IT Security Certificeringen

Runaque schreef op zondag 9 maart 2025 @ 14:49:
Hoe staan jullie tegenover de "learning paths" van TryHackMe om kennis op te bouwen om richting cybersecurity uit te willen gaan? Op dit moment zit ik in een opleiding systeembeheer en zou uiteindelijk graag deze richting uit willen. Ook vroeg ik me af of het de moeite is om op je CV te vermelden.

Learning paths van THM / HTB kan je na bewezen afronding bij cursussen noemen, op je CV.

Ik volg zelf learning paths bij HTB, omdat ik hun UI, vormgeving en inhoud prettiger vind. Maar beiden zijn valide manieren om nieuwe stof tot je te nemen.

Liegebeest schreef op maandag 10 maart 2025 @ 12:34:
[...]

Learning paths van THM / HTB kan je na bewezen afronding bij cursussen noemen, op je CV.

Ik volg zelf learning paths bij HTB, omdat ik hun UI, vormgeving en inhoud prettiger vind. Maar beiden zijn valide manieren om nieuwe stof tot je te nemen.

Leuk om te horen! Het huidige nivea/certificaat dat ik op THM heb is de "Cyber Security 101" en ben me nu door "SOC Level 1" aan het werken en het leuke is dat de rooms die je doet, ook die van andere career paths afvinken, dus dat maakt dat als je een andere richting uit wil, dat het werk dat je voorheen erin gestoken hebt ook niet voor niets was.

Ik veronderstel dat "na bewezen afronding" dat je hun certificate of completion bedoeld?

Ik veronderstel dat "na bewezen afronding" dat je hun certificate of completion bedoeld?

Correct. Pas wanneer je die hebt, heb je de "cursus" afgerond. Tot die tijd kan je het onder "persoonlijke projecten" zetten ofzo.

quility323 schreef op maandag 19 februari 2024 @ 13:06:
Momenteel ben ik opzoek naar de juiste training/certificering, ik mis wat info dus wellicht kunnen jullie mij hierbij helpen.
Ik wil mij graag specialiseren in Cyber Security, nu heb ik zelf 11 jaar ervaring in IT en tevens ook een aantal jaar ervaring met ISO27001, ISO9001 en NEN7510 waarbij ik een aantal implementaties heb gedaan en de rol Security Officer op me heb genomen.
Het idee is om security assessments uit te voeren, consultancy/advies geven, diensten uitwerken in Cyber Security.
Nu zoek ik deze training met 2 doelen:

1. Ik wil er (technisch) wat van leren.
2. Erkenning/aantoonbaar qua kennis richting externe (voornamelijk naar klanten).

Zelf twijfel ik tussen CCSP en CISSP. Waarbij ik eerder neig naar CCSP omdat dit meer technisch aanvoelt in vergelijking tot CISSP die heel breed is maar daarentegen wel "bekender" is.
Qua Microsoft certificaten, heb ik momenteel: SC-900, SC-300, AZ-104 en wil ik nog SC-200 en SC-100 halen.

Iedereen kan zich de rol Consultant of Security Officer toe-eigenen maar zeker in de Security vind ik het belangrijk dat je gekwalificeerd bent.
Waar letten jullie op bij iemand die zich een Security consultant of vergelijkbaar noemt?

We zijn ruim een jaar verder maar afgelopen vrijdag mijn CISSP certificering behaald!

Vanaf september '24 t/m december '24 de CISSP cursus gevolgd via Security Academy (10 dagen, 1 per week) na wat tips in dit topic dus dank daarvoor! Een aanrader.
Vervolgens nog flink wat thuisstudie via ISC2 OSG icm Wiley, Destcert en LearnZapp (free) oefenvragen.
Laatste 3 weken alleen maar oefenvragen gemaakt met QE (Quantum Exams).

Nu even bijkomen en wachten op mijn endorsement!

paella schreef op donderdag 6 maart 2025 @ 09:45:
Kortdag, maar wel interessant van TryHackMe:

Free SAL1 for BTL1 or CySA+ Holders!

https://www.linkedin.com/...7302367160515911680-N_mE/

"If you hold a BTL1 or CySA+ certification, we’ve got something special for you! 🎉 We’re giving away FREE access to our latest certification, SAL1, because your expertise matters—and we want your feedback!"

🔹 You must hold a BTL1 or CySA+ certification (earned before March 1st, 2025).
🔹 Anyone can apply, but if you are part of a company, a maximum of 3 participants per company apply.
🔹 Your free access to SAL1 is valid until March 31st, 2025, and the certification must be completed before this date.

Ik heb SAL1 vandaag gedaan en gehaald. Moet ik wel eerlijk zijn en zeggen dat het de tweede poging was. De eerst poging wilde ik het toch te snel doen en te weinig informatie in de reports schrijven.

Het is wel leuk en niet al te moeilijk. Ze marketen het dan ook als een beginners-examen en dat klopt wel. Multiple Choice is niet heel moeilijk en de case studies zijn met beetje nadenken ook prima te doen. Heb zelf voordat ik begon voor de tweede keer korte templates geschreven voor de reports en waar nodig de data verandert uiteraard.

ChUcKiE schreef op woensdag 8 januari 2025 @ 16:18:
Security Academy Lead Implementer ISO27001
Security Academy Lead Auditor ISO27001 (verliep via DNV).

Hier heb ik ze gevolgd!

Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]
Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Yup. Alle ISO270001 certificeringen moet je elke drie jaar verlengen, net als veel andere security certs.

Qua het volgen van een cursus: er zijn meer aanbieders op de markt. Ik heb mijn ISO27001 LI gedaan bij TSTC in Veenendaal, dat was vier dagen achter elkaar en dan kon je op Vrijdag meteen het examen doen als je wilde.

De cursus bij Security Academy doen heeft mogelijk een voordeel: het is vaak één dag per week. Dat geeft je tijd om nog wat huiswerk / leeswerk / onderzoek te doen. Nadeel is dat je dus ook gewoon langer bezig bent.

Wat voor leerkracht je krijgt is afhankelijk van wie er voor die club beschikbaar zijn. Ik ben zelf vaker cursist geweest bij TSTC (beviel goed) en ben betrokken als leerkracht bij Security Academy (bevalt ook goed). Dus, snuffel rond, vraag nog wat meer ervaringen.

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]


Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Een certificaat voor een (Lead) Auditor training hoef je niet te onderhouden. Alleen als je auditor bent bij een certificerende instantie en daadwerkelijk zelf bedrijven mag certificeren, maar dat gaat dan op basis van ervaring, bijwoningen, tussentijds examens en een aantal verplichte studiedagen per jaar.

[ Voor 4% gewijzigd door Dennisdn op 21-04-2025 08:46 ]

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]


Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

De ervaring was prima, het is handig om vooraf wat te weten over iso27001, verder valt het mee qua voorkennis.
Onderhoud van certificaat is bijna voor elk certificaat “nodig”, dus ook voor deze. Ik ga dat alleen niet doen. Ik doe daar ook geen moeite voor.
Eerlijk gezegd hou ik dat alleen vol voor mijn CISSP (en meteen CCSP).

Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Je website lijkt bij mij niet te willen laden of echt Heeeel erg langzaam
Wordt je ouderwets ge-slash-dot?

Maar vervelend dat je het niet gehaald hebt, ben benieuwd naar je blog!
Edit2: Ik heb je blog nu gelezen. Ik heb waardering voor je openheid! Je ziet waar je kan en moet verbeteren en dus gaat het de volgende keer beter! Heb jij een deadline opgelegd gekregen of ben je zelf te vroeg gestart met het examen?

_{edit: Vanaf mijn telefoon via 5g werkt het inderdaad supersnel. Via Odido fiber voor geen meter. rond de 100ms latency en 31% packetdrops. Andere destinations hebben er geen last van. Maar ik ga dit topic verder niet kapen. Het zal vast wel een peering issue van Odido richting je hosting zijn.}

[ Voor 32% gewijzigd door Hennie-M op 26-04-2025 12:28 ]

Euh, bij mij doet ie't gewoon goed en snel. Maar wel goed dat je me herinnert een backup te maken; dat is te lang geleden en dat stukje zelfbouw CMS zal een echte hack/pentest niet weerstaan.

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Niet leuk om te horen! Ik heb t/m januari toegang tot alles en heb dus nog even de tijd gelukkig. Hoop te doen nog wel, veel oefenen. Wat ga jij nu doen?

paella schreef op zaterdag 26 april 2025 @ 12:44:
[...]

Wat ga jij nu doen?

Als de donder toch mijn examen-verslag schrijven. Ik ging dat eerst niet doen, maar dat is dom: dan laat ik een kans op feedback liggen, waar ik al voor heb betaald!

Dus...

1. Rapport schrijven en inleveren
2. Volgende week drie dagen lesgeven
3. Herpakken en een plan bedenken voor de rest van het jaar
4. Waarschijnlijk de rest van het jaar: CPTS studie path, daarna HTB Labs en mogelijk OffSec Labs.
5. Hopelijk voor het eind van het jaar CPTS examen.

De grootste uitdaging die ik heb is dat mijn huidige werk en opdrachten helemaal niet meer in deze richting liggen. Daarom ben ik ook zo enorm out of practice.

EDIT:

Vier uur later, 35 pagina's aan rapport (excl. appendices) ingediend. Wat een boekwerk, stel je voor dat ik meer succes had gehad in de labs!

[ Voor 8% gewijzigd door Liegebeest op 26-04-2025 17:04 ]

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Wat fijn dat je jouw ervaringen deelt voor iedereen die geïnteresseerd is. In je blog schrijf je dat je het prettig vindt om feedback te krijgen op je rapport. Uit mijn ervaring blijkt echter dat Offsec geen inhoudelijke feedback geeft—je ontvangt alleen een e-mail met de uitslag.

Ik ken veel collega’s die dagelijks vergelijkbaar werk doen, maar toch moeite hebben met het examen en meerdere pogingen nodig hebben. Sommigen slagen er zelfs helemaal niet in om het te halen. Ik wil ook niet generaliseren. Voor iedereen is het ook weer anders.

Liegebeest schreef op zaterdag 26 april 2025 @ 13:01:
[...]

Als de donder toch mijn examen-verslag schrijven. Ik ging dat eerst niet doen, maar dat is dom: dan laat ik een kans op feedback liggen, waar ik al voor heb betaald!

Dus...

1. Rapport schrijven en inleveren
2. Volgende week drie dagen lesgeven
3. Herpakken en een plan bedenken voor de rest van het jaar
4. Waarschijnlijk de rest van het jaar: CPTS studie path, daarna HTB Labs en mogelijk OffSec Labs.
5. Hopelijk voor het eind van het jaar CPTS examen.

De grootste uitdaging die ik heb is dat mijn huidige werk en opdrachten helemaal niet meer in deze richting liggen. Daarom ben ik ook zo enorm out of practice.

"Leuk" om te lezen @Liegebeest interessant om te zien wat voor impact het heeft als je er even een tijdje uit bent inderdaad. Was lang geleden dat ik je blog voorbij heb zien komen. Houd er wel rekening mee dat OSCP (zoals je weet) een typisch examen is waarbij teveel kennis je enorm dwars kan zitten. Ik had een collega die jaren succesvol pentesting deed voor grote organisaties maar toch 7x gezakt is voor zijn OSCP omdat hij gewoon te vaak het "Rabbithole" syndroom had omdat hij gewoon te veel wist.

Bij OSCP is het echt de kunst om je tot de lesstof te beperken en dat goed te kunnen toepassen in verschillende situaties.

Daarnaast ik hoor hele goede dingen over CPTS maar de stof is op sommige vlakken minder en op sommige vlakken meer als de OSCP stof, dus ook hier is kennis beperking de kunst ( wel super benieuwd wat je ervan gaat vinden.

Liegebeest schreef op zaterdag 26 april 2025 @ 13:01:
[...]

Vier uur later, 35 pagina's aan rapport (excl. appendices) ingediend. Wat een boekwerk, stel je voor dat ik meer succes had gehad in de labs!

35 Pagina's maar Slacker

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Ai balen man! Wat was de reden dat je opnieuw OSCP bent gaan doen? Je OSCP is altijd geldig, of heb je de wens/vraag om OSCP+ gecertificeerd te blijven?
Ik heb in 2023 mijn OSCP gehaald, vlak voordat ze OSCP+ aankondigde. Ik kon toen voor een 'klein' bedrag opnieuw OSCP+ examen doen, maar ik vond dat het niet waard, ik ben niet van plan om die + bij te houden. (Dat doe ik wel door veel te pentesten)

Kip schreef op dinsdag 29 april 2025 @ 09:13:
[...]
Ik ken veel collega’s die dagelijks vergelijkbaar werk doen, maar toch moeite hebben met het examen en meerdere pogingen nodig hebben. Sommigen slagen er zelfs helemaal niet in om het te halen. Ik wil ook niet generaliseren. Voor iedereen is het ook weer anders.

Ik vond OSCP best meevallen, maar misschien heb ik gewoon veel geluk gehad met een makkelijke set ofzo? Ik heb in de voorbereiding het offsec materiaal doorgenomen (inclusief training bij TSTC) en de 3(2?) test-examenlabs gedaan die je van offsec krijgt. Tijdens het examen was het wel even puzzelen, maar uiteindelijk alle machines kunnen rooten. Heb ook nog 6 uurtjes geslapen, al was dat wel nadat ik al 80 punten had, daardoor lukte het wel om m'n ogen dicht te doen

Verder had ik nog niet veel ervaring met pentesten, wel veel windows ervaring omdat ik jaren systeembeheerder was, maar voor wat betreft het hacken was CEH mijn enige ervaring.

GeleFles schreef op dinsdag 29 april 2025 @ 13:24:
[...]

Verder had ik nog niet veel ervaring met pentesten, wel veel windows ervaring omdat ik jaren systeembeheerder was, maar voor wat betreft het hacken was CEH mijn enige ervaring.

He, dankjewel, dit geeft mij hoop.

Even een snarf&barf van m'n LinkedIn en Reddit:

CertNexus CSC-210 has been on the DoD 8140 list for a while, for positions requiring secure coding skills. The certification itself isn't very well known, it was recently reviewed on r/cybersecurity by u/7alen7 here -> https://www.reddit.com/r/...xam_discussion/?rdt=62757

CertNexus are working on the successor to CSC-210, called CSSD-110: Cyber Secure Software Developer. They're opening the public beta-test of the exam per May 1st. Anyone can apply, they'll want you to write a little about why you want to do the beta. As far as I know it'll be a free exam

Info and beta application here -> https://certnexus.com/cyber-secure-software-developer/

@Liegebeest Kan het zijn dat je RSS feed het al een tijd niet werkt?

paella schreef op vrijdag 2 mei 2025 @ 11:22:
@Liegebeest Kan het zijn dat je RSS feed het al een tijd niet werkt?

Dat zou zomaar kunnen...

Is dat een nette hint dat ik daar datalek? Ik ga eens kijken.

EDIT:
Ah, gelukkig niet... maar idd, de scripting er achter werkt niet meer goed. Dat moest ik maar eens fixen, bedankt voor de bug report!

[ Voor 20% gewijzigd door Liegebeest op 02-05-2025 11:29 ]

Liegebeest schreef op vrijdag 2 mei 2025 @ 11:28:
[...]

Is dat een nette hint dat ik daar datalek? Ik ga eens kijken.

Inderdaad nee, geen datalek oid. Maar ik lees vaak met interesse de artikelen en realiseerde met de laatste link die je hier postte dat ik m niet in mijn rss feed langs heb zien komen.

Ik ga d'r dit weekend ff naar kijken. Bedankt voor je heads-up!

Liegebeest schreef op vrijdag 2 mei 2025 @ 12:14:
Ik ga d'r dit weekend ff naar kijken. Bedankt voor je heads-up!

Het werkt inderdaad weer.

[ Voor 5% gewijzigd door Jazzy op 14-05-2025 16:26 . Reden: funvtie verwijderd ]

Ecablynx schreef op dinsdag 13 mei 2025 @ 17:13:
***members only***

Geen ervaring met assessments van SANS. Vermoed dat het een van deze is: https://www.sans.org/cybersecurity-assessments ?

@Ecablynx

[ Voor 49% gewijzigd door Jazzy op 14-05-2025 16:11 . Reden: Informatie over functie verwijderd ]

@BytePhantomX Ik heb jouw bericht even geknipt omdat je onbedoeld nog meer aandacht op het probleem vestigt.

@Ecablynx Uit jouw bericht heb ik de functie verwijderd aangezien BytePhantomX je er op wijst dat je geacht wordt die informatie niet bekend te maken.

BytePhantomX schreef op woensdag 14 mei 2025 @ 15:54:
@Ecablynx


***members only***

[ Voor 5% gewijzigd door Ecablynx op 14-05-2025 16:47 ]

Ik wil mijn kennis rondom IT-risk, risicomanagement (vanuit ISO27001-NEN7510) vergroten, om zo IT-risicomanagement beter in te kunnen zetten binnen onze zorgorganisatie, die zelf nog niet zo heel volwassen is binnen het IB-domein. Ik heb al de Implementer en Lead Audit 27001 gevolgd, maar ben nu specifiek opzoek naar cursus op het gebied van IT Risicomanagement.

Ik heb zelf al wel wat gevonden, bijvoorbeeld:
- https://www.tstc.nl/train...nance-risk-compliance-grc
-https://www.imfacademy.co...so-27005-risk-manager.php
- https://www.imfacademy.com/nl/cyber-it-security/crisc.php

Ik ben op zoek naar een cursus in het nederlands, gericht op ISO27001/NEN-7510.

Iemand hier nog tips, of een van deze cursussen zelf gevolgd? Ik ben benieuwd naar ervaringen!

ChUcKiE schreef op donderdag 22 mei 2025 @ 11:57:
Ik wil mijn kennis rondom IT-risk, risicomanagement (vanuit ISO27001-NEN7510) vergroten, om zo IT-risicomanagement beter in te kunnen zetten binnen onze zorgorganisatie, die zelf nog niet zo heel volwassen is binnen het IB-domein. Ik heb al de Implementer en Lead Audit 27001 gevolgd, maar ben nu specifiek opzoek naar cursus op het gebied van IT Risicomanagement.

Ik heb zelf al wel wat gevonden, bijvoorbeeld:
- https://www.tstc.nl/train...nance-risk-compliance-grc
-https://www.imfacademy.co...so-27005-risk-manager.php
- https://www.imfacademy.com/nl/cyber-it-security/crisc.php

Ik ben op zoek naar een cursus in het nederlands, gericht op ISO27001/NEN-7510.

Iemand hier nog tips, of een van deze cursussen zelf gevolgd? Ik ben benieuwd naar ervaringen!

Wat wil je precies leren? Risico’s zelf identificeren, of risicoprocessen implementeren, met richting strategie of juist operationeel?

Orangelights23 schreef op donderdag 22 mei 2025 @ 13:01:
[...]


Wat wil je precies leren? Risico’s zelf identificeren, of risicoprocessen implementeren, met richting strategie of juist operationeel?

Klinkt misschien vreemd, maar een "allesomvattende" cursus, waarin het volledige risicomanagement proces doorlopen wordt. Dus Vanaf Business Impact Analyse -> Bedreigingen Kwetsbaarheden analyse -> Bepalen beveiligingsmaatregelen en restrisico's -> Goedkeuren en accepteren restrisico's.
Uitgangspunt is dat ik het proces zelf mag uitvoeren in onze organisatie. Ik kan er weinig van delegeren.

ChUcKiE schreef op donderdag 22 mei 2025 @ 13:20:
[...]


Klinkt misschien vreemd, maar een "allesomvattende" cursus, waarin het volledige risicomanagement proces doorlopen wordt. Dus Vanaf Business Impact Analyse -> Bedreigingen Kwetsbaarheden analyse -> Bepalen beveiligingsmaatregelen en restrisico's -> Goedkeuren en accepteren restrisico's.
Uitgangspunt is dat ik het proces zelf mag uitvoeren in onze organisatie. Ik kan er weinig van delegeren.

Dan zou ik eens naar CRISC kijken. Wel heel Amerikaans, maar het geeft een goed inzicht in het gehele proces. In de basis is het een heel gestructureerd proces volgens de theorie, en zolang je met control frameworks werkt, heb je in feite reeds je risico’s.

Verder zijn 27005 en 31000 een kwestie van het lezen, het is goed te koppelen aan standaard projectmanagementmethodes. Een paar avonden video’s op YouTube kijken is voor velen al genoeg, zeker omdat het zo’n integraal onderdeel is van informatiebeveiliging

BytePhantomX schreef op donderdag 22 mei 2025 @ 16:27:
[...]


NIST SP800-31 rev 1. Dit is echt super taaie kost, maar zo ontzettend waardevol. Het is in ieder geval voor mij de leidraad voor het uitvoeren van risk assessments in het cybersecurity vakgebied. https://csrc.nist.gov/pubs/sp/800/30/r1/final. Als je een beetje er doorheen komt en het toepasbaar maakt voor jouw organisatie, dan is het ontzettend praktisch en gestructureerd en veel beter dan een generieke kans x impact aanpak. In dit plaatje zit die generieke kans x impact ook, alleen dan verwerkt in het blokje 'adverse impact'.

[Afbeelding]

Ik zou echter niet weten waar dit in een cursus verwerkt is en dan ook nog in het Nederlands.

(Ben overigens benieuwd naar andere of ze deze kennen, gebruiken of wat van vinden)

Ik gebruik dit niet specifiek, maar in de praktijk verschilt het niet veel van een klassieke kans x impact-benadering verrijkt met een cyclische aanpak (die organisaties vaak al hebben via een PDCA-cycle). Het idee is eigenlijk hetzelfde, alleen voeg je er meer ‘meetbare’ variabelen aan toe om de analyse te verrijken en een cyclisch proces voor riskmanagement (vaak ook al geborgd in andere processen). Als je dit concept in het extreme wilt zien, kijk dan eens naar IRAM2. Ik heb daar jaren geleden een risicoanalyse mee gedaan. Het werkt echt fantastisch, mits je alle variabelen goed en concreet kunt kwantificeren. Maar zodra bepaalde variabelen vaag blijven, wordt het al snel overkill.

Mijn ervaring is dat het zelden zinvol is om verder te gaan dan de basis van kans x impact, eventueel aangevuld met een paar relevante (risk) variabelen die ik als consultant inbreng. Vaak is de organisatie simpelweg nog niet volwassen genoeg om op dat niveau iets te doen met de uitkomsten en sluit een simpelere variant goed aan bij een enterprise breed risk management beleid. In de meeste gevallen is een simpele kans x impact-analyse, gecombineerd met de bestaande controls, een prima vertrekpunt om mee aan de slag te gaan. Dat gezegd hebbende: als je wél die extra diepgang kunt realiseren, dan begint riskmanagement pas echt interessant te worden en dan wordt het eigenlijk pas leuk

@Faust1946 thanks, ik ga eens beter naar IRAM2 kijken.

Wat ik in de meer klassieke risk management aanpak vak mis is dat je te maken hebt met bijvoorbeeld dreiginsactoren die een bepaalde intentie en capability hebben. Die worden dan vaak niet meegenomen, (alhoewel je die onder kans kan scharen). SP800-30r1 levert in de documentatie concrete voorbeelden aan waar je rekening mee kan houden wat het m.i. dan weer heel praktisch uitvoerbaar maakt.

Overigens pas ik het conceptueel toe, niet naar de letter zoals het beschreven is. Anders is het ook weer onwerkbaar of heel bureaucratisch.

BytePhantomX schreef op donderdag 22 mei 2025 @ 17:21:
@Faust1946 thanks, ik ga eens beter naar IRAM2 kijken.

Wat ik in de meer klassieke risk management aanpak vak mis is dat je te maken hebt met bijvoorbeeld dreiginsactoren die een bepaalde intentie en capability hebben. Die worden dan vaak niet meegenomen, (alhoewel je die onder kans kan scharen). SP800-30r1 levert in de documentatie concrete voorbeelden aan waar je rekening mee kan houden wat het m.i. dan weer heel praktisch uitvoerbaar maakt.

Overigens pas ik het conceptueel toe, niet naar de letter zoals het beschreven is. Anders is het ook weer onwerkbaar of heel bureaucratisch.

IRAM2 gaat inderdaad vrij concreet in op alle variabelen en kent scores toe aan zaken als capabilities en motivatie om zo tot een inschatting van kans en impact te komen. Daarmee maak je subjectieve elementen soms net wat objectiever en beter meetbaar.

Ik denk dat jouw aanpak inderdaad lekker pragmatisch is. Zelf gebruik ik ook regelmatig onderdelen daarvan om riskscenario’s te schetsen — vooral om de business te prikkelen en uit te dagen in hun denken.

Het ding is dat risico management veelal gebaseerd is op onderbuikgevoel. Je hebt geen idee wat de daadwerkelijke risico’s zijn, je kiest meestal risico’s waarvan je denkt dat het nu een probleem is, kans keer impact is veel te abstract en je hebt vaak zwaar onvoldoende inzicht in de daadwerkelijke dreigingen. Het biedt daardoor heel klein en beperkt toegevoegde waarde.

Al met al genoeg reden om het control gebaseerd te doen, waarbij je de kennis van bestaande frameworks gebruikt om de beheersmaatregelen direct te koppelen aan risico’s en vice versa.

(Heb hier een tijdje een paar keer over gesproken op conferenties en 9 van de 10 keer hoorde ik daarna “wtf zaten we moeilijk te doen :P”)

Orangelights23 schreef op donderdag 22 mei 2025 @ 20:49:
Het ding is dat risico management veelal gebaseerd is op onderbuikgevoel. Je hebt geen idee wat de daadwerkelijke risico’s zijn, je kiest meestal risico’s waarvan je denkt dat het nu een probleem is, kans keer impact is veel te abstract en je hebt vaak zwaar onvoldoende inzicht in de daadwerkelijke dreigingen. Het biedt daardoor heel klein en beperkt toegevoegde waarde.

Al met al genoeg reden om het control gebaseerd te doen, waarbij je de kennis van bestaande frameworks gebruikt om de beheersmaatregelen direct te koppelen aan risico’s en vice versa.

(Heb hier een tijdje een paar keer over gesproken op conferenties en 9 van de 10 keer hoorde ik daarna “wtf zaten we moeilijk te doen :P”)

Eens, ik vind het vooral een nuttige exercitie om met die input kritisch te kunnen kijken naar controls, designs, contractuele afspraken etc. Maar ik maak het ook zelden erg ingewikkeld, je kan beter concentreren op de zaken die je in de hand hebt.

Op de valreep net gemist:

https://engage.isaca.org/...67-45bc-81d2-01971787be05

ISACA zijn een AI security cert aan het beta-testen.

Liegebeest schreef op maandag 16 juni 2025 @ 14:38:
Op de valreep net gemist:

https://engage.isaca.org/...67-45bc-81d2-01971787be05

ISACA zijn een AI security cert aan het beta-testen.

Goed verdienmodel zo'n beta. Ze hebben max 300 plekken.

If participants would like additional exam prep, they will be able to purchase an AAISM Certification Questions, Answers, and Explanations Database (QAE) for an additional $199. Purchase of this product is not required to participate in the beta.

Approved volunteers must purchase the beta exam for US $399.

Toch weer 400/600 dollar per tester.

Ik zou opzich wel geintereseerd zijn in de QAE. Het certificaat is voor mij minder relevant en zou ook niet helemaal recht doen aan mijn (beperkte) kennis van AI.

Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]

Goed verdienmodel zo'n beta. Ze hebben max 300 plekken.

...

Approved volunteers must purchase the beta exam for US $399.

Benieuwd wat het examen uiteindelijk gaat kosten. De meeste beta's die ik doe zijn een stuk goedkoper, soms zelfs gratis.

Heeft iemand nog een goede tip voor een CRISC examenvoucher? Bij securityacademy.nl is het 625 ex en dan ook nog een keer de vragen bundle kopen bij ISACA. Heb me net aangemeld bij ISACA en de chapter kosten eveneens betaald. Dan zijn we zo 1100 verder (zzp).

loewie1984 schreef op maandag 16 juni 2025 @ 21:06:
Heeft iemand nog een goede tip voor een CRISC examenvoucher? Bij securityacademy.nl is het 625 ex en dan ook nog een keer de vragen bundle kopen bij ISACA. Heb me net aangemeld bij ISACA en de chapter kosten eveneens betaald. Dan zijn we zo 1100 verder (zzp).

Volgens mij vind je het niet goedkoper. Ik zou het gewoon via ISACA aanschaffen – je krijgt nog korting ook, omdat je al de chapterkosten hebt betaald. Misschien kent iemand nog een omweg via een of andere affiliatie. Het zou je eenmalig zo’n 100 euro kunnen schelen, maar met het belastingvoordeel als ZZP’er lijkt het me de moeite niet waard om het mogelijke gezeik dat erbij komt kijken op te zoeken.

[ Voor 15% gewijzigd door Faust1946 op 16-06-2025 21:19 ]

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]
Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Je zou eens kunnen kijken naar TCM Security. Die bieden een aantal cursussen waaronder OSINT fundamentals voor een hele betaalbare prijs (volgens mij nu 15 euries per maand?).

Voordat ik mijn OSCP haalde ben ik bij TCM door een aantal van die cursussen gevlogen. Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

b0nkel schreef op vrijdag 20 juni 2025 @ 08:55:
[...]
Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

Zolang ze niet AI generated zijn, is dat vaak best prettig.

PDSO en anderen maakten aanvankelijk filmpjes waarin de trainer zelf alles nog insprak en je'm vaak in beeld zag. Dat is prettig. PDSO is daarna overgestapt naar wel de slides maken, maar een voice-over laten maken met AI. Ik snap waarom, dan is het maken van aanpassingen tussentijds veel gemakkelijker. Zij blijven echter volhouden dat ze een voice actor hadden ingehuurd.

Maar het allerergste zijn de YouTube kanalen waarbij ze AI gebruiken voor de slides, de stem en voor het gezicht dat je ziet praten.

Iemand toevallig bekend met goede CIS Controls trainingen? Werk er al jaren mee bij kleinere bedrijven en vaak discussies met de iso/ciso over de uitvoering ben wel is benieuwd hoe andere dit aanpakken. Pak het zelf vooral op operationeel niveau op en dan is er vaak discussie op het auditten van de controls aangezien ik vindt dat je verschil hebt in de proces volwassenheid en de technische controls.

Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

[ Voor 33% gewijzigd door NLKornolio op 20-06-2025 16:46 ]

NLKornolio schreef op vrijdag 20 juni 2025 @ 16:44:
Iemand toevallig bekend met goede CIS Controls trainingen? Werk er al jaren mee bij kleinere bedrijven en vaak discussies met de iso/ciso over de uitvoering ben wel is benieuwd hoe andere dit aanpakken. Pak het zelf vooral op operationeel niveau op en dan is er vaak discussie op het auditten van de controls aangezien ik vindt dat je verschil hebt in de proces volwassenheid en de technische controls.

Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

Welke info zoek je precies? De controls zelf zijn redelijk simplistisch en high level, ben je op zoek naar concrete implementaties, of hoe je de effectiviteit meet, of hoe je ze combineert met CMMI (control maturity)? De meeste info is online te vinden en ook ChatGPT biedt enorm veel informatie hierover.

Ik zou hier geen geld aan uitgeven, de meeste cursussen zijn enorm basic en waarschijnlijk heb je deze info al.

Orangelights23 schreef op vrijdag 20 juni 2025 @ 18:26:
[...]


Welke info zoek je precies? De controls zelf zijn redelijk simplistisch en high level, ben je op zoek naar concrete implementaties, of hoe je de effectiviteit meet, of hoe je ze combineert met CMMI (control maturity)? De meeste info is online te vinden en ook ChatGPT biedt enorm veel informatie hierover.

Ik zou hier geen geld aan uitgeven, de meeste cursussen zijn enorm basic en waarschijnlijk heb je deze info al.

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

NLKornolio schreef op vrijdag 20 juni 2025 @ 20:30:
[...]

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

Stuur gerust een DM, ik weet niet of ik een goede CISO ben, maar ik ben nog nooit ontslagen bij de banken en fintechs waar ik bij heb gewerkt .

Zonder verder iets van je context te weten, is een risico assessment een perfect hulpmiddel om dit te identificeren. Organisatiebreed, of elke andere scope pakkende, kun je een assessment uitvoeren en maatregelen identificeren om risico’s te mitigeren, koppelend aan CIS controls.

NLKornolio schreef op vrijdag 20 juni 2025 @ 16:44:
Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

Die van SANS heb ik indertijd gedaan en die was wel erg leuk. Heel veel goede discussies en een mooi examen ook. Daar ligt de waarde van die cursus: de interactie met de leerkracht en met alle anderen in de zaal.

Als je net als ik 'm weet te doen via het Work-Study programma dan wordt die 8k plots veel kleiner. SEC566 was vergelijkbaar met wat jij zoekt, die ging van 8k naar 1.3k. LDR521 was 12k en ging naar 2.3k.

• Mijn ervaring als facilitator voor LDR521.
• Mijn ervaring als facilitator voor SEC566.

[ Voor 5% gewijzigd door Liegebeest op 21-06-2025 08:26 ]

NLKornolio schreef op vrijdag 20 juni 2025 @ 20:30:
[...]

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

Bij dit soort discussie rijst bij mij altijd de vraag, waarom implementeer je een control? Is dat voor een vinkje van de auditor, of wil je daadwerkelijk risico's mitigeren. En in dat laatste geval, wat is dan het risico. Van genoeg actoren is prima beschreven wat ze precies doen (https://attack.mitre.org/) en dan kun je dus ook de CIS control naast de aanvalstechnieken leggen om te kijken of die control wel van invloed is op de dreiging die je wilt mitigeren. Er zijn volgens mij ook meerdere mappings tussen CIS controls en MITRE.

Zomaar alle CIS controls (tot het extreme) implementeren is natuurlijk heel veilig, maar past het wel bij de context van het bedrijf en de dreiging die er is. Voorbeeld: network access control is en hele krachtige control om fysieke toegang tot je netwerk te controleren. Echter wel duur en complex en m.i. geen prio als je belangrijkste dreiging komt van Ransomware aanvallen. En is spionage een belangrijke dreiging, dan zou ik weer geen genoegen nemen met de CIS controls. Dan moet je veel verder gaan in je maatregelen.

Ps waar ik met CIS overigens echt heel veel moeite mee heb is de nummering. Het lijkt voor sommigen een volgordelijkheid te zijn, alsin eerst control 1 helemaal doen voor je naar control 2 gaat. En als je dat doet, komen de meeste bedrijven niet toe aan control 2, laat staan nummer 3.
Ik weet dat het niet zo bedoeld is, maar te vaak gezien dat er op die manier naar de controls werd gekeken.

[ Voor 14% gewijzigd door BytePhantomX op 21-06-2025 11:02 ]

BytePhantomX schreef op zaterdag 21 juni 2025 @ 10:59:
[...]
Ik weet dat het niet zo bedoeld is, maar te vaak gezien dat er op die manier naar de controls werd gekeken.

Toegegeven, ik ben altijd wel erg blij geweest dat op #1 "asset management" stond, want dat is iets dat een heleboel bedrijven echt niet goed doen en daar zonder wordt beveiliging wel erg moeilijk.

Liegebeest schreef op zaterdag 21 juni 2025 @ 14:38:
[...]

Toegegeven, ik ben altijd wel erg blij geweest dat op #1 "asset management" stond, want dat is iets dat een heleboel bedrijven echt niet goed doen en daar zonder wordt beveiliging wel erg moeilijk.

Het is een zeker basis, maar hoever ga je? En wat is de context?

Als je met staatsgeheimen werkt, dan is het labelen en in je CMDB zetten van muizen, toetsenborden, schermen etc. redelijk relevant. Is je belangrijkst dreiging ransomware, dan zou ik na het in kaart brengen van je internet facing assets en je domain controllers, toch al snel ook naar de andere controls gaan kijken. En daarmee bedoel ik niet dat je niet verder moet gaan met het in kaart brengen, maar zou andere prioriteiten stellen.

Bijvoorbeeld t.a.v. monitoring, dan kun je echt al wat doen zonder dat al je assets in kaart zijn en ik zou niet wachten tot je control 1 afhebt voor je monitoring implementeert. Idem voor pentesten, die kunnen je helpen met het stellen van prio's.

[ Voor 12% gewijzigd door BytePhantomX op 21-06-2025 15:15 ]

BytePhantomX schreef op zaterdag 21 juni 2025 @ 15:13:
[...]
Bijvoorbeeld t.a.v. monitoring, dan kun je echt al wat doen zonder dat al je assets in kaart zijn en ik zou niet wachten tot je control 1 afhebt voor je monitoring implementeert. Idem voor pentesten, die kunnen je helpen met het stellen van prio's.

Kan niets anders dan zeggen: "eens".

BytePhantomX schreef op zaterdag 21 juni 2025 @ 10:59:
[...]

Zomaar alle CIS controls (tot het extreme) implementeren is natuurlijk heel veilig, maar past het wel bij de context van het bedrijf en de dreiging die er is. Voorbeeld: network access control is en hele krachtige control om fysieke toegang tot je netwerk te controleren. Echter wel duur en complex en m.i. geen prio als je belangrijkste dreiging komt van Ransomware aanvallen. En is spionage een belangrijke dreiging, dan zou ik weer geen genoegen nemen met de CIS controls. Dan moet je veel verder gaan in je maatregelen.

Ik ben het helemaal eens met je verhaal hoor. Maar het gaat er wel vanuit dat een organisatie helder in beeld heeft waar de dreiging precies vandaan komt. In de praktijk heb ik zelden voor bedrijven gewerkt die dat goed hebben uitgewerkt, laat staan dat ze het met harde onderbouwing kunnen aantonen (en dat waren echt niet de kleinste organisaties…).

Soms is er wel iets van een beeld, maar als je doorvraagt naar de bron of onderbouwing, prik je er vaak zo doorheen. En dat is ergens ook logisch, want het is lastig.

Wat ik lastig vind, is de vertaalslag van de ideale theorie naar de weerbarstige praktijk. Vaak is het al een enorme uitdaging om basale maatregelen goed te implementeren in een complexe omgeving. Dan kom je nauwelijks toe aan het verfijnen van je control effort op basis van risico’s en dreigingen.

b0nkel schreef op vrijdag 20 juni 2025 @ 08:55:
[...]

Je zou eens kunnen kijken naar TCM Security. Die bieden een aantal cursussen waaronder OSINT fundamentals voor een hele betaalbare prijs (volgens mij nu 15 euries per maand?).

Voordat ik mijn OSCP haalde ben ik bij TCM door een aantal van die cursussen gevlogen. Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

Goede tip! Thanks. Dit ziet er wel nuttig uit. Ik ga eens kijken of ik een abbonementje kan declareren

Ik heb vandaag de beta-test gedaan van CSD-110, het examen voor CertNexus' cyber secure software developer. Het is de opvolger van CSC-210, de secure coding cursus die ik nu zes keer heb gegeven.

Heel in het kort: het was goed!

Iets langer: https://www.kilala.nl/index.php?id=2639

===

In ander nieuws, r/comptia is nu een enorme shit storm. Men is in paniek omdat iemand kwam vertellen dat diens Security+ is ingetrokken door CompTIA. Paniek over van alles!

• Hoe is dit mogelijk?!
• Waarom pas na negen maanden?!
• Waar halen ze het lef vandaan, waarom bepalen zij wat ethisch is?
• Waarom tonen ze geen bewijs?
• Ze gebruiken vast AI / slechte algoritmes!
• Ze bespioneren je en kijken welke sites je bezoekt! Of ze maken zelfs honey pots!
• Hoezo, wat zijn exam dumps? Ik heb er nog nooit van gehoord!
• Hoezo mag ik geen exam dumps gebruiken?! Ik gebruik alle leermiddelen die ik kan vinden!
• Exam dumps zijn geen vals spel, het is ook gewoon studeren! Je leert toch wat ze willen weten?!
• Maar hoe weet ik of ik een dump gebruik?!
• Ben ik nu in gevaar?!
• Oh dus we moeten CompTIA zeker voor alle materialen betalen en mogen zeker niets anders gebruiken!

Enzovoorts, enzovoorts, enzovoorts.

Liegebeest schreef op donderdag 7 november 2024 @ 13:35:
Geen security, maar wel certificering. En gewoon even een Engelse copy/pasta:

CompTIA have opened the public beta for the new version of their Linux certification.

As is tradition, I've done a comparison of the upcoming Linux+ beta objectives, to the current set. I'm not as pleased with XK1-006, as I was with 005 at the time. -> https://www.kilala.nl/index.php?id=2609

I'm taking the beta exam tomorrow, then we'll see how I feel about the exam they've built.

De uitslag is eindelijk gepubliceerd! Heb m gehaald.

paella schreef op dinsdag 15 juli 2025 @ 12:32:
[...]


De uitslag is eindelijk gepubliceerd! Heb m gehaald.

Ditto.... Gefeliciteerd!

Dus volgens CompTIA zou ik de cursus nu ook weer namens hen mogen geven. Doe ik niet, maar goed... Wel tijd om mijn slides te gaan updaten voor de volgende Linux-groep.

Vandaag het CISM-examen gehaald, nog geen score bekend – alleen de binaire melding “geslaagd”.
Ik deel mijn ervaring hier, omdat ik hier ook veel gelurkt heb, misschien heeft iemand wat aan mijn tips.
Geen van de vragen verraste me qua nieuwe terminologie.
Soms voelde het meer als een begrijpend lezen toets dan een cybersecurity-examen. Engels is zoals voor de meesten hier ook niet mijn moedertaal, dus ik moest elke vraag minstens drie keer goed lezen.

Korte achtergrond over mij:
10 jaar ervaring in netwerken (defensie, off-shore)
15 jaar in forensisch onderzoek overheid
(Behaalde eerder certificeringen:) CISSP, GCFE, GCFA, CCNA (2x), CEH (2x), ICMDE, MCSE (2000–2003–2008–2012), VCP en nog wat andere certificeringen die ik vergeten ben – zowel de inhoud als de afkortingen
Gebruikte bronnen:
Pete Zerger's YouTube-serie

Sterk aanbevolen. Ik luisterde hiernaar tijdens andere bezigheden (sportschool, verhuizen) op normale snelheid en later nog een keer op 1,5x snelheid met meer focus zonder andere activiteten.
Ik heb ook zijn “Last Mile”-boek gekocht, voornamelijk om hem te steunen. Het boek is een uitgebreidere versie van zijn PowerPoints, maar zeker nuttig – ik heb het globaal doorgenomen de laatste week.

PocketPrep –
Slechts $21 per maand, absoluut de moeite waard. Richt zich meer op de harde feiten dan strategische vraagstelling en
Ik begon met een gemiddelde van ongeveer 70% en zat rond de 85% op het moment van het examen.

Sybex Study Guide – CISM Certified Information Security Manager Study Guide
Ongeveer 40% gelezen. Ik vond dit eigenlijk te diepgaand voor het echte examen.

Een last-minute bron die ik zeker kan aanraden is Sean Henna van Nemstar
(Ook goed om je Iers accent bij te schaven 😉)

Hij focust vooral op examentechnieken. Zoals ik al zei: het is bijna net zo veel een Engelse taaltoets als een cybersecurity-examen.
Dankzij hem herkende ik een aantal strikvragen) in het examen – lastige vragen die je op het verkeerde been proberen te zetten (al zal ik er vast nog een paar gemist hebben).
QAE heb ik niet gebruikt vanwege de prijs.
Vergelijking met CISSP:
Mijn CISSP bleek ik al in 2015 heb behaald (ik word oud... en sponsor sindsdien ISC2). Sommige onderdelen kwamen me bekend voor (zoals het berekenen van ALE), maar het technische gedeelte is bij CISM meer conceptueel.
Bijvoorbeeld: het verschil tussen een firewall en een router begrijpen, in plaats van te weten wat de block size van AES is.
Next up : OSCP, dat zou wel eens een stuk taaier kunnen worden

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]

Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Ik wil hier nog op graag op ingaan omdat ik hier ook nog altijd een beetje naar op zoek ben. TCM en SANS zijn al genoemd.

De volgende trainingen heb ik ervaring mee.

Basel Institute LEARN - Open Source Intelligence

Training zit er goed in elkaar maar is een vrij korte e-learning. Leuk als introductie.

Open Source Intelligence Professional (OSIP)

Deze vond ik wel sterk, zeer uitgebreid en met een praktijkexamen. Examen is erg Amerikaans georiënteerd maar leuk te doen. Van (de club van) OSINT-OG Michael Bazzell.

Hiernaast is er nog de McAfee institute certificering, maar daar hoor ik geen goede verhalen over.
Hier een leuke recente reddit post over McAfee institue certificering

Ik wil echte OSINT-specialisten niet tekort doen, maar ik ben nog altijd zoekende naar wat OSINT nou precies is. (ik ben zelf nota bene OSINT-trainer)
En bedoel ik niet de definitie, maar ik twijfel er soms aan of het, afgezien van de specialisten, een eigen tak van sport is.
Ik denk dat iemand die ervaring heeft met gestructureerd werken, data uit verschillende bronnen kan correleren en digitaal vaardig is, eigenlijk al een goede OSINT-er is. De trucs komen en gaan, maar deze bestanddelen blijven.
Met de intelligence cycle ben ik bekend en ook het verschil tussen OSINT als een product en als een proces zien.
Maar eigenlijk ken ik voornamelijk OSINT-ers die met kladblok/obsidian werken in VM's op een laptop zonder oog voor OPSEC.
Geo-locaten is knap en spreekt tot de verbeelding, maar dit is niet in heel veel praktijksituaties van belang.
Facebook graph werkte vroeger, nu zijn er weer een andere methode voor socials. Hoe je dit vastlegt en correleert is belangrijk, maar hoe toets je dit af?

Ik zou eigenlijk niet zo goed weten wat je op een examen zou moeten vragen, ik vind de praktijkopdrachten zoals TCM en OSIP wel sterk.

Ik sta open voor ander certificeringsopties / meningen

[ Voor 3% gewijzigd door OM602 op 21-07-2025 11:12 ]

Liegebeest schreef op donderdag 26 juni 2025 @ 18:45:
Ik heb vandaag de beta-test gedaan van CSD-110, het examen voor CertNexus' cyber secure software developer. Het is de opvolger van CSC-210, de secure coding cursus die ik nu zes keer heb gegeven.

Heel in het kort: het was goed!

Iets langer: https://www.kilala.nl/index.php?id=2639

En ik heb 'm vandaag gedaan (laatste dag dat het kon). Inderdaad goed, maar het is niet een hele advanced certification. Weet eigenlijk wel zeker dat ik het gehaald heb.

paella schreef op donderdag 31 juli 2025 @ 16:44:
[...]


En ik heb 'm vandaag gedaan (laatste dag dat het kon). Inderdaad goed, maar het is niet een hele advanced certification. Weet eigenlijk wel zeker dat ik het gehaald heb.

Klopt het is echt de fundamentals voor ontwikkelaars die nog nooit echt hebben nagedacht over de beveiliging van hun eigen producten. En dat zijn er helaas nog veel te veel.