It-säkerhet/Pen-testare hos myndighet?

Hej, Vet ej om tråden skall ligga i IT-säkerhet eller Arbetsliv och Arbetsmarknad.
Om tråden ligger fel får mod gärna flytta.

Historia:
Hej, Jag arbetar idag som cloud engineer. Har arbetat mig upp från helpdesk, TAM och nu vidare. Varit aktiv ca 9 år i branshen. I förra veckan såg jag en annons inom pen-test/säkerhet för rikets säkerhet. Något som tände en eld inom mig. Har inte varit så taggad på länge. Jag har en god karriär och kan säkerligen "tuffa på" där jag är. Bra lön, bra villkor etc. Har inte funderat så mycket över att byta. Men att arbeta för Sverige tände verkligen något inom mig. Kanske har rådande världsbild fått en att fundera. För första gången insåg jag att mina kunskaper kan användas för att stärka vårt land, hjälpa andra och att faktiskt "göra nytta" på riktigt.

Problem:
Mina kunskaper för den specifika rollen är idag på tok för svaga i vissa grenar, något som jag absolut kan lära mig. De certifikaten jag behöver ta kommer ta ca 2,5 år att genomföra om mina beräkningar stämmer. Då räknar jag med minst 6 månader/cert för att verkligen förstå teknologin.
Har inget intresse av att "klara ett prov", vill förstå på djupet.

Frågor:
1. Är det någon här som har erfarenhet av att arbeta inom pen-test? Bra eller anus?

2. Kan dessa vara relevanta Linux cert att ta?:
2.1: RHCSA
2.2: RHCE

3. Du som arbetar inom pentest/säkerhet: Vad anser du saknas på marknaden idag? Vart faller kunskapen kort?

mvh

Ska du in på pentest så försök hoppa på något trainee program. Flera av de bra konsultbolagen har sådana för folk med bra bakgrund att gå.

Linux certen du nämner har 0 värde för en pentestare. Ska du ta något är det OSCP som gäller, men kanske börja något från elearnsecurity deras två första cert är en bra början innan OSCP. Du bör klara två från elarnsecurity på några månader och OSCP borde inte ta mer än 6 månader från noll förutsatt du har lite kunskap och är helt korkad. Hackthebox är också bra att köra igenom så mycket du kan.

Jag själv bytte bana till pentest för några år sedan och det var då inga problem att få en junior pentest tjänst baserat på mina kompetenser från annat område blandat med en del plugg på fritiden. Branschen är nu stekhet så förmodligen är det ännu lättare nu.

Jobba som pentestare är rätt kul men det man får tänka på är att det också är mycket mindre skoj uppdrag. Du hackar inte fet infra eller spännande saker varje gång och mycket är tråkiga webbtester eller liknande. Jag tröttnade efter en stund på upplägget där man gör kortare tester skriver en tråkig rapport sen nästa och nästa och gick vidare mot annat inom säkerhet. Ett tips är ändå att börja som konsult för att få stöta på mer olika typer av miljöer för att bygga bredd och erfarenhet sen är det lätt att gå vidare mot myndighet om du vill.

Det som saknas idag är folk som verkligen kan grejerna från grunden och folk inom molnsäkerhet. Men i princip allt inom säkerhet är brist i dagsläget. PM om du har mer frågor.

Stort tack för bra svar. Kommer skicka ytterligare ett par frågor på PM.

Linux certen är egentligen inte för själva rollen eller potentiell framtid inom pentest utan mer för min egna del då jag anser mig svag i Linux. Nu när jag "sys-addat" upp fler linux miljöer börjar jag se simpliciteten med Linux. Så enbart för mig själv att underlätta min vardag.

Läste bara lite snabbt om OSCP. Förstår det som att detta är "the cert". Verkar vara ett "stort" cert?
eJPT var ett mycket bra förslag. Fullt rimligt att göra först. Får bli den först.

True, det låter som en vettig väg att gå. Framförallt att göra ett par år, specifikt i den branscen, innan myndighet.

"Det som saknas idag är folk som verkligen kan grejerna från grunden och folk inom molnsäkerhet. Men i princip allt inom säkerhet är brist i dagsläget."

Det är lite detta jag upplever i mitt fält också, få som besitter djup kunskap. Folk ströläser någon cloud kurs men kan ingenting om det mest fundamentala nätverks-uppsättningar. Kan inte säga att jag har djup kunskap men bra bit över "average".

Ok, det är betryggande att höra att det är högt tryck på säkerheten. Tror det kan vara en kul bransch att ge sig in i.

Hur trivs du i branshen? Något som du kommer fortsätta i?

OSCP är ett stort cert som täcker mycket och kräver en hel del, det kräver också att du har förmågan att plugga utan att någon håller dig i handen och verkligen försöker och försöker och är kreativ och kan se på saker på rätt sätt. Precis sånt man behöver i verkligenheten.

Jag trivs utmärkt och kommer stanna i den och testa lite olika roller, just pentest tröttnade jag på rätt fort men finns mycket kul och med bakgrund i bla pentest så kan man ta massor av roller.