昨天提到資安證照CompTIA Security+，那又是什麼證照呢？CompTIA Security+ 連續多年被CertCities.com列為IT熱門證照排行榜的前幾名，對安全領域專業人員知識的鑑定考核，是目前國際上很受歡迎之非廠商導向的資訊安全證照。考試為SY0-401，考試範圍分為以下六大領域:

1. Network Security 網路安全
2. Compliance and Operational Security 規定與操作性安全
3. Threats and Vulnerabilities 威脅與弱點
4. Application, Data and Host Security 應用程式，資瞭與主機安全
5. Access Control and Identity Management 存取控管與身分識別管理
6. Cryptography 加密術

今年2017年10月有SY0-501的新考試，考試領域略和計分比有調整:

1. Threats, Attacks and Vulnerabilities 21%
2. Technologies and Tools 22%
3. Architecture and Design 15%
4. Identity and Access Management 16%
5. Risk Management 14%
6. Cryptography and PKI 12%

考試一次是$320 ，每三年必須要累積到50 CEU (進修學分)，繳交一次$150美金更新費；否則也可以考RC0-501 Recertification Exam 更新自己的證照(考一次$175) ，或者重考一次現有Security+ 的測驗 (例如三年前考過SY0-401，現在去考 SY0-501)；或者可以考更高階的CompTIA 證照，以Security+ 為例，可以考更高階的CompTIA CSA+ (Cybersecurity Analyst) 或CompTIA Advanced Security Practitioner (CASP)。

*截圖來自CompTIA網站

另一種方法是考一個非CompTIA，卻也是產業認證的證照，例如CISSP、CISM 等等都可以更新Security+。符合資格的考試可參見CompTIA網站
https://certification.comptia.org/continuing-education/renewothers/renewing-security

之所以有這些更新Renewal的規定和辦法，主要是確保證照持有者能跟得上資安領域的新變化，Renewal詳細資料可參見CompTIA網站
https://certification.comptia.org/continuing-education/choose/renew-with-a-single-activity/compare-single-activity-renewal-options

關於證照，我把很多人問過的問題稍作整理，下面一併提供我的意見：

1. 證照真的無用嗎？
   如果背題庫為考試而考試，可能只有為履歷表加分的功能。但是我把證照的內容做為學習的方向，比較能做有系統的學習，對我個人的幫助很大。
   之前看過一篇很棒的分享「考證照真的沒用嗎？一個從業 20 年的 IT 主管告訴你他怎麼看！」可以作為參考:
   https://blog.miniasp.com/post/2016/03/22/Does-Certification-Exam-Useful.aspx

2. 我沒有考證照或更新證照的需求。
   也很好，本就沒有規定非考證照不可。很多人有經驗卻沒考證照，並不代表那些經驗不存在；有些人沒有更新證照，也不代表自己沒有持續更新知識。我也知道有些人是要找新工作的時候才去考證照或更新證照，或者是工作需求才特別去考證照。甚至以我面試的經驗，如果來面的人履歷表上寫Security+證照但是答不出我的問題，那面試可是會扣分的。

3. 考什麼證照比較好？
   我覺得證照要評估每個人的需求，如果是特定為了求某個職位，自然是以該職位需求的證照優先；如果想在資安領域發展，自然也該看職業生涯規畫。例如我有朋友想去考CCNA Security，但是他最終是想成為Auditor，那麼為何不往CISSP和CISA開始？另一位朋友對鑑識Forensic很有興趣，那可以往技術性的證照例如SANS 的GCFA (GIAC Certified Forensic Analyst) ；有的人喜歡滲透測試penetration test，那 CEH 或 OSCP 自然是首選。我之前帶過一位實習生，他離開後考過CCNA去應徵一個助理資安工程師的職位也上了。我也有研究所的朋友想考CISSP，我勸他CISSP其實有工作經驗的要求，就算現在考上，工作經驗那塊還是沒辦法補(但他後來也很有發展)。有人問GSEC (GIAC Security Essentials)也符合DoD8570要求，當初我怎麼不去考？只能說每個人各有因緣。

4. 考過了，那接下來呢？
   接下來仍然要繼續學習發展。我覺得人貴自知，不患無用。自己缺乏什麼就去補足，尤其工作上目前需要的該是優先(除非你想轉換跑道)，IT的世界日新月異，資安領域也是時有變化，不進則退。歡迎所有資安同伴們多多交流分享，讓我向您學習。

「世上所有的衝突皆始於對觀念的執著
觀念的對錯，只有歷史才能定斷」--孫策《火鳳燎原》

明天開始將要分享新手資安分析師工作上的挑戰，如果有更好的解決方法，歡迎留言討論。