La risposta ovvia qui è che l'esperienza è l'unica cosa che importa. Reverse ingegnere tonnellate di roba. Espandi le tue conoscenze. Condividi ciò che hai imparato. Ecc ecc.
Ma ovviamente ottenere una certificazione non ti farà del male e, per quanto mi riguarda, sarà considerato un vantaggio sul tuo CV.
Tuttavia; avere una certificazione sul tuo CV non ti dà un lavoro da solo. Ai giorni nostri i reclutatori stanno attivamente cercando persone che "fanno di più". Ti suggerirei di iniziare a costruire il tuo "marchio". Renditi visibile nella comunità. Discutere di nuovi malware su Twitter. Condividi le tue conoscenze qui su security.SE ecc. Questo è ciò che alla fine garantirà la tua posizione di analista di malware.
Quando si tratta di ciò che certs prendere; Ho ascoltato e letto molte cose positive su GIAC Reverse Engineering Malware (GREM) certificazione.
Ho anche esaminato molte posizioni aperte di Analista Malware, e qui ci sono alcune delle varie certificazioni che chiedono. Probabilmente ce ne sono molti altri, e di solito sono solo suggerimenti dal lato delle assunzioni. Non temere se la tua certificazione non è sulla loro lista "vogliamo qualcuno con questi certificati", potrebbero semplicemente non aver considerato (o sentito) quello che hai (che non è necessariamente una brutta cosa, HR è dopo tutto HR).
Per la tua ultima domanda; Prendi una certificazione quando hai i soldi, tempo e hai fatto abbastanza ricerche sulla certificazione per assicurarti che copre esattamente ciò che vuoi imparare. Non c'è fretta e alcuni datori di lavoro pagano addirittura le certificazioni una volta assunti. Quindi il mio miglior suggerimento è iniziare a costruire il tuo marchio e far crescere la tua conoscenza.