写在前面
好久没有正常频率更新技术文章了,向大家解释一下偷懒的原因。
一是这两三个月在备考CISSP,22年底给自己制定的目标。二是接近国护普通红队目和PK类项目剧增,白天打完心力憔悴,晚上和周末看看SSP的内容就想躺平了。想着七月肯定更忙(部门七月有五六个红队项目同步进行),分享一下通过CISSP的个人备考的心路历程和整理的资料(主打真实)。
目录
0x01 考CISSP的原因
0x02 CISSP考试形式
0x03 CISSP备考建议
0x04 CISSP备考资料
考CISSP的原因
一开始我比较迷惑,安全技术岗要不要考证。一个三五年渗透或者红队经历的老师傅,难道还要考个证证明自己会渗透吗。
去年刚开始工作的时候,有时候红队项目甲方会提前要我们的简历,然后再面试筛选。简历里总有一栏是获得证书情况,空空荡荡总感觉少了什么东西。证书有时候是一个准入门槛。
证书选择。苏格拉底说“与其千鸟在林,不如一鸟在手”。没考证之前好像每个人都有很多选择,但毕竟精力有限,一段时间内只能有一个选择。我的理解从零到一是雪中送炭的过程,证书像是一个准入凭据。从一到多是锦上添花,对我来说目前一个证书就足够了,短期几年不会再考虑考证了。
优缺点。CISSP的缺点是没有题库,有一定难度,英文翻译成中文理解上可能会有问题。但优点也是因为难考导致的稀少,2020年大概国内CISSP持证3000人左右(近年开始变多)。我记得当时部门里一个比较上进的实习生同事通过了CISP-PTE的考试,对于他来说这肯定是给安全生涯开了一个好头。但是我感觉,如果实习生也能持证,那我即使考过了,我的竞争力在哪里呢。
另外SSP还需要四年以上的安全工作经验证书才能生效,我还差两年+工作经验。各位有考证需要的师傅们也可以根据这个自行选择,如果乙方公司需要能立即生效的安全证书用于竞标这种作用,CISP会是更好的选择。
CISSP考试形式
CISSP有两种考试形式一种是自适应测试(CAT),考试时间3小时,考试语言是英语,考题数量100-150题,及格分数700分(满分1000)。第二种是线性考试,考试时间6小时,考试语言中文(每题都可以看翻译前的英文),考题数量250题,及格分数700分(满分1000)。考试地点:北京、上海、广州、沈阳考场可以线上自己预约。
我选择的是中文的线性考试,以下是注意点:
1、考试报名费用是749$(五千多),改期50$,取消100$。考试报道需要准备身份证+护照或者身份证+有姓名的信用卡。进入考场前需要拍照、录入指纹,建议提前半小时到达考场。
2、考试题目都是单选题(习题会有多选题但是考试都是单选),进入考场检查很严格什么都不能带。
3、考试途中可以举手示意出去吃东西上厕所(没有限制单词休息的时间),次数是不限的,但是计时不会停。
4、考试时间有早上八点和下午两点,建议选择早上八点以免下午场犯困。
5、因为考试时间很长,建议早饭吃饱一点,可以带士力架红牛放考场外面,中间休息可以补充能量。
6、下面是八个域的考试权重:
CISSP备考建议
建议备考时间是3到6个月,不建议一年往上去拖。给自己定一个考出的时间,差不多了就报名考试把钱交了。Deadline是第一生产力。我自己是二月底正式开始学,到六月底考试,大概四个月。
我考试的费用是2880+5300=8180,其中2880是报名培训班的费用,5300是报名考试的费用。报名培训班之前自己就买了书,自己看书进度很慢,真是不花钱就不会好好学的性格(有点理解收费自习室存在的意义了)。培训班氛围很好,每天都有人在群里讨论题目每周陆陆续续都会有几个大佬通过,想划水都难受。所以自制力不强的师傅可以考虑报个班。
考试资料我买了一本《CISSP官方学习指南》(OSG),还有一本《CISSP认证考试指南》(All-In-One)。建议的话买一本OSG就够了,因为根本看不过来,两本书加起来快2000页,我没来得及看All-In-One就去考试了。
CISSP备考资料
自己总结的一份脑图和收集的错题大概1300题包含解析。有需要的师傅公众号回复CISSP资料。另外如果对培训班感兴趣的师傅公众号回复CISSP培训班。(没接到推广这里就不放培训班的图了,不是实时回复)
写在最后
“与其千鸟在林,不如一鸟在手”的人生意义是,人生其实就是种种的选择和放弃,年轻时我们充满精力,面前有无数的诱惑、无数选择的机会和无数条路,正像面对那一片繁茂的树林。当经过思考,终于走到相中的那棵树下时,实际上已做了放弃其他的抉择。眼中只有这棵树,心中也只有这棵树,那片树林已不再属于自己。祝大家早点遇到心里的那棵树。