべてにイエスと言うことができました。 (それはクラス専用であると認められましたが、それでもある程度の親しみは役立ちます)
SANSトレーニングの唯一の問題は、安価ではないことです。試験を受けるだけで$ 700でした。 (5時間の試験です)。しかし、私がこれにインタビューするほとんどすべての人は、SANSトレーニングの質を知っていました。彼らはそれについて尋ね、肯定的な方法で頭をうなずいたとき、誰もが一種のことを認めました。
それは私の経験でした。
開発経験があるので、 [〜#〜] openscap [〜#〜] のようなものにボランティアをすることを考えてください。これはオープンソースのRHEL/CENTOS脆弱性スキャナーであり、Linuxの脆弱性の発見と修正の経験を提供します。
余暇にセキュリティツールに取り組んでいることを示すのに役立ちます。
それが私にとってうまくいきました。みんなのために働くとは限りません。現在、インシデント対応を行っており、大規模なセキュリティベンダーのクラウドセキュリティを担当しているため、満足できません。
ところで-私も私の履歴書にSecurity +を持っていて、誰もそれについて尋ねさえしなかった...私の経験。