การเจาะลึกของเราจะสรุปด้วยข้อมูลเชิงลึกเกี่ยวกับความก้าวหน้าในอาชีพการงาน โดยเน้นบทบาทของการรับรองในฐานะตัวเร่งปฏิกิริยาสำหรับบทบาทอาวุโสและตำแหน่งเฉพาะทาง เช่น Red Team Operators มาเจาะลึกเงินเดือนของการรับรอง CompTIA PenTest+ และประโยชน์ที่คุณจะได้รับจากการรับรองนี้กัน!
ภาพรวมของการรับรอง CompTIA PenTest+
การรับรอง PenTest+ เป็นของ CompTIA การรับรองความปลอดภัยทางไซเบอร์ระดับกลาง มุ่งเน้นเฉพาะการทดสอบเจาะลึก ผู้เข้ารับการทดสอบเพื่อรับใบรับรองจะต้องผ่านการทดสอบ 1 ครั้งภายในเวลา 165 นาที โดยได้คะแนนอย่างน้อย 750 คะแนนจากคะแนนเต็ม 100-900 คะแนน การสอบเพื่อรับใบรับรองประกอบด้วยคำถามสูงสุด 85 ข้อที่ผสมผสานระหว่างคำถามแบบเลือกตอบและคำถามตามประสิทธิภาพ
PenTest+ ครอบคลุมประเด็นความรู้เกี่ยวกับการทดสอบการเจาะลึกที่หลากหลายซึ่งช่วยแนะนำนักเรียนตลอดวงจรชีวิตการทดสอบการเจาะลึก โดเมนความรู้เหล่านี้ประกอบด้วย:
- การวางแผนและกำหนดขอบเขต (14%)
- การรวบรวมข้อมูลและการสแกนช่องโหว่ (22%)
- การโจมตีและการใช้ประโยชน์ (30%)
- การรายงานและการสื่อสาร (18%)
- เครื่องมือและการวิเคราะห์โค้ด (16%)
หากคุณผ่านการทดสอบ ใบรับรอง PenTest+ จะมีอายุสามปี และสามารถต่ออายุได้ด้วยหน่วยการศึกษาต่อเนื่อง (CEU) หรือโดยการผ่านการสอบใหม่อีกครั้ง
การรับรอง CompTIA PenTest+ เตรียมคุณให้พร้อมสำหรับอะไร?
การรับรอง PenTest+ ช่วยเตรียมความพร้อมให้นักศึกษาสำหรับบทบาทที่เน้นการโจมตีในด้านความปลอดภัยทางไซเบอร์ มาดูตำแหน่งงานบางส่วนที่สอดคล้องกับโดเมนความรู้ PenTest+ มากที่สุดกัน
เครื่องทดสอบการเจาะ
ผู้ทดสอบการเจาะระบบถือเป็นกระดูกสันหลังของโลกแห่งการรักษาความปลอดภัยทางไซเบอร์เชิงรุก ผู้ทดสอบการเจาะระบบมีหน้าที่ในการประเมินความปลอดภัยของสภาพแวดล้อมขององค์กร พวกเขาใช้วิธีการต่างๆ มากมาย เครื่องมือ และ วิธีการ เพื่อค้นหาช่องโหว่และพยายามใช้ประโยชน์จากช่องโหว่เหล่านั้น ผู้ทดสอบการเจาะระบบยังต้องจัดทำรายงานเชิงลึกเพื่อบันทึกการค้นพบหรือการค้นพบหลังการทดสอบ PenTest
นักวิเคราะห์ความเสี่ยง
นักวิเคราะห์ช่องโหว่อาจเป็นสมาชิกในทีมหรือแม้แต่บุคคลภายนอกที่ให้การสนับสนุนเฉพาะแก่หน่วยงานในด้านการจัดการช่องโหว่ นักวิเคราะห์ช่องโหว่มีหน้าที่ระบุและจัดหมวดหมู่ช่องโหว่หรือดำเนินการ การสแกนกิจกรรมทั้งภายในและภายนอก นักวิเคราะห์ช่องโหว่มักมีประสบการณ์ด้านความปลอดภัยที่หลากหลาย รวมถึงความรู้เชิงรุกและเชิงรับ
นักวิเคราะห์ข่าวกรองด้านภัยคุกคาม
นักวิเคราะห์ข่าวกรองภัยคุกคามมีหน้าที่ในการค้นคว้าและทำความเข้าใจภัยคุกคามที่ส่งผลกระทบต่อองค์กรต่างๆ ทั่วโลก นักวิเคราะห์ข่าวกรองภัยคุกคามมีหน้าที่ในการเปลี่ยนข่าวกรองภัยคุกคามที่เป็นโอเพ่นซอร์สหรือที่เป็นกรรมสิทธิ์ให้กลายเป็นข้อมูลที่สามารถนำไปปฏิบัติได้ ซึ่งองค์กรของตนสามารถใช้เพื่อปรับปรุงมาตรการรักษาความปลอดภัยได้ ซึ่งจำเป็นต้องมีความเข้าใจเกี่ยวกับเทคนิคการโจมตีทางไซเบอร์ที่สามารถใช้กับเครือข่ายของตนได้
เงินเดือนและโอกาสในการทำงานของผู้ที่ได้รับการรับรอง CompTIA PenTest+
คุณได้รับการรับรอง PenTest+ แล้ว ตอนนี้คุณคาดหวังอะไรได้อีกบ้าง มาดูกันว่าช่วงเงินเดือนและโอกาสในการทำงานของผู้ได้รับการรับรอง PenTest+ จาก CompTIA นั้นมีช่วงแตกต่างกันอย่างไร ซึ่งคุณอาจมีสิทธิ์ได้รับหากได้รับการรับรอง PenTest+
การรักษาความปลอดภัยเชิงรุกเป็นสาขาที่กำลังเติบโตในอุตสาหกรรมความปลอดภัยทางไซเบอร์และไม่มีทีท่าว่าจะชะลอตัวลง LinkedIn รายงานว่ามีโฆษณาหางานมากกว่า 2,500 รายการที่มีคำว่า "PenTest+" อยู่ในคำอธิบาย
อย่างไรก็ตาม เช่นเดียวกับกรณีของ LinkedIn มีตำแหน่งงานว่างมากมายให้เลือกตั้งแต่วิศวกรทีม Red วิศวกรตรวจจับภัยคุกคาม นักวิเคราะห์ข่าวกรอง และแน่นอนว่ารวมถึงผู้ทดสอบการเจาะระบบด้วย ตำแหน่งเหล่านี้ยังต้องมีประสบการณ์การทำงานที่หลากหลาย รวมถึงต้องมีใบรับรองอื่นๆ ด้วย ดังนั้น เราจึงต้องมุ่งเน้นไปที่การวิจัยมากขึ้น
ก่อนจะดำเนินการต่อ เราอยากจะใช้เวลาสักครู่เพื่อหารือเกี่ยวกับ "ประสบการณ์" ในฐานะข้อกำหนดสำหรับตำแหน่งต่างๆ บางตำแหน่งจะขอประสบการณ์การทำงานก่อนหน้าในบทบาทนั้นโดยเฉพาะ ในขณะที่บางตำแหน่งจะขอประสบการณ์ในอุตสาหกรรม ซึ่งอาจรวมถึงการสัมผัสกับตำแหน่งในฝ่ายรักษาความปลอดภัยหรือไอทีโดยไม่คำนึงถึงตำแหน่ง (แม้ว่าจะเป็นตำแหน่งระดับจูเนียร์ก็ตาม) บางตำแหน่งจะขอประสบการณ์เกี่ยวกับผลิตภัณฑ์ ซอฟต์แวร์ หรือทักษะที่สามารถพิสูจน์ได้ด้วยวิธีอื่นนอกเหนือจากตำแหน่งที่มีเงินเดือนก่อนหน้านี้
เครื่องทดสอบการเจาะ
เนื่องจากนี่เป็นการรับรองที่เน้นการทดสอบการเจาะระบบ เราจึงขอเน้นที่ตำแหน่งงานทั่วไปที่ PenTest+ สามารถเตรียมให้พร้อมได้มากที่สุด ซึ่งก็คือตำแหน่งผู้ทดสอบการเจาะระบบ ZipRecruiter ระบุว่าเงินเดือนเฉลี่ยของผู้ทดสอบการเจาะระบบอยู่ที่ประมาณ 116,000 ดอลลาร์สหรัฐต่อปีในสหรัฐอเมริกา
ตัวเลขนี้ดูค่อนข้างแม่นยำ แม้ว่าจะสูงไปนิดก็ตาม เมื่อค้นหา "PenTest+" บน Glassdoor จะพบประกาศรับสมัครงาน Penetration Tester หลายตำแหน่ง โดยหลายตำแหน่งมีเงินเดือนประมาณนั้น อย่างไรก็ตาม ตำแหน่ง Penetration Tester ที่ให้เงินเดือนสูงกว่ามักต้องมีประสบการณ์ 5 ปีขึ้นไป
ตำแหน่งงานหนึ่งจากเวอร์จิเนียต้องการประสบการณ์เพียงสามปีและต้องการใบรับรองที่เน้นการโจมตีเพียงหนึ่งใบขึ้นไป ซึ่งระบุถึง PenTest+ ไว้ด้วย ตำแหน่งงานนี้ประกาศรับเงินเดือน 61,000-107,000 ดอลลาร์สหรัฐต่อปี
เงินเดือนของการทดสอบการเจาะระบบอาจแตกต่างกันอย่างมากขึ้นอยู่กับประสบการณ์หลายปีและใบรับรองระดับสูง แม้ว่า ZipRecruiter จะมีค่าเฉลี่ยสูงกว่าหกหลัก แต่ผู้สมัครที่ไม่มีใบรับรองเพิ่มเติมและมีประสบการณ์น้อยกว่าห้าปีก็มักจะยังไม่ผ่านคุณสมบัติสำหรับตำแหน่งที่มีเงินเดือนสูงเหล่านี้
นักวิเคราะห์ความเสี่ยง
นักวิเคราะห์ความเสี่ยงมักเป็นมือใหม่ในสาขาความปลอดภัยเชิงรุก และหลายคนมีพื้นฐานด้านความปลอดภัยเชิงรับ ซึ่งทำให้สามารถปรับเปลี่ยนไปสู่ด้านการโจมตีด้านความปลอดภัยได้ง่ายขึ้น เนื่องจากนักวิเคราะห์ความเสี่ยงจะเข้าใจถึงผลกระทบของช่องโหว่ภายในสภาพแวดล้อม
ZipRecruiter รายงานว่าเงินเดือนโดยเฉลี่ยของนักวิเคราะห์ความเสี่ยงอยู่ที่ประมาณ 72,500 ดอลลาร์สหรัฐต่อปี โดยสูงสุดอยู่ที่ 128,000 ดอลลาร์สหรัฐ
ข้อมูลนี้ถูกต้องอีกครั้งเมื่อดูจากประกาศรับสมัครงานนักวิเคราะห์ความเสี่ยงในกระดานข่าวสาธารณะอย่าง Glassdoor ตำแหน่งหนึ่งที่พบคือนักวิเคราะห์การประเมินความเสี่ยงจากเมืองซานอันโตนิโอ รัฐเท็กซัส โดยมีเงินเดือนประมาณ 54,000-82,000 ดอลลาร์สหรัฐต่อปี ตำแหน่งนี้ต้องการประสบการณ์เพียง 3 ปี และผู้สมัครต้องมีใบรับรอง PenTesting
ตำแหน่งนักวิเคราะห์ช่องโหว่รายหนึ่งมีเงินเดือน 57,000-93,000 ดอลลาร์สหรัฐต่อปี ตำแหน่งนี้ต้องมีประสบการณ์ด้านความปลอดภัยอย่างน้อย 3 ปี และมีรายการใบรับรองที่เกี่ยวข้อง รวมถึง PenTest+
นักวิเคราะห์ข่าวกรองด้านภัยคุกคาม
การได้รับการรับรอง PenTest+ ไม่ได้บังคับให้ต้องทำงานด้านความปลอดภัยในเชิงรุกเพียงอย่างเดียว ในทางกลับกัน ผู้ถือใบรับรองสามารถใช้ความรู้ด้านการโจมตีใหม่เพื่อพัฒนาทักษะการป้องกัน ตัวอย่างที่ดีอย่างหนึ่งคือตำแหน่งนักวิเคราะห์ข่าวกรองด้านภัยคุกคาม ซึ่งเป็นผู้ที่เข้าใจภัยคุกคามที่ส่งผลกระทบต่อโลกและช่วยเตรียมองค์กรให้พร้อม ป้องกันตัวจากสิ่งเหล่านั้น
ZipRecruiter รายงานว่าเงินเดือนเฉลี่ยของนักวิเคราะห์ข่าวกรองด้านภัยคุกคามอยู่ที่ประมาณ 90,000 ดอลลาร์สหรัฐต่อปี โดยอัตราสูงสุดอยู่ที่ 140,000 ดอลลาร์สหรัฐต่อปี
งานประเภทนี้พิสูจน์แล้วว่าตรวจสอบได้ยากที่สุด เนื่องจากบริษัทหลายแห่งมีชื่อเรียกต่างๆ กัน รวมถึงมี "ข้อมูลภัยคุกคาม" อยู่ในนั้นด้วย รวมทั้งมีข้อกำหนดที่หลากหลายกว่า อย่างไรก็ตาม มีประกาศรับสมัครงานบางตำแหน่งที่พิสูจน์ได้ว่ามีประโยชน์
ตัวอย่างที่ดีคือนักวิเคราะห์สนับสนุนข่าวกรองทางไซเบอร์สำหรับโฆษณาของ Booz Allen Hamilton ซึ่งต้องมีประสบการณ์ 3 ปีและมีเงินเดือนอยู่ที่ 82,000-186,000 ดอลลาร์สหรัฐ
พบว่ามีตำแหน่งงานอื่นสำหรับ Cyber Intelligence Lead Associate ที่ต้องใช้ PenTest+ อย่างไรก็ตาม ตำแหน่งนี้ยังมีข้อกำหนดที่สูงกว่า เช่น CISSP ดังนั้นตำแหน่งด้านข่าวกรองภัยคุกคามที่ลึกซึ้งกว่าอาจต้องมีประสบการณ์เพิ่มเติมนอกเหนือจาก PenTest+
เปรียบเทียบ CompTIA Pentest+
ตอนนี้เราได้พูดคุยถึงเงินเดือนและโอกาสในการทำงานที่อาจเกิดขึ้นจากการรับรอง CompTIA Pentest+ มาเปรียบเทียบกับการรับรอง pentesting สองรายการที่ได้รับความนิยมสูงสุดในตลาด: CEH และ OSCP
ใบรับรอง CEH เป็นใบรับรองการทดสอบการเจาะระบบที่เป็นที่รู้จักอย่างกว้างขวางและเป็นที่รู้จักในวงกว้าง จากการวิจัยของเรา พบว่าเงินเดือนเฉลี่ยของผู้เชี่ยวชาญที่ได้รับการรับรอง CEH อยู่ที่ 78,139 ดอลลาร์บน ZipRecruiter นอกจากนี้ยังมีตำแหน่งงานว่างมากกว่า 1,000 ตำแหน่งบนกระดานประกาศหางานชั้นนำสามแห่ง ปัจจุบัน CEH มีค่าใช้จ่ายระหว่าง 2,200 ถึง 3,500 ดอลลาร์ ขึ้นอยู่กับตัวเลือกการจัดส่งหลักสูตร
OSCP ของ OffSec เป็นที่รู้จักในฐานะมาตรฐานทองคำสำหรับการรับรองการทดสอบการเจาะระบบในตลาดปัจจุบัน ข้อเท็จจริงนี้ไม่ได้สูญหายไปในตลาดงาน เนื่องจากเงินเดือนเฉลี่ยที่รายงานโดย ZipRecruiter สำหรับ OSCP อยู่ที่มากกว่า 116,000 ดอลลาร์ OSCP มีโฆษณาหางานมากกว่า 2,000 รายการบน LinkedIn และเกือบ 800 รายการบน Indeed OffSec เสนอราคาระหว่าง 1,600 ถึง 5,500 ดอลลาร์สำหรับหลักสูตรของพวกเขา
| ปากกาทดสอบ+ | CEH ANSI | โอเอสซีพี | |
| เงินเดือนเฉลี่ย | 75,000 เหรียญสหรัฐ | 78,139 เหรียญ | 116,104 เหรียญ |
| อย่างแท้จริง | 221 | 1,800 | 791 |
| ลิงค์อิน | 2,519 | 1,346 | 2,429 |
| ประตูกระจก | 99 | 1,022 | 494 |
| งานด้านความปลอดภัยทางไซเบอร์ | 7 | 92 | 30 |
ความก้าวหน้าในอาชีพ
เห็นได้ชัดว่าเราได้เห็นแล้วว่าการรับรอง PenTest+ สามารถส่งผลดีต่ออาชีพของคุณและเปิดประตูสู่ตำแหน่งงานที่ยอดเยี่ยม แต่หลังจากที่คุณได้รับการรับรองและก้าวเข้าสู่ตำแหน่งเหล่านี้แล้ว คุณจะเลือกตำแหน่งใด ความก้าวหน้าในอาชีพ ลองหาดูภายหลังได้ไหมคะ?
ผู้ทดสอบการเจาะระบบอาวุโส
หนทางที่ดีเยี่ยมในโลกแห่งการรักษาความปลอดภัยเชิงรุกคือการแสวงหาบทบาทผู้ทดสอบการเจาะระบบระดับสูง ผู้เชี่ยวชาญเหล่านี้จะจัดการกับปัญหาที่ซับซ้อนที่สุด งานด้านความปลอดภัยเชิงรุก รวมถึงการเขียนการแสวงประโยชน์แบบกำหนดเอง การจัดการแผนก หรือการเน้นที่ด้านใดด้านหนึ่งโดยเฉพาะของการแฮ็กอย่างมีจริยธรรม เช่น แอปเว็บ, คลาวด์หรือ ไดเรกทอรีที่ใช้งานอยู่
ผู้ปฏิบัติการทีมสีแดง
ผู้ปฏิบัติการทีมแดง ดำเนินกิจกรรมการทดสอบการเจาะผ่านช่องทางการเลียนแบบภัยคุกคาม ซึ่งหมายความว่าพวกเขาพยายามดำเนินการทดสอบโดยไม่ถูกตรวจพบโดยเครื่องมือป้องกันหรือบุคลากร
แน่นอนว่าคุณสามารถเปิดโอกาสใหม่ๆ ได้อีกมากเมื่ออาชีพของคุณก้าวหน้าขึ้น อย่างไรก็ตาม บทบาทรุกระดับสูงและ/หรือบทบาทรุกเฉพาะกลุ่ม เช่น การทำงานเป็นทีมสีแดง ล้วนเป็นหนทางที่ดีเยี่ยมในการสานต่ออาชีพของคุณ!
การศึกษาต่อ
ผู้ถือ PenTest+ สามารถใช้โดเมนความรู้ที่สอนเป็นจุดเริ่มต้นสู่การรับรองอื่นๆ ได้ ตัวเลือกที่ยอดเยี่ยมในระดับสูง การรับรองการทดสอบการเจาะระบบ สามารถพบได้ใน โอเอสซีพี และการสอบปฏิบัติจริงทางห้องปฏิบัติการอื่นๆ
บทสรุป
การรับรอง CompTIA PenTest+ ถือเป็นก้าวสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยในการประกอบอาชีพด้านการรักษาความปลอดภัยเชิงรุก ความรู้ด้านโดเมนที่สอน โฆษณาหางาน และโอกาสในการได้รับเงินเดือนสูงทำให้ PenTest+ เป็นการรับรองที่ยอดเยี่ยมที่ช่วยเพิ่มพูนศักยภาพด้านอาชีพ