忽視龐大的路線圖資訊圖表
你可能看過那些網路安全認證路線圖圖表,上面有四十個標誌以各種方向用箭頭連接。它們並非完全錯誤,只是對規劃毫無幫助 — 沒有人需要四十個認證,而且大多數箭頭對任何人的實際路徑都不適用。以下是我實際上提供給學生的版本:三個階段、幾個關鍵決策點,以及跳過不適用於你的分支的許可。
階段 1:基礎 (0–12 個月)
無論最終專業化方向如何,每個人都從這裡開始。目標是獲得詞彙和第一份認證,而非深度。
- ISC2 Certified in Cybersecurity (CC) — 如果你從零基礎開始。
- CompTIA Security+ (SY0-701) — 大多數人的主要目標 — 英國最廣泛認可的入門認證。詳細的原因和方法請見 Security+ 值得嗎。
- 同時進行其一:建立基本的家庭實驗室和一個小型的文件化專案。此階段如果沒有實際可展示的內容(不只是證書),就不算完整。
階段 2:你的第一個專業化 (第 1–3 年)
一旦你有了基礎,理想情況下還有第一份初級職位或正在進行的強勢應徵,就選擇一個方向,而不是試圖涵蓋所有方向:
- 藍隊 / SOC 分析師路線 — 像 BTL1 這樣的實踐認證作為實踐證明,然後如果你的雇主或目標職位使用該技術堆疊,就進行微軟特定認證。
- GRC / 風險路線 — 較少純技術認證,更多關注框架 (ISO 27001、NIST) 和溝通技能;技術深度在此不如藍隊職位那樣重要。
- 攻擊性 / 滲透測試路線 — 一條完全不同的軌道 (CEH、OSCP 等),不是我這裡會假裝完整涵蓋的東西,因為它與防守性工作的技能集不同。
根據你在階段 1 的實踐專案中實際享受的內容進行選擇,而不是選擇在紙面上看起來最令人印象深刻的 — 學習動力比聲望對通過學習更重要。我看過學生因為某個專業化聽起來很有名望就選擇它,然後在三週後就停滯不前,因為他們對材料沒有真正的好奇心。快速通過階段 2 的學生是那些根據階段 1 哪部分實際吸引了他們的注意力,而不是哪個認證在 LinkedIn 上看起來最好的學生。
階段 3:深度與管理 (第 3 年以上)
CISSP 等認證在此進入畫面 — 不是作為第一步或第二步,而是在你擁有數年實際經驗並朝著管理、架構或更廣泛的安全領導角色發展後。有關時機的完整案例請見 CISSP 值得嗎。
表格形式的路線圖
| 階段 | 典型時間 | 要考慮的認證 | 主要目標 |
|---|---|---|---|
| 基礎 | 0–12 個月 | ISC2 CC、Security+ | 詞彙 + 第一份認證 |
| 專業化 | 1–3 年 | BTL1、微軟安全認證或 GRC 重點學習 | 實踐性、角色特定的證明 |
| 深度/管理 | 3 年以上 | CISSP、CISM 或類似 | 向領導層的職業進展 |
我對想跳過階段的學生說的話
幾乎每個因進度而感到沮喪的學生都試圖完全跳過階段 1 或階段 2 — 直接跳到高級認證,因為它聽起來更高級,或在擁有任何基礎詞彙前就試圖專業化。這不會按人們希望的方式工作。材料假設了你還沒有的背景,所以你最終只是死記硬背而不是真正理解,當有人在面試中追問時它就站不住腳了。按順序進行這些階段。在十八個月內這確實比在第三個月停滯的捷徑更快。
如果你正好在階段 1 的開始,不確定哪個入門認證適合你的背景,最佳入門級網路安全認證 會更深入地說明該決策。
常見問題
整個路線圖要花多久?
從零基礎到具有真實經驗的紮實專業化,實際上需要兩到四年。比這更快追求的人通常已經擁有相關經驗。
除了認證外,我還需要學位嗎?
不需要,特別是在英國網路安全市場 — 認證加上可演示的實踐技能在沒有學位的情況下具有真正的分量,雖然相關學位仍然可以有幫助,特別是對於研究生計畫。
我可以專業化多個領域嗎?
最終可以,但不是一開始。一個領域的深度比對三個領域的淺層接觸更快讓你被錄用 — 廣度是你在擁有第一份職位後才建立的,而不是之前。
如果我還不知道我想專業化哪個領域怎麼辦?
在階段 1 這是正常且預期的。你在基礎學習期間進行的實踐專案通常是最好的信號 — 注意你傾向於什麼,讓那個指導階段 2。
在途中改變專業化是個問題嗎?
不是,雖然它會花費一些時間。這比人們願意承認的更普遍,最好在幾個月的真正努力後切換,而不是只因為你已經開始就強迫自己走一條不適合的路。
如果你想將此路線圖轉換為針對你的時程表的實際日期計畫,預訂試課,我們會根據你的起點為你建立一個計畫。