最终认证清单

Question

对于想要在信息安全领域工作的人来说，有哪些有用的证书？

我听说过CISSP，但据我所知，对于一个刚进入这个领域的人来说，它太高级了，因为它代表了这个领域多年的经验。其他有用的证书，比如(未来的)渗透测试人员或(未来的)数字鉴证调查员可能希望持有的证书是有效的，并受到业界的尊重？

Answer 1

正如其他人所说的，CISSP可能是最著名和公认的IT安全认证。如果您需要启动更多的入门级，CompTIA的Security+是一个很好的开端，实际上可以用于从CISSP的工作经验要求中抽出一年时间。

在基本知识被排除之后，你真正需要问的问题是哪些认证机构得到了认可和尊重。然后，从那些适当地反映你的经验水平和技能的权威机构中选择一个认证。

这里要记住的关键是，认证应该是你已经拥有的技能的典范--而不仅仅是你可以通过的考试。在获得认证之前，你至少应该有一些工作经验，以进一步向潜在雇主证明，你实际上在该认证所代表的主题上拥有经验和知识。

@Rook提到的列表涵盖了很多领域。这里有很多我从未听说过的认证和组织，但它也列出了大多数大的行业参与者。

• CompTIA提供了多个领域的认证。然而，其中大部分都是入门级的.他们唯一的安全规格认证是Security+。其他认证主要集中在系统或网络管理和故障排除。
• ^2全是关于信息安全的。他们有几个认证，包括著名的CISSP.一个完整的CISSP认证要求通过书面测试，五年相关和可验证的工作经验，并由目前的CISSP认证良好。如果你没有达到工作经验的要求，你可以持有“(ISC)^2的助理”的头衔，直到你达到这个要求为止。
• 欧共体理事会是最著名的CEH.他们的大多数其他认证也是围绕安全和渗透测试，但也有一些在其他主题，如取证和编程。
• GIAC是由SANS创建的，SANS是一个备受尊敬的安全培训机构.因此，它们拥有许多涉及信息安全许多不同方面的认证。在获得GIAC认证后，您还可以通过将其提升到黄金状态来增加里程。这就要求你与一位GIAC顾问合作，该顾问将指导你完成一篇研究论文的编写过程(预计需要6个月)，该论文必须经过您的顾问和其他两位顾问的审查和认可，才能被接受。
• 思科是网络认证的销售商。其中最值得注意的是CCNA。他们还提供了一些认证，其中包括一个安全重点。他们的最高级别认证是传奇的CCIE，它要求通过两个小时的书面考试和一个8小时的实验室，这是只在全球10个思科设施提供。
• 当然，微软是你想要在Windows系统上获得认证的地方。也许最著名的，目前的认证是MCITP管理员(以前称为MCSA).他们的一些认证也侧重于安全性。

全面披露:我目前持有来自CompTIA、EC-Council和Cisco的认证，并正在寻求微软和(ISC)^2的认证。

Answer 2

听起来SSCP可能更快，它的工作要求比CISSP少。还有用于渗透测试的GIAC GPEN，以及来自EC理事会的认证道德黑客。

Answer 3

作为一个渗透测试人员，我认为证书是完全和完全没有意义的。你需要证明你可以破解软件，证书只是证明你可以在一些测试中得到大部分答案。这根本不适用于现实世界。(否认者:我有一个CISSP，它只需要最无聊的工作。)(真是浪费。)

如果你想在这个行业找到一份工作，通过向CVE数示好就能证明你是有价值的。他们是免费的，这证明了你可以破坏软件。

这是一个巨大的清单，将浪费你的时间和金钱。