问行业经验是获得认证的唯一途径吗？

EN

仅凭技能和知识你就能通过最高级的考试。然而，没有实际经验的人不太可能在为考试分配的有限时间内做到这一点。

维勒古尔的回答是对的。没有正式的行业经验要求，但在实践中，获得足够好的唯一方法是为一份工作去做。

一些笔试公司可能会为你提供一个初级职位，而无需认证。他们通常是在寻找IT背景--要么是学位，要么是开发人员、sys管理人员或类似角色的经验。此外，他们希望看到个人对安全感兴趣的证据，包括你已经教会自己做基本的笔试。大多数公司都有一个技术“攻击课程”--尽管对于初级职位来说，你只需要展示基本技能。我的雇主(彭特)在此基础上雇佣了许多人，他们后来成为了专业的测试人员。

CREST分为两级:注册测试人员和高级测试人员。作为一个粗略的经验规则，我想说，你需要1年的经验做注册测试员，3-4年的高级测试人员。不过，人们学习的速度不同。高级考试有两种形式(应用程序和基础设施)，这是相当困难的--我知道有几个优秀的测试人员失败了。

我不会说你真的需要行业经验，只是经验和练习笔试本身。

例如，进攻性安全课程提供用Kali Linux进行渗透测试课程，让您可以进入一个由许多机器组成的模拟公司网络实验室，以练习和磨练您的技能。如果你能把它们全部根掉，然后试着通过考试，这将给你一个很好的基础。

单是进攻性的安全课程并不意味着你可以通过顶点，但结合黑客Metasploitable 2，其中包括该死的脆弱的应用程序练习网络安全评估，我想说，你是大部分的方式。为了通过入门级考试的书面部分，你需要对课程大纲上的项目进行研究，但是其中很多项目对it来说是通用的，所以如果你已经掌握了大量的技术知识，你应该能够通过它。

我也同意线食者的回答的观点，因为可用的时间有限是传递的主要障碍。