Moin,
erstmal: schön, dass du weisst in welche Richtung du gehen möchtest. Da bist du den Meisten einen Schritt vorraus.
Der Security Analyst wird in vielen Fällen als "Mädchen für alles" als Stellenbezeichnung genutzt für die man sonst keine genauere Bezeichnung hat.
Daher macht es einen großen Unterschied wo dein Ziel genau liegt. Ein SOC Engineer hat andere Anforderungen als ein PenTester oder ein Informationssicherheitsbeauftragter. Alle drei werden in der Realität aber oft mit "IT-Sec Analyst" ausgeschrieben. Oft sind auch alle drei Stellen gleichzeitig damit gemeint.
Um das ganze für dich einzugrenzen, ganz grob die Frage: Was ist es, dass dich an dem Job reizt? Bzw. Was willst du später in dem Beruf machen? Mit den Antworten aus dieser Frage kannst du dann nach Stellen schauen, die deine Wünsche als Tätigkeitsbeschreibung haben.
Hast du eine Stelle gefunden die nach dem sucht, was du später machen möchtest? Dann schau dir an welche Qualifikationen verlangt werden. Schau hier auch nach möglichst vielen verschiedenen Arbeitgebern (nicht nur in deiner Umgebung). Viele wollen nach wie vor einen Uni-Abschluss, andere erwähnen einen Abschluss gar nicht mehr in der Stellenanzeige. Ich selbst bin auch im IT-Sec-Sektor ohne einen Abschluss oder Zertifikate zu haben.
Das CompTIA Sec+ oder das GIAC Sec Essentials sind die universalsten Zertifikate im Bereich IT-Sec und nie verkehrt, wenn man es sich leisten möchte. Andere Zertifikate kommen ganz darauf an wo du genau hinmöchtest.
Beim Klassischen Analysten gehen die Zertifikate oft weniger auf die technische, operative Ebene, als auf die management Ebene. CISM oder CISSP werden hier oft in Stellenausschreibungen genannt.
Beim Bereich PenTest (Da du CEH und #Pentesting erwähnt hast) hätten wir das eJPT oder CompTIA PenTest+. Den CEH kann man sich getrost sparen, sofern es nicht von einem speziellen Arbeitgeber verlangt wird. Gleiche/weniger Kosten und deutlich annerkannter in der Industrie ist das OSCP oder eCPPT.
Nun aber zu den eigentlich spannenden Dingen:
Wie fängt man an. Dafür Lege ich immer wieder TryHackMe ans Herz.
Man kann es kostenlos ausprobieren und es bietet verschiedene Pfade an.
Vom Pfad "Complete beginner" über die Pfade "Intro to Cyber security" und "Pre Security" hin zu Offensiver und Defensiver IT-Sicherheit. Hier kann man sehr Praxisnah im Browser schon anwenden was man liest und schauen was davon einem am meisten Spaß macht.
Generell gilt: Neugirieg sein. Lernen wollen. Lernen, dass das Lernen niemals aufhört in dem Bereich ;)
Falls noch Fragen offen sind oder ich gar neue aufgeworfen habe, frage gerne nach.
MfG
Souta