忽略那些庞大的路线图信息图
你可能见过那些展示四十多个标志、箭头四处连接的庞大网络安全认证路线图。它们不一定是错的,只是对规划毫无用处——没人需要四十个认证,而且大多数箭头都不适用于任何一个人的实际路径。这是我真正给学生讲的版本:三个阶段、几个决策点,以及跳过不适用分支的许可。
阶段 1:基础知识(0-12 个月)
无论最终专业方向如何,每个人都从这里开始。目标是掌握术语和获得第一个凭证,而不是深度。
- 如果你从零基础开始,选择 ISC2 Certified in Cybersecurity (CC)。
- CompTIA Security+ (SY0-701) 作为大多数人的主要目标——英国最广泛认可的入门级凭证。关于原因和方法的详细说明请见 is Security+ worth it。
- 辅以:一个基础家庭实验室和一个有文档记录的小项目。没有实际项目可展示的话,这个阶段就不完整,仅有一个证书是不够的。
阶段 2:你的第一个专业方向(1-3 年)
一旦你有了基础知识,理想情况下还有你的第一个初级职位或出色的应聘材料,选择一个方向而不是试图涵盖所有方向:
- 蓝队/SOC 分析师路线 ——像 BTL1 这样的实战凭证作为实践证明,然后如果你的雇主或目标职位使用该技术栈,可以考虑 Microsoft 特定认证。
- GRC/风险路线 ——纯技术认证较少,更多关注框架(ISO 27001、NIST)和沟通技能;这里技术深度没有蓝队职位那么重要。
- 进攻/渗透测试路线 ——一条真正不同的路线(CEH、OSCP 及类似),这里我不会假装完全涵盖,因为它与防御工作的技能集不同。
根据你在阶段 1 的实战项目中真正享受的内容来选择,而不是根据看起来最令人印象深刻的——动力比声望对通过学习的影响更大。我看过学生因为听起来声望高就选择了一个专业方向,然后在三周后就停滞不前了,因为他们对这些材料没有真正的好奇心。通过阶段 2 最快的学生是那些根据阶段 1 中哪部分真正吸引了他们的注意力来选择的人,而不是根据 LinkedIn 上看起来最好的认证。
阶段 3:深度和管理(3 年以上)
CISSP 等认证在这里出现——不是作为第一步或第二步,而是在你有了几年真实工作经验并朝向管理、架构或更广泛的安全领导角色发展时。关于时机的完整论述见 is CISSP worth it。
表格形式的路线图
| 阶段 | 典型时间 | 要考虑的认证 | 主要目标 |
|---|---|---|---|
| 基础知识 | 0-12 个月 | ISC2 CC、Security+ | 术语 + 第一个凭证 |
| 专业方向 | 1-3 年 | BTL1、Microsoft 安全认证或 GRC 导向的学习 | 实战、特定角色证明 |
| 深度/管理 | 3 年以上 | CISSP、CISM 或类似 | 进入领导层的职业发展 |
我对想跳过阶段的学生说什么
几乎每个对自己进度感到沮丧的学生都试图完全跳过阶段 1 或阶段 2——直接跳到高级认证,因为听起来更高级,或者在没有任何基础术语的情况下就试图专业化。这不会按人们希望的方式进行。材料假设你还没有掌握的背景,所以你最终是死记硬背而不是理解,在面试中当有人提出后续问题时就不成立了。按顺序完成这些阶段。在十八个月内这确实比在第三个月停滞的捷径要快得多。
如果你就在阶段 1 的开始,不确定哪个入门级认证适合你的背景,best entry-level cybersecurity certifications 更深入地介绍了这个决定。
常见问题
整个路线图需要多长时间?
从零基础到有实际经验支撑的扎实专业化,现实情况是 2 到 4 年。以更快速度追赶的人通常已经有相关经验。
我需要学位和认证吗?
不需要,特别是在英国网络安全市场——认证加上可证明的实战技能的重量很大,不需要学位,不过相关学位仍然有帮助,特别是对于毕业生项目。
我可以同时专业化多个领域吗?
最终可以,但一开始不行。在一个领域的深度让你比接触三个领域的浅层曝光更快被录用——广度是在你有第一份工作后才建立的东西,而不是之前。
如果我还不知道想要哪个专业方向怎么办?
这在阶段 1 很正常,也很可以预期。你在基础知识学习中进行的实战项目通常是最好的信号——注意你倾向于什么,让它指导阶段 2。
在半途中改变专业方向是个问题吗?
不是,虽然会花费一些时间。这比人们承认的要普遍得多,在经过几个月的真正努力后换方向比强迫自己走完一条不适合你的路线要好得多,只是因为你已经开始了。
如果你想把这个路线图变成一个有实际日期的计划,按照你的日程安排,预约试课,我们会根据你的起点建立一个。