我的雇主需要 CompTIA 的 Security+ 认证才能获得入门级职位。它将为您提供基础知识。尽管对其形式存在批评（多项选择答案），但通过实际学习课程并在您缺乏知识的领域进行学习，您将在安全方面获得一个不错的开始。之后，可能会成为选择下一步要去哪里的问题，例如恶意软件分析、渗透测试、入侵分析、取证等。

所以从安全+开始。这是最基本的，可能是最常见的入门级认证。

系统安全认证从业者 (SSCP) 只需要一年时间，而且比 Security+ 概念性更强。

https://www.isc2.org/sscp/default.aspx

从 Security+ 开始，然后从 amazon CompTIA Security+ 购买这本书：Get Certified Get Ahead ，并且在您通过 Security+ 考试后，您必须选择您想要的方向，例如渗透测试、取证、恶意软件分析并专注于它。

我也是一个很长一段时间的开发人员，最近才全职转向安全工作。

我没有太多的实践经验，所以我决定参加为期一周的训练营的SANS GSEC 考试。所以有了这个，我得到了一位了不起的教练的亲身体验。

所以当我去面试时，他们会问，你用过snort吗？你知道如何使用wireshark过滤器，你对iptables有很多经验吗？我可以对所有这些事情说“是”。（当然这只是为了课堂，但仍然有一些熟悉的帮助）

SANS 培训的唯一问题是它并不便宜。只是参加考试是700美元。（这是一个 5 小时的考试）。但是我要说这么多，几乎所有采访我的人都知道SANS培训的质量。每个人问起这件事，都算是承认了，并积极地点了点头。

那是我的经历。

既然您有开发经验，请考虑自愿参加OPENSCAP 之类的活动。这是一个开源的 RHEL/CENTOS 漏洞扫描器，它将为您提供在 Linux 中发现和修复漏洞的经验。

可能有助于表明您在业余时间积极参与安全工具的开发。

这对我有用。可能不适合所有人。我现在正在做事件响应，我在一家大型安全供应商负责云安全，我非常高兴。

顺便说一句 - 我的简历上也有 Security+，甚至没有人问过这件事……我的经历。