Sfortunatamente nel Regno Unito, molte aziende vogliono che tu abbia quelle locali, CREST e CHECK, e naturalmente SANS. OSCP non vende tanto quanto loro e ISC o EC-Council.
Il mio consiglio per te sarebbe di iniziare prima con CEH, poi con GPEN e con una maggiore esperienza, puoi andare su OSCP.
Per essere onesti, OSCP non è un entry-level nel mondo del PT, ti suggerirei prima di esercitarti su Metasploitable, DVWA e quei tutorial, ottenere un paio di libri come Metasploit: The Penetration Tester's Guida , Test di penetrazione avanzata per ambienti ad alta sicurezza: la Guida alla sicurezza definitiva e, soprattutto, motivazione e pratica.
Ora, avere queste certificazioni è un vantaggio, ma quando si ottiene un colloquio, diciamo big 4, boutique di sicurezza, telco e simili, il più importante è che tu sia in grado di comunicare i problemi con il cliente a tutti i livelli. Il fatto è che non esiste un vero modo per "apprenderlo". Oltre a questo, è necessario disporre di solide competenze di networking, comprensione del sistema operativo, database e come tutto comunica, script di base e simili. Una domanda molto semplice come:
Let's suppose you're doing a PT, and in the middle of it, you trigger something, the exchange server crashes, client wants you to continue with the PT and meet the deadline but without touching the exchange server
Il meglio per te sarebbe quello di ottenere un lavoro come amministratore di rete, (le opportunità di pentimento junior sono là fuori, ma estremamente difficili da trovare) e la maggior parte di queste ... beh, non ti insegneranno nulla che non riesci a trovare su Internet, molto probabilmente non ti invieranno mai per incontrarti con un cliente e discuteranno di come tratterai un pentest e l'approccio che sceglierai.
Buona fortuna davvero! Prova a lavorare come consulente per la sicurezza e a parlare con i ragazzi che fanno PT e acquisire esperienza, è un sacco di studio personale.