La respuesta obvia aquí es que la experiencia es lo único que importa. Ingeniero inverso toneladas de cosas. Amplía tus conocimientos. Comparte lo que has aprendido. Etc. etc.
Pero, por supuesto, obtener una certificación no le hará ningún daño y, en lo que a mí respecta, solo contará como una ventaja en su CV.
Sin embargo; Tener una certificación en tu CV no te da un trabajo por tu cuenta. En la época actual, los reclutadores están buscando activamente personas que "hagan más". Te sugiero que comiences a construir tu "marca". Hazte visible en la comunidad. Discutir nuevo malware en Twitter. Comparta su conocimiento aquí en security.SE etc. Eso es lo que finalmente va a asegurar su posición como analista de malware.
Cuando se trata de qué certificados tomar; He escuchado y leído muchas cosas buenas sobre el GIAC Reverse Engineering Malware (GREM) proceso de dar un título.
También he estado buscando un montón de posiciones abiertas de Malware Analyst, y aquí están algunas de las diversas certificaciones que solicitan. Probablemente hay muchos más, y generalmente son solo sugerencias del lado de la contratación. No tenga miedo si su certificación no está en su lista de "queremos a alguien con estos certificados", es posible que simplemente no hayan considerado (o escuchado) la que tiene (lo que no es necesariamente algo malo, HR). es HR después de todo).
Por tu última pregunta; Obtenga una certificación cuando tenga el dinero, el tiempo y haya investigado lo suficiente para asegurarse de que cubre exactamente lo que desea aprender. No hay prisa, y algunos empleadores incluso pagan por las certificaciones una vez que se contrata. Así que mi mejor sugerencia es comenzar a construir su marca y hacer crecer su conocimiento.