IT Security Certificeringen

interessante post. Ik was mij namelijk al even aan het afvragen welke pen-test cursus te gaan volgen.
Mile2 ken ik niemand die dat ooit gedaan heeft, en CEH heeft blijkbaar niet zo een goede naam. Naar het schijnt is het meer de tooltjes en opties overlopen, zonder echt ergens op in te gaan.

Ik ben dan ook vooral aan het kijken naar de Offensive Security 101 van Remote Exploit.

Ik heb een zeer degelijke basis in security all-round, maar zou mij graag iets verder verdiepen in pen-testing, voornamelijk uit interesse. Dus moest er iemand ervaring hebben met deze opleiding en eventueel het OSCP examen, zijn tips en ervaringen meer dan welkom.

Voor de rest, beginnelingen kan ik voornamelijk de Comptia Sec+ of SSCP aanraden, en voor degene met al wat ervaring, is CISSP zeker de moeite om je kennis horizontaal serieus uit te breiden. Spijtig genoeg inhoudelijk niet diep, maar ik heb er immens veel van opgestoken. Ook het systeem met CPE's vind ik schoon, om jezelf te verplichten steeds bij te blijven. Alleen het examen zelf is inderdaad wel een hel. 6 uur, en 250 vragen zijn niet goed voor de concentratie.
Degene die zin hebben om zelf aan CISSP te beginnen, 1 link die je gewoon moet bekijken: http://cccure.org/
Voor mensen die al member zijn op hun forum, mijn post met ervaring over de voorbereidingen en examen zelf: http://www.cccure.org/mod...iewtopic&t=3027&highlight=

Over het nut van certifiëringen zelf: die discussie begin ik zelfs niet meer, want dezelfde voor en tegen-argumenten blijven steeds terugkomen...

Het slaagpercentage voor comptia Sec+ ligt wel hoog, maar echt moeilijk was hij zeker niet. Ik heb deze twee boeken gebruikt:
CompTIA Security+: Study Guide - Exam SY0-101 (http://www.tesco.com/book...x?R=9780470036686&bci=256|Security*4293236568|Other)
en
Security+ Certification Training Kit (http://www.microsoft.com/MSPress/books/6384.aspx)

Ik ben blij dat ik meer dan 1 boek heb genomen, want ik heb op het examen zaken gezien die in het 1 boek niet eens stonden, en het andere wel, en andersom.

De vragen waren wel vergelijkbaar met degene van de Comptia study guide, als ik mij niet vergis (examen in 2006 gedaan)

Als je SSCP gaat doen, wacht dan ook niet te lang erna, aangezien je heel veel overlappende stof hebt. En denk eraan op tijd te kijken waar/wanneer de examens zijn, en boek op tijd. Meestal heb je er maar enkele per jaar. Ik ben zelfs naar Londen ervoor moeten gaan, omdat de enige 2 beschikbare datums in België dat jaar voor mij niet mogelijk waren.

Hele mooi startpost met veel informatie. Ben blij dat ik per ongeluk dit forum opende

Ik ben zelf ook van plan me te gaan richten op de security kant van de IT. Alleen zijn deze cursussen momenteel nog een einddoel en zal ik me eerst meer op de basiskennis moeten gaan richten. Maar alles op zijn tijd zeg ik dan maar.

Voor de rest niemand al ervaring met OSCP en het examen?

Misschien andere mensen hier die pentesting doen, en wat algemene ervaringen willen meedelen? Eventuele andere opleidingen?

Als ik de certificaten zo bekijk, lijken het mij wederom leuke titels, maar geen inhoud. Helaas is dit met veel certificaten tegenwoordig het geval.

En wat is een CEH: Certified Ethical Hacker? Krijg je dan dit soort vragen ofzo?
> U kunt uw bank oplichten voor 1 milioen, zondat dat iemand het merkt. Wat doet u?

Ik ben zelf bij Madison Gurkha op cusus geweest. Geen certificaat, wel kennis.

BCC wijzigde deze reactie 05-08-2008 08:30 (47%)

Ze zijn een van de bekendste security bedrijven in nederland. Daarnaast heb ik tweemaal een presentatie gezien op de universiteit die ik erg interessant vond.

Ik zie ze ook niet echt in een beheers rol en ben redelijk verbaasd dat ze jullie firewall beheren. Firewall is zowieso schijn security, maar dat is nogal offtopic.

En de CEH: Natuurlijk heb ik de website gelezen, maar die bevat alleen wollige marketing praat.

BCC wijzigde deze reactie 05-08-2008 08:41 (13%)

quote:

BCC schreef op dinsdag 05 augustus 2008 @ 08:40:
Ze zijn een van de bekendste security bedrijven in nederland. Daarnaast heb ik tweemaal een presentatie gezien op de universiteit die ik erg interessant vond.

Ik zie ze ook niet echt in een beheers rol en ben redelijk verbaasd dat ze jullie firewall beheren. Firewall is zowieso schijn security, maar dat is nogal offtopic.

En de CEH: Natuurlijk heb ik de website gelezen, maar die bevat alleen wollige marketing praat.

Wat de CEH doet is toch heel duidelijk? Ethical Hacking is een bekende term in security gebied (http://www.research.ibm.com/journal/sj/403/palmer.html bijv.) en de cursus met het certificaat zorgt ervoor dat de basis-principes bekend zijn. Bijv. nooit een pen-test zonder onderliggend contract etc. etc.

Je reactie komt bij mij een beetje over alsof je alles wat niet technische security is geen echte security vindt, maar dat zal wel niet het geval zijn.

Je reactie over de inhoud van de certificaten vind ik wel enigszins krom, je hebt er nog 1 van in je eigen pocket en je roept direct dat ze inhoudelijk niet goed genoeg zijn. Waar baseer je dat op? Je weet dat binnen de security-wereld CISSP-mensen enorm hoog aangeschreven staan?

quote:

Zwerver schreef op dinsdag 05 augustus 2008 @ 09:57:
[...]
Je reactie over de inhoud van de certificaten vind ik wel enigszins krom, je hebt er nog 1 van in je eigen pocket en je roept direct dat ze inhoudelijk niet goed genoeg zijn. Waar baseer je dat op? Je weet dat binnen de security-wereld CISSP-mensen enorm hoog aangeschreven staan?

Hoho, ik zei: het LIJKEN mij leuke titels zonder inhoud. Mijn ervaring is echter dat de meeste it cursussen erg zinloos zijn en als ik de websites bekijk lijken mij deze dat ook. Maar please prove me wrong :)! Wat ga ik kunnen als ik een CISSP cursus gedaan heb en waarom staat het zo hoog aangeschreven? Ik ben altijd in voor een interessante cursus.

BCC wijzigde deze reactie 05-08-2008 11:01 (13%)

Dit is nu net de discussie die we echt niet nodig hebben (eindeloze discussie trouwens)

Wat heb je eraan? Aan cursussen heb ik meestal ook niks. Zelfstudie echter wel.

En CISSP als voorbeel specifiek: Dit geeft je een enorm brede basis (theoretisch) op het gebied van security. Terminologie, standaarden, wetgeving, ... noem maar op. Je gaat er inderdaad niet mee leren een IPS of een firewall te configureren, maar dat is ook het nut niet. Je ziet wel het verschil en types IDS/IPS, welke firewalls met alle generaties, best practices, etc...

Mij heeft het in ieder geval een serieuze boost gegeven qua inzicht, redeneren, en aanpakken van security-gerelateerde problemen. Zowel op technisch, als op management-vlak.

Zomaar als waardeloos afdoen vind ik altijd een loze discussie. Je hebt nu eenmaal veel certificaties waar je zonder veel moeite kan voor slagen, maar deze valt daar zeker niet onder. OSCP ook niet, aangezien deze volledig praktijk gericht is. Stel dus niet het nut van certifiëren in vraag, maar eerder de manier waarop

quote:

BCC schreef op dinsdag 05 augustus 2008 @ 10:59:
[...]

Hoho, ik zei: het LIJKEN mij leuke titels zonder inhoud. Mijn ervaring is echter dat de meeste it cursussen erg zinloos zijn en als ik de websites bekijk lijken mij deze dat ook. Maar please prove me wrong :)! Wat ga ik kunnen als ik een CISSP cursus gedaan heb en waarom staat het zo hoog aangeschreven? Ik ben altijd in voor een interessante cursus.

De CISSP mensen staan hoog aangeschreven omdat ze:

A. Op management niveau duidelijk kunnen maken waarom security belangrijk is
B. Ze kennis hebben van compliancy aspecten
C. Het is een certificering waar je punten dient te scoren om je certificering in takt te houden.

Ad A.
Er wordt enorm veel aandacht gegeven aan de niet-technische kanten zoals wetgeving e.d. Het hoger management van een organisatie boeit het geen hol of een anti-spam-firewall nou wel of geen bayesian filter heeft. Het boeit ze of ze compliant zijn.

Ad. B.
Zie A.

Ad C.
Doordat je werk moet verrichten om je certificering in takt te houden blijf je op de hoogte. Denk aan het geven van cursussen, het publiceren van stukken over security en het lezen van bepaalde boeken.

---

Waar haal jij de ervaring vandaan dat de meeste cursussen waardeloos zijn?

Zwerver wijzigde deze reactie 05-08-2008 11:28 (3%)

In mijn persoonlijke ervaring zijn de meeste cursussen ook niet echt waardevol. Niet altijd door de inhoud of lesgever, maar blijkbaar zitten er bij mij ALTIJD mensen bij die er helemaal niet thuishoren, of niet het gewenste basisniveau hebben en dus de hele les ophouden met domme vragen.

Maarja, dat is persoonlijk. Ik geef dan ook de voorkeur aan zelfstudie. Spijtig genoeg gaat dat niet voor alle onderwerpen, en kan een cursus wel handig zijn voor specifieke, diepgaande vragen, of al maar gewoon om iets vanuit een ander of iemand anders zijn standpunt te bekijken. Certifiëring achteraf is voor mij (wederom persoonlijk) meestal een bewijs dat ik de leerstof voldoende beheers, Zowel theoretisch als praktijk.

Ik ben dan ook zwaar voorstaander van aantoonbare praktijkervaring en praktische proeven voor certifiëring. Zoals bvb voor CISSP, moet je daadwerkelijk minimum 4 jaar ervaring in security kunnen bewijzen. Praktische proeven is in dit geval niet haalbaar, aangezien de leerstof zwaar theoretisch is, maar de CPE's of verplichte bijscholing achteraf is dan een goed aanvullend alternatief.

Net ook nog onderstaande pen-test cd's tegengekomen die blijkbaar wel leuk zijn om kennis te maken met pentesting. Ik ga ze alvast eens uittesten zodra ik tijd heb:

http://de-ice.net/hackerp.../De-ICE.net_PenTest_Disks

Hoe staan de certificaten van www.isecom.org eigenlijk te boek in security land?

Verder complimenten voor het topic. Naar wat ik zo begrijp naar wat gezoek is de handel in IT Security Certs echt nog een kwakzalver business zodra je een klein beetje buiten de gevestigde orde gaat zoeken. Wat transparantie is altijd fijn

UDuckling5 wijzigde deze reactie 07-08-2008 09:29 (60%)

Altijd interesse voor hier. Leuke aanraders zijn steeds welkom, en ik ken er ook wel wat.

Andere certifiëring kende ik nog niet, eens op mijn gemak bekijken

quote:

sh4d0wman schreef op donderdag 07 augustus 2008 @ 10:05:
Is er nog interesse in een topic over IT Security boeken? Bjvoorbeeld werk van Bruce Schneier of Kevin Mitnick.

Fire away, al is het even geleden dat ik een goed security boek heb gelezen.

Laatste die ik gelezen heb waren "Hacking exposed web applications" en "Innocent Code". Beide wel aardig, maar voor mij niet extreem vernieuwend. Interessant als je je voor het eerst in de web-security wil verdiepen.

Mitnick - The Art of Intrusion & The Art of Deception zijn standaard werkjes voor elke social engineer en ook erg leuk om te lezen. Erg goed boek om de security-awareness van medewerkers op te krikken, maar veel zul je er niet van leren.

BCC wijzigde deze reactie 07-08-2008 13:39 (35%)

Wat security boeken betreft: Ik heb hier thuis liggen "De kunst van het misleiden" van de welbekende Kevin Mitnick over Social Engineering en ik heb de vierde editie van Hackers Guide (Ned. vertaling van Maximum Sexurity, A hacker's guide to protecting your computer systems and network, fourth edition.) waarvan de auteurs anoniem zijn.

Het boek van Kevin Mitnick vind ik wel een aanrader.

Verder ben ik ook sinds kort aan het klooien met Back|Track3 en bekijk ik binnenkort het bijbehorende cursusmateriaal.

quote:

BCC schreef op donderdag 07 augustus 2008 @ 13:35:

Mitnick - The Art of Intrusion & The Art of Deception zijn standaard werkjes voor elke social engineer en ook erg leuk om te lezen. Erg goed boek om de security-awareness van medewerkers op te krikken, maar veel zul je er niet van leren.

Hier ook ... Intrusion is leuk om te lezen die gebundelde verhalen maar je haalt er veel minder uit dan in Deception. Daar worden echt hele manieren gegegeven.
Zoals Die bank in het begin

Gefeliciteerd

Ik had op mijn Comptia Sec+ inderdaad ook zaken die nergens in de boek te vinden waren. Blijkt wel meer voor te komen.

Bij mij staat Offensive Security op de planning, maar wel verschoven naar januari / februari...

Ik ben Gisteren op de Hogeschool Zuyd geweest voor de opendag van NID(Network Infrastructure Design). Waar het op neerkwam Heel veel Cisco en ook delen zoals Certified hacker en Pen-Tester. Ik denk dat ik me daarvoor gaat inschrijven.

Er zijn trouwens twee richtingen inn dat Traject Infrastructure Design en Netwerk Forensisch onderzoeker.
Ik hoorde ook dat het mogelijk was overal onderdelen van te pakken dat je zelf je traject kan bepalen.
Dus misschien is het iets voor personen van hier ? ik ga er zeker heen

Ik heb wel wat ervaring opgedaan met certificeringen die in meer of mindere mate it-beveiligingsgericht waren (of hadden moeten zijn)

SCO-ACE ; (nb. hoewel SCO zich de toorn van de markt op de hals heeft gehaald is hun Unixware een prima product.) 6 examens die binnen half jaar gehaald moeten worden, waarvan enkele redelijk pittig als je geen programmeur bent vanwege het shell-scripting. HBO-niveau. Beveiliging is een ondergeschoven onderwerp, zoals bij veel producent gerelateerde trainingen/cursussen het geval is. Toch weet ik inmiddels (nu ik alle onderstaande certificeringen bezit) dat dit soort 'product'certificeringen kwalificerende zijn om aan te tonen dat je bepaalde kennis hebt; ervaring kan er dan in de praktijk gewoon bijkomen door er mee bezig te zijn. Als manager en als auditor vind ik het erg prettig om iemand met een certificering te hebben. Die heeft een bepaald minimaal niveau.

GSEC (SANS). (mis ik overigens in het overzicht), Een brede en algemene certificering op it-beveiligingsgebied; HBO niveau. Zeker een aanrader om een overzicht op het gebied van it-beveiliging te krijgen. Het betreft 2 examens van 3 uur en evt een aanvullend paper. Technisch van basis, maar met enkele organisatorische zaken ook genoemd. Wellicht enigszins vergelijkbaar met CISSP, maar iets technisch inhoudelijker aangezien de trainingen vaak ook een hands-on component kennen. Zoek ook op vgl CISSP en GSEC, zoals bijv. http://dmiessler.com/blog...p-and-gsec-certifications

CISA (ISACA). Deze certificering stelt me in staat om met praktische begrippen de organisatie van de it-techniek in een bedrijf te beoordelen, waarbij de begrippen voldoende worden behandeld. De manier van denken die nodig is om een it-object te beoordelen is echt anders dan een techneut denkt. HBO niveau. Beveiligingsaspecten spelen een belangrijke, doch niet de enige belangrijke rol. CISA is daarom inhoudelijk niet moeilijk; als je er als techneut voor open staat dan is dit zeer zeker een aanvulling op je kennis. Het geeft je door de focus op it-risico's de mogelijkheid om te praten in managementbegrippen.

RE (Norea). Universitair niveau. Dit is een certificering na een opleiding van twee jaar waarin een behoorlijk aantal examens zit en een afsluitend referaat (vgl scriptie). Doelgroep: hoger management, mede omdat de focus is op (de beoordeling van de) (bedrijfs)procesrisico's en (de organisatie van) IT. Voor mij zeer waardevol in combinatie met de eerder verkregen technische onderbouwing.

Ik kan jullie ook nog aanraden om het boek "Security Engineering" van prof. Ross Anderson te lezen. Dit jaar is de tweede druk verschenen, maar de eerste druk, verscheen rond 2000, is nog steeds actueel omdat er in generieke termen over het ontwerpen van beveiligingssystemen gesproken wordt. En zijn boek is deels beschikbaar van zijn internetsit (http://www.cl.cam.ac.uk/~rja14/book.html).

Suc6 met kiezen; Ik vind het wel aardig om te weten of je er iets aan hebt.

Goed topic shadowman. Ik kan me nog wel herinneren dat we hier eerder over gesproken hadden in het werk en inkomen forum, maar kwam pas gisteren dit topic tegen.

Misschien is het aardig om het lijstje met certs uit te breiden met de minimum vereisten en de kosten van examens. Voor zover ik bijvoorbeeld weet mag je het CEH examen niet doen zonder dat je de klassikale cursus hebt gehad. Dat maakt het dus belachelijk duur (beetje opleider vraagt daar rustig 4K voor).

Ook weet ik bijvoorbeeld dat voor die CISA opleiding je wel een minimaal aantal jaar in het vak gewerkt moet hebben, maar dat je die ook pas naderhand mag opdoen. Je kan dus rustig voor dat je gaat solliciteren ergens je examen doen en dan achteraf (ik geloof binnen 10 jaar) aantonen dat je 4/5 jaar werkervaring hebt (officieel mag je je dan ook pas CISA noemen). Ik weet het niet zeker, maar misschien dat dit voor SSCP of CISSP ook geldt.

Ik heb nog een leuke opleiding gevonden waar ook de praktijk goed aan bod komt. Op de Open Universiteit geven ze de cursus Security en IT.

http://srv-hrl-60.web.pwo...wbcq9&Uitgebreid=JA#INSGR#

Iedereen mag zich hiervoor inschrijven, kosten: € 263,- Je krijgt daarvoor een boek, twee werkboeken en een DVD (met als ik het goed begrijp een complete VMware 'hackme' omgeving). En je kunt als je wilt een tentamen doen van 40 mc-vragen. Die is goed voor 4,3 studiepunten. Ik zit er (gezien de prijs, de praktische kanten, de studiepunten en de nederlandse waardering voor de term 'universiteit') zwaar aan te denken deze cursus dan ook eens te gaan volgen. Iemand toevallig hiermee bekend?

quote:

ebia schreef op zondag 01 februari 2009 @ 13:15:
Ik weet het niet zeker, maar misschien dat dit voor SSCP of CISSP ook geldt.

quote: http://www.isc2.org/steps-for-certification.aspx

CISSP – A minimum of five years of direct, full-time security professional work experience in two or more of the ten domains of the CISSP® CBK

en anders:

quote:

Associate of (ISC)² – If you do not meet the CISSP® or SSCP® professional experience requirements, you may still become an Associate of (ISC)².

Rukapul wijzigde deze reactie 02-02-2009 13:45 (18%)

quote:

sh4d0wman schreef op maandag 02 februari 2009 @ 11:39:
Ik probeer binnenkort eens wat tijd vrij te maken om alles te updaten. Bij Exin zijn namelijk ook diverse nieuwe examens verschenen.

CEH kun je trouwens door zelfstudie doen, je hebt wel een werkgeversverklaring oid nodig. In ieder geval een speciaal formulier wat op hun site staat

Ja ik zag dat mijn huidige NISA-boek helaas wat achterhaald is geworden (stom dat ik toen dat examen niet direct gedaan heb)

Voor de CEH word het volgende gesteld:

• Have attended training for the CEH course at any of the accredited training centers. Should you choose to defer taking the examination after your training, and would like to opt for another location; you can apply for the same at a later date at any ATC of your choice by submitting your certificate of attendance to EC-Council.
• If you have opted for self-study and not attended training, you must have at least two years of information security related experience.

Helaas dus niet voor de beginners (tenzij je baas niet beroert is om jou die specifieke "security related work experience" toe te kennen). En deze is ook mooi: "Note: We treat personal information securely and confidentially. EC-Council adheres to strict US privacy laws and will not disclose the submitted information to any third party."

quote:

ebia schreef op maandag 02 februari 2009 @ 18:18:
• If you have opted for self-study and not attended training, you must have at least two years of information security related experience.

Helaas dus niet voor de beginners (tenzij je baas niet beroert is om jou die specifieke "security related work experience" toe te kennen).

Volgens mij zie ik in dit topic ook mensen zich bedienen van certificatieclaims terwijl de vereisten daarvoor op het eerste oog niet geheel in overeenstemming zijn met publiekelijk toegankelijke CV gegevens

quote:

ebia schreef op maandag 02 februari 2009 @ 18:18:
"Note: We treat personal information securely and confidentially. EC-Council adheres to strict US privacy laws and will not disclose the submitted information to any third party."

LOL. Tja, dan voel je je toch iets beter beschermd onder Directive 95/46/EC ("privacy" directive) al is de safe harbour bepaling daarvan in context van de VS ook weer een wassen neus. Leuk he politici die je rechten voor een appel en een ei verkwanselen (naast het evidente privacy voordeel zou het niet opnemen van een heel mild safe harbor in beginsel het effect kunnen hebben dat alle grote service providers uit de VS data centers in de EU hadden moeten vestigen).

Rukapul wijzigde deze reactie 02-02-2009 20:00 (27%)

Tja. ook al zou iemand kwalificeren voor toegang tot dat examen dan is alsnog de vraag of CEH echt wel zo'n begeerlijke titel is. Ik heb de slides wel eens stiekem gedownload maar ik schrok toch een beetje van de enorme hoeveelheid -windows- tooltjes die de eerste de beste virus/malwarescanner of firewall er voor je uit filtert. Een beetje basis TCP/IP kennis een beetje basis van alles eigenlijk. Zit voor mijn gevoel een beetje tussen Security+ en die Offensive Security traingen in. Maar dan van allebei net niks...

Hehe, leuk dat je discussie door wilt trekken Maar ik ben te moe om er nu iets zinnigs van te zeggen behalve dat ik het met je eens ben. Ik vond het wel een leuk statement; je zou zeggen dat een toko dat 'iets' doet met computerbeveiliging beter kan/zou moeten weten..

Ik, met 0,3 jaar ervaring op het gebied van security (en dan voornamelijk alleen op het gebied van netwerken), ga vanaf komend weekend beginnen met SSCP. Ik ga niet voor het certificaat maar gewoon het boek studeren om te kijken of het wat voor mij is (op advies van werkgever). Heb zo wel het eea gelezen en vind het eigenlijk wel interessant om toch eens serieus te gaan studeren.

Wordt er in de meeste gevallen verwacht dat een persoon met SSCP ook direct een securityfunctie gaat bekleden? Of valt dat nog wel mee aangezien ik op dit moment meer netwerkengineer ben.

quote:

Mr.Nash schreef op donderdag 12 februari 2009 @ 11:59:
...
Wordt er in de meeste gevallen verwacht dat een persoon met SSCP ook direct een securityfunctie gaat bekleden? Of valt dat nog wel mee aangezien ik op dit moment meer netwerkengineer ben.

Neu, niet persee. Als jij gewoon Netwerk Engineer wilt blijven is er niets aan de hand. Je zal wel - indien je de status wilt blijven behouden - gewoon je CPE's moeten halen, anders ben je er snel vanaf.

Bovendien, een jaar zit je al snel aan hoor.

quote: http://www.isc2.org/sscp/default.aspx

With as little as one year’s work experience in the information security field, you can become certified as a Systems Security Certified Practitioner (SSCP®)

En anders kan je ook nog Associate worden: http://www.isc2.org/associates/default.aspx

---

* Equator heeft zijn CPE's voor dit jaar en volgend jaar al weer bij elkaar

Equator wijzigde deze reactie 12-02-2009 12:59 (4%)

Stel je wil een certficering halen om verder te komen/ te beginnen de Security business, welke zijn dan het meeste waardevol

Ik kan de volgende vinden:
[url="Computer Hacking Forensic Investigator"]CHFI[/url]
Is deze certificering te doen? Wie kent deze? Wat voor de eisen voor je dat er aan mag beginnen?
CISSP
Is volgens mij een iets bekendere certificering en behoorlijk zwaar. De eisen voor toelating zijn ook best pittig.
Wie heeft deze certificering gedaan, en wat zijn jouw ervaringen ermee ?
MCSE:Security/MCSA Security
Een certificering die leert hoe je security kunt toepassen en ontwerpen binnen Microsoft Windows Server producten.Geen ervaring vereist, maar is wel handig.

Hebben jullie de certificering met zelfstudie gedaan of met een cursus van de baas?

shadowman12 wijzigde deze reactie 19-03-2009 21:48 (5%)

Je zou je eerst even af moeten vragen welke kant je op wilt. CHFI is bijvoorbeeld heeft specifiek (Forensics). Ik zou beginnen met iets algemeens om een bepaalde basis te krijgen, bv. CEH of SANS security essentials

quote:

shadowman12 schreef op donderdag 19 maart 2009 @ 19:30:
...
CISSP
Is volgens mij een iets bekendere certificering en behoorlijk zwaar. De eisen voor toelating zijn ook best pittig.
Wie heeft deze certificering gedaan, en wat zijn jouw ervaringen ermee ?
...

Hebben jullie de certificering met zelfstudie gedaan of met een cursus van de baas?

Ik heb CISSP gedaan. Je kunt het examen ook halen zonder dat je de benodigde ervaring hebt, maar dan mag je jezelf nog geen CISSP noemen, dat mag pas met voldoende werkervaring.
De stof is erg droog en vooral gericht op management, het is niet erg technisch. Erg breed en niet diep.

Gedaan met cursus van de baas samen met een aantal collega's.

Maar moet je werkervaring in de IT business hebben of specifiek in de security? IT ervaring heb ik wel, ik werk al een tijdje als beheerder bij een grote bank.

shadowman12 wijzigde deze reactie 22-03-2009 16:20 (5%)

quote:

shadowman12 schreef op zaterdag 21 maart 2009 @ 19:43:
Maar moet je werkervaring in de IT business hebben of specifiek in de security? IT ervaring heb ik wel, ik werk al een tijdje als beheerder bij een grote bank (oranje leeuw )

van: http://isc2.org/
For your CISSP credential, your professional experience has to be in two or more of these 10 (ISC)² CISSP domains:

• Access Control
• Application Security
• Business Continuity and Disaster Recovery Planning
• Cryptography
• Information Security and Risk Management
• Legal, Regulations, Compliance and Investigations
• Operations Security
• Physical (Environmental) Security CISSP
• Security Architecture and Design
• Telecommunications and Network Security

Daar kom je redelijk eenvoudig aan als je met IT-beheer bezig bent

Heb MCSA via baas gedaan en MCSE komt eraan, zijn niet zo heel moeilijk maar toch aan te raden, altijd een extra troef tijdens sollicitatie.
Maar imo kan je ook bv de 2008's doen ipv 2003, nog niet naar gekeken maar dan ben je iets meer up to date
en dan heb je toch het grootste gedeelte van MCSA al gelijk mee (qua opzet en beheer), buiten de nieuwe functies zoals HyperV?

Graviton12 wijzigde deze reactie 21-03-2009 20:04 (3%)

quote:

Graviton12 schreef op zaterdag 21 maart 2009 @ 20:03:
Heb MCSA via baas gedaan en MCSE komt eraan, zijn niet zo heel moeilijk maar toch aan te raden, altijd een extra troef tijdens sollicitatie.
Maar imo kan je ook bv de 2008's doen ipv 2003, nog niet naar gekeken maar dan ben je iets meer up to date
en dan heb je toch het grootste gedeelte van MCSA al gelijk mee (qua opzet en beheer), buiten de nieuwe functies zoals HyperV?

Het jammere alleen is dat 2008 nog geen Security specialisatie heeft zoals MCSE/MCSA dat heeft.

Ik zou MCSE:Security/MCSA Security geen echte security certificeringen noemen omdat ze zich beperken tot technische maatregelen op basis van een product serie. Om de zelfde reden zou ik bv CheckPoint certificeringen ook niet onder de security certificering pakken maar meer onder security product certificeringen. Een security certificering is in mijn ogen breder en behandeld juist ook beleid, procedures etc.

Ik zag dat er ook nog een oud topic is: IT Security Certificeringen

Bor wijzigde deze reactie 22-03-2009 09:10 (10%)

Misschien inderdaad de topics eens mergen. Ik heb alles wat ik te zeggen had ook al in het vorige gesmeten, dusja :-)

Ben wel momenteel zelf bijna begonnen aan de OSCP van Offensive Security. Ik ben het al lang aan het zeggen, maar deze zomer wil ik hem toch echt wel eindelijk eens halen.

Thx. Zeker eens naar kijken :-)

Nog 5 maandjes en dan ga ik starten met IST op de TUE

http://w3.tue.nl/en/servi...tion_security_technology/

quote:

shad0w_crash schreef op dinsdag 24 maart 2009 @ 08:38:
Nog 5 maandjes en dan ga ik starten met IST op de TUE

http://w3.tue.nl/en/servi...tion_security_technology/

Een goede investering, ondanks dat ik wel wat kritiekpunten heb bij deze opleiding. Een degelijke opleiding is in elk geval meer dan een certificering uit een boekje en/of een cursus van een paar dagen (Maargoed, dat komt neer op het verschil tussen een opleiding (leren van kennis en competenties) en een certificering (voornamelijk het aantonen van kennis en competenties).

Rukapul wijzigde deze reactie 24-03-2009 09:15 (16%)

Daarnaast mag ik me na de opleiding Msc (of in olskool termen Drs) noemen. Dus het heeft zeker een meerwaarde het schijnt wel zo dat de wiskunde het eerste halfjaar heel zwaar is als HBO-er zijnde. <reclame>Ben nu dus alvast met bijspijkeren begonnen (wortel.tue.nl) opzich wel een goede site als je math wil oefenen</reclame>

begrijp ik het goed en is SSCP nu de lichtere vorm van CISSP?

SSCP: Systems Security Certified Practitioner ISC2
CISSP: Certified Information Systems Security Professional ISC2

Op de website staat niet echt hoeveel het nu elkaar overlapt. Als je CISSP wilt halen is het dan beter om eerst SSCP te halen, omdat dat allemaal in CISSP zit?

Nog even een aanvulling op dit topic: Ik heb me onlangs ingeschreven voor de cursus Security en IT van de Open Universiteit. Ik heb er nog niet heel veel mee gedaan, maar de eerste indrukken zijn zeer goed.

http://srv-hrl-60.web.pwo...=02SRFIUBGSkAAAEXMyQZFGKP

Je krijgt een tweetal cursusboeken van de OU zelf. Hierin staan opdrachten, achtergronden, artikelen, enz. Heel uitgebreid, heel netjes. Ook zat er een 'echt' boek bij; Security in Computing van Pfleeger en een DVD met een Vmware image erop, voor de praktisch geörienteerde opdrachten.

Er komen best aardige topics in voor, over encryptie, ARP poisoning, tcp/ip hijacking, web security, etc. Helaas geen nieuwere snufjes als metasploit of iets anders over exploitcodes. Maar de inhoud is breed genoeg moet ik zeggen. De faciliteiten rondom het thuis-leren zijn zeer goed opgezet, 2 leraren die snel online op vragen reageren (ook de vragen van anderen zijn te lezen), je kunt een studieplanning maken, tot max. 13 maanden na het begin een tentamen doen, enz. Je krijgt een e-mailaccount, studentenpas en kortingen via Surfspot. Dat alles voor 263,- euro vind ik niet duur.

quote:

Nvidiot schreef op zaterdag 21 maart 2009 @ 19:50:
[...]


van: http://isc2.org/
For your CISSP credential, your professional experience has to be in two or more of these 10 (ISC)² CISSP domains:

• Access Control
• Application Security
• Business Continuity and Disaster Recovery Planning
• Cryptography
• Information Security and Risk Management
• Legal, Regulations, Compliance and Investigations
• Operations Security
• Physical (Environmental) Security CISSP
• Security Architecture and Design
• Telecommunications and Network Security

Daar kom je redelijk eenvoudig aan als je met IT-beheer bezig bent

Is IT beheer voor bijvoorbeeld 5 jaar, met daarin natuurlijk bovengenoemde zaken, genoeg aan ervaring of moet je echt letterlijk 5 jaar IT security full time gedaan hebben? Ik kan dat nergens terug vinden.

Ik weet het niet, maar ik hoop eigenlijk dat laatste. Er is al zoveel devaluatie gaande in opleidings- en certificeringsland Het zal er echter wel op neerkomen dat met wat handige formuleringen je altijd wel uitkomt op de gewenste uitkomst.

quote:

befrankt schreef op dinsdag 26 mei 2009 @ 04:06:
[...]


Is IT beheer voor bijvoorbeeld 5 jaar, met daarin natuurlijk bovengenoemde zaken, genoeg aan ervaring of moet je echt letterlijk 5 jaar IT security full time gedaan hebben? Ik kan dat nergens terug vinden.

Je moet kunnen aantonen dat je minimaal 5 jaar in de security werkzaam bent geweest. Gewoon IT-beheer is dus niet voldoende, er moet altijd een security compenent inzitten.

Waarbij IT beheer wel degelijk een stukje Operations security kan bevatten. Maar je moet het we aan kunnen tonen.

quote:

Equator schreef op dinsdag 26 mei 2009 @ 11:16:
Waarbij IT beheer wel degelijk een stukje Operations security kan bevatten. Maar je moet het we aan kunnen tonen.

Dat zeg ik Gewoon IT beheer is niet voldoende Daarnaast is het zo dat alleen Operations Security niet genoeg is, je moet minimaal 1 ander CBK hebben

Mja, ik heb daar niet zo moeilijk over hoeven doen.. Ik kwam ruim aan de benodigde ervaring..

Offtopic @Equator: Weet je 't zeker qua ervaring??? komt er nog wel wat relevante ervaring bij??


Zijn er trouwens mensen die trainingen hebben gevolg en/of certificaten hebben vanuit SANS/GIAC? Er lijken zo op het eerste gezicht best wel wat interessante bij te zitten, maarja, hoe is het niveau???

quote:

Whizzer schreef op dinsdag 26 mei 2009 @ 14:56:

Offtopic @Equator: Weet je 't zeker qua ervaring??? komt er nog wel wat relevante ervaring bij??

Pas op, want ik kom je halen..

quote:

Equator schreef op dinsdag 26 mei 2009 @ 13:11:
Mja, ik heb daar niet zo moeilijk over hoeven doen.. Ik kwam ruim aan de benodigde ervaring..

Met 10 jaar IT ervaring, waarvan het meeste in de buitendienst, kom ik aan:

Access control - policies, passwords, rights management, etc...
Business Continuity and Disaster Recovery Planning - backups, redundancy in nieuwe netwerken inbouwen
Cryptography - VPN verbindingen opzetten en beheren
Telecommunications and Network Security - firewalls, switches, netwerk installaties incl security
Operations Security - backups, redundancy in nieuwe netwerken inbouwen en disaster recovery
Application Security - virus protectie, malware protectie en web server beveiliging
Information Security and Risk management - ontwerp nieuwe netwerken, implementatie nieuwe firewalls en servers

Heb er nu al 7, je hoeft er maar 5...

Ik heb dit alles 10 jaar lang gedaan, maar het heette nooit specifiek security specialist. Het zou dan toch wel geaccepteerd worden?

Wat mij betreft wel ja, maar het moet wel wat uitgebreider op je CV staan zeg maar

Verder komt mijn lijstje redenlijk overeen. Alhoewel ik iets meer met Crypto en PKI heb gedaan..

quote:

Equator schreef op dinsdag 26 mei 2009 @ 15:16:
[...]

Pas op, want ik kom je halen..

En al aan een leeg bureau gestaan? Hoewel dat nog wel officieel mijn bureau is, heb ik er de laatste 4 maanden een keer of 2 gezeten... Jij weet helemaal niet welke bureaustoel ik verwarm op dit moment en ja, het is nog steeds binnen dezelfde organisatie!

Vergeet niet dat bepaalde andere zaken ook als waiver voor bvb ervaring kunnen dienen.
Dacht dat een bachelor/master ook al goed was voor 1 jaar ervaring, en bepaalde certificaten ook (Ik weet zeker dat in de tijd bvb comptia Sec+ en MCSA/MCSE Security daar ook tussenstonden, en als waiver voor een jaar konnen dienen). Uiteraard mag je niet te veel cumuleren.

Edit: inderdaad: http://www.isc2.org/credential_waiver/default.aspx


Ik had ook 8 jaar werkervaring, maar niet altijd specifiek Security. 1 jaar daarvan was helpdesk en telt dus uiteraard niet. Dan nog enkele jaren als systeembeheerder met nadruk op security, en daarna pas full-time. Ik kwam dus met mijn certifiëringen erbij ook maar aan 4, maar toen was dat ook nog de norm.


Ik hoop in ieder geval dat ze het zo houden. Ik weet goed genoeg wat de meeste(/een aantal) mensen hier van certificaten denken, en dat is ieder zijn recht en een aparte discussie, maar ik ben toch zelf wel verdomd trots op mijn CISSP. Zeker als je er zo voor afgezien hebt. En ik heb er inhoudelijk, qua verbreding van mijn kennis, enorm veel aan gehad.

quote:

Whizzer schreef op dinsdag 26 mei 2009 @ 14:56:

Offtopic @Equator: Weet je 't zeker qua ervaring??? komt er nog wel wat relevante ervaring bij??


Zijn er trouwens mensen die trainingen hebben gevolg en/of certificaten hebben vanuit SANS/GIAC? Er lijken zo op het eerste gezicht best wel wat interessante bij te zitten, maarja, hoe is het niveau???

Ik heb ooit eens deze vergelijking gevonden. Misschien heb je er wat aan:
http://securitycerts.org/comparisons/cissp-gsec.htm

Maar dat is er 1 specifiek van Sans. Daar heb je er ook een berg van.

Ikzelf ben vooral aan het wachten op officiëel studie-materiaal voor de cissp-concentrations (vooral ISSAP lijkt mij wel wat), maar ik denk dat die ook evenzeer voornamelijk theoretisch zullen zijn.

quote:

Jay-Jay schreef op dinsdag 26 mei 2009 @ 20:29:
[...]


Ik heb ooit eens deze vergelijking gevonden. Misschien heb je er wat aan:
http://securitycerts.org/comparisons/cissp-gsec.htm

Maar dat is er 1 specifiek van Sans. Daar heb je er ook een berg van.

Ikzelf ben vooral aan het wachten op officiëel studie-materiaal voor de cissp-concentrations (vooral ISSAP lijkt mij wel wat), maar ik denk dat die ook evenzeer voornamelijk theoretisch zullen zijn.

Hoe bedoel je officieel studie materiaal Een boekje met "ISSAP CBK" Dat ga je niet vinden denk ik.. ISSAP is gewoon het standaard CBK, maar dan net ff wat dieper/uitgebreider in de theorie. (Van sommige domeinen wel te verstaan)
Als jij je CBK kent, en je meent genoeg diepte te hebben voor de ISSAP uitbreiding, dan kan je examen aanvragen.

Er zijn overigens wel officiele trainingen die in 5 dagen de ISSAP domeinen stevig doornemen..

Ik heb recent met iemand van ISC² gesproken, en die wist mij thans te vertellen dat er daar een van de komende maanden eindelijk een boek van uitkomt (ISSAP dan), maar voor de rest heb ik er nog niks over teruggevonden.

Oke, das nieuw voor mij.. Die gaan we maar eens bestellen dan

Straks even in de online shop kijken...

ISSEP staat er al blijkbaar:
http://www.asestores.com/...ISC-BOOKS&Store_Code=ISC2

Nuja, ik hoop wel dat ze wat aan de schrijfstijl hebben gedaan, want die CISSP CBK las echt wel gelijk een wettekst-boek

SANS heeft onlangs het curriculum van 542 veranderd, zodat deze meer op (pen)testen is gericht dan op ontwikkelen. Zeker voor degenen die GPEN teveel netwerk vinden is deze cursus een erg leuke cursus op het gebied van (web) applicatie pentesten geworden (imho).

*kickje

Afgelopen vrijdag bericht gehad dat ik mijn Associate of ISC2 gehaald heb (CISSP)! nu voldoen aan de gestelde eisen (gaat nog even duren, ben sinds januari aan het werk). Natuurlijk volg ik dit topic al een tijdje maar heb nu een goede reden om even te reageren...

gefeliciteerd

Rukapul wijzigde deze reactie 06-12-2009 19:14 (73%)

Feli.. Nu nog de benodigde werkervaring en je bent volledig CISSP.

* Equator gaat in oktober voor ISSAP CBK bij DNV Cibit.. Kijken of we dat examen ook kunnen halen..

quote:

Equator schreef op maandag 31 augustus 2009 @ 13:55:
* Equator gaat in oktober voor ISSAP CBK bij DNV Cibit.. Kijken of we dat examen ook kunnen halen..

Daar hoort dan ook wel een top-salaris bij
Hoogste salaris met CISSP-ISSAP-certificaat

shadowman12 wijzigde deze reactie 31-08-2009 15:08 (7%)

Damn

Dat gaat niet lukken ben ik bang.. * Equator werkt bij de overheid.. En daar kennen ze alleen bezuinigen

quote:

Zij verdienen gemiddeld 12 procent meer dan het nationale gemiddelde. Volgens het CertMag laat dit zien hoe belangrijk het hebben van een certificaat is.
Read more: http://www.computable.nl/...ficaat.html#ixzz0PlreL5QR

Volgens mij laat dit zien hoe belachelijk die hele certificaten branch eigenlijk is

Een vraag aan de mensen hier.

Ik zit erover na te denken om te beginnen aan SSCP. Ben net klaar met de Windows Server certificeringen, maar uiteindelijk wil ik ook meer de consultancy -/ management kant op. Naast mijn werk studeer ik bedrijfskundige informatica, de studiepunten van die opleiding kan ik gebruiken om aan de doorstudeer eis te voldoen toch?

Een tweede vraag;
Wij hebben niemand lopen die SSCP is. Nu zag ik dat een van de eisen is dat je een "aanbeveling" moet krijgen van iemand die al SSCP / CISSP gecertificeerd is. Klopt dit inderdaad?

Indien ja, je kan toch gewoon examen doen (had ik eerder in het topic gelezen) en vervolgens je certificaat krijgen? Alleen je mag de titel niet officieel dragen.

Voor SSCP is het me niet geheel duidelijk, maar voor CISSP kan je (indien je niet iemand kent die je kan aanbevelen) je CV met alles erop en eraan sturen aan (ISC)2. Zij gaan dan je gegevens doorspitten om te kijken of je voldoet aan de eisen. Dat duurt alles bij elkaar wel veel langer.

Daarna mag je gewoon de titel dragen.

Woodsy:
Voor het CISSP certificaat wordt een relevante (werzkaam binnen een van de 10 CBK vakgebieden) werkervaring gevraagd van 5 jaar. Eventuele andere certificaten worden hier geloof ik niet bij meegeteld. In elk geval mag je altijd deelnemen aan het examen (en natuurlijk ook slagen) maar mag je na het succesvol afronden van je examen niet de titel CISSP dragen, maar Associate of ISC2. Nadat je de benodigde werkervaring hebt opgedaan wordt deze titel omgezet in een volwaardige CISSP titel.

Een ander vraagje:
Na mijn behaalde Assoicate of ISC2 (CISSP) titel wilde ik het even rustig aan doen, maar door omstandigheden krijg ik de mogelijk om een ethical hacker cursus te volgen. Nu zijn er nogal een aantal en gaat mijn voorkeur uit naar het C|EH certificaat. Heeft iemand hier ervaring mee? met name de diepgang en de aanbeveling tot zelfstudie of cursus?

j0rDy wijzigde deze reactie 01-10-2009 11:25 (14%)

quote:

0uTsIdEr84 schreef op donderdag 01 oktober 2009 @ 11:22:
Woodsy:
Voor het CISSP certificaat wordt een relevante (werzkaam binnen een van de 10 CBK vakgebieden) werkervaring gevraagd van 5 jaar. Eventuele andere certificaten worden hier geloof ik niet bij meegeteld. In elk geval mag je altijd deelnemen aan het examen (en natuurlijk ook slagen) maar mag je na het succesvol afronden van je examen niet de titel CISSP dragen, maar Associate of ISC2. Nadat je de benodigde werkervaring hebt opgedaan wordt deze titel omgezet in een volwaardige CISSP titel.

Een ander vraagje:
Na mijn behaalde Assoicate of ISC2 (CISSP) titel wilde ik het even rustig aan doen, maar door omstandigheden krijg ik de mogelijk om een ethical hacker cursus te volgen. Nu zijn er nogal een aantal en gaat mijn voorkeur uit naar het C|EH certificaat. Heeft iemand hier ervaring mee? met name de diepgang en de aanbeveling tot zelfstudie of cursus?

Ik heb het CEH certificaat in maart dit jaar gehaald, versie 6 was dat. Ik vond het een leuke cursus om te doen, maar kan niet zeggen dat er bijster veel diepgang in zit. Het is meer door een collectie van tools heen gaan en uitleg krijgen over de functies en technieken dan dat je een netwerk voorgeschoteld krijgt met de opdracht, wie er het eerste is!

Dat was mijn verwachting toen ik er aan begon. Mocht je meer specifieke info willen, neem even contact op

quote:

0uTsIdEr84 schreef op donderdag 01 oktober 2009 @ 11:22:
Een ander vraagje:
Na mijn behaalde Assoicate of ISC2 (CISSP) titel wilde ik het even rustig aan doen, maar door omstandigheden krijg ik de mogelijk om een ethical hacker cursus te volgen. Nu zijn er nogal een aantal en gaat mijn voorkeur uit naar het C|EH certificaat. Heeft iemand hier ervaring mee? met name de diepgang en de aanbeveling tot zelfstudie of cursus?

Ikzelf heb 2 jaar geleden de zelfstudie variant gedaan, 2 andere collega's hebben de cursus gevolgd. Eigenlijk waren we allemaal van mening dat je met CEH gewoon een "scriptkiddie met diploma" bent.

Natuurlijk worden er ook wel principes en technieken besproken, maar een groot deel ervan is toch echt in de trend van "als je <insert hack here> wil doen, gebruik je tool <X> met parameters <Y>".

Fox-iT heeft ook een dergelijke training, maar dan zonder certificaat etc.
Hands-on-Hacking is veel meer practijk gericht en niet een opsomming van de tooltjes.

Nadeel: Als je een certificaatfetisch hebt dan heb je er niets aan

quote:

Equator schreef op donderdag 01 oktober 2009 @ 15:14:
Fox-iT heeft ook een dergelijke training, maar dan zonder certificaat etc.
Hands-on-Hacking is veel meer practijk gericht en niet een opsomming van de tooltjes.

Nadeel: Als je een certificaatfetisch hebt dan heb je er niets aan

Worden de cursussen van offensive-security al in nederland gegeven? Dat zijn wel echte hardcore hands-on trainingen die zouden zeker de moeite waard zijn

SANS word volgens mij al wel gedaan in Amsterdam toch?

Offensive security 101 heb ik vorig jaar gedaan, in België weliswaar (bij Telindus) maar dichtbij genoeg. Ik kan hem je aanbevelen, het is een heerlijke week vol info en vooral veel praktijk. Je kunt hem ook online doen natuurlijk, maar de interactie met de docent (in mijn geval muts zelf) vond ik veel toevoegen. In vergelijking tot CEH duidelijk een winnaar, SANS (security essentials) vind ik dan nog beter hoewel dat qua concept erg lijkt op CEH. Eén 'waarschuwing', het examen van Offensive Security 101 is lastig (ik ben gezakt destijds moet 'm nog steeds es opnieuw proberen)

Edit: SANS is regelmatig in Amsterdam te vinden inderdaad, afgelopen jaar nog op 508 geweest

BoGhi wijzigde deze reactie 02-10-2009 10:24 (7%)

quote:

BoGhi schreef op vrijdag 02 oktober 2009 @ 10:23:
Offensive security 101 heb ik vorig jaar gedaan, in België weliswaar (bij Telindus) maar dichtbij genoeg. Ik kan hem je aanbevelen, het is een heerlijke week vol info en vooral veel praktijk. Je kunt hem ook online doen natuurlijk, maar de interactie met de docent (in mijn geval muts zelf) vond ik veel toevoegen. In vergelijking tot CEH duidelijk een winnaar, SANS (security essentials) vind ik dan nog beter hoewel dat qua concept erg lijkt op CEH. Eén 'waarschuwing', het examen van Offensive Security 101 is lastig (ik ben gezakt destijds moet 'm nog steeds es opnieuw proberen)

Edit: SANS is regelmatig in Amsterdam te vinden inderdaad, afgelopen jaar nog op 508 geweest

hm, die offensive-security 101 zou ik ook graag willen volgen. Waar heb je je ingeschreven en informatie verkregen?

Ik heb destijds een folder van Telindus ontvangen, met daarin hun opleidingenaanbod. Daar stond ie toen in, en volgens mij heb ik 'm dit jaar ook weer gezien. Locatie is Leuven, België. Maar wil je hem online volgen dan kun je je volgens mij gewoon via hun site aanmelden, http://www.offensive-security.com/

@Zanniebal en Whizzer:
hebben jullie zelfstudie gedaan of een training gevolgd? welk materiaal hebben jullie gebruikt? ik heb inmiddels de boeken incl dvd's in bezit. het feit dat je een scriptkiddie met diploma wordt is geen punt, aangezien ik het meer als een stap in de richting van het vakgebied zie. Echte kennis doe je dan toch op tijdens werkervaring. Natuurlijk studeren we gewoon door en pakken we daarna offensive security, maar laten we niet te hard van stapel lopen

quote:

0uTsIdEr84 schreef op maandag 05 oktober 2009 @ 12:47:
@Zanniebal en Whizzer:
hebben jullie zelfstudie gedaan of een training gevolgd? welk materiaal hebben jullie gebruikt? ik heb inmiddels de boeken incl dvd's in bezit. het feit dat je een scriptkiddie met diploma wordt is geen punt, aangezien ik het meer als een stap in de richting van het vakgebied zie. Echte kennis doe je dan toch op tijdens werkervaring. Natuurlijk studeren we gewoon door en pakken we daarna offensive security, maar laten we niet te hard van stapel lopen

Ik heb de training gevolgd bij tstc, kreeg ook de boeken en de dvd's van v6. Moet zeggen dat ik de boeken niet opengehad heb, maar het gewoon in de training geleerd heb. Het is inderdaad een papiertje om mee te beginnen in het wereldje. Maar het staat vooral goed voor onbekenden, en het laat zien dat je security wel in je hoofd hebt zitten

Ik ga nu eerst CCNA zelf studie doen, en daarna wil ik eens kijken naar offensive-security!

stimm wijzigde deze reactie 08-10-2009 13:05 (4%)

quote:

0uTsIdEr84 schreef op maandag 05 oktober 2009 @ 12:47:
@Zanniebal en Whizzer:
hebben jullie zelfstudie gedaan of een training gevolgd? welk materiaal hebben jullie gebruikt? ik heb inmiddels de boeken incl dvd's in bezit. het feit dat je een scriptkiddie met diploma wordt is geen punt, aangezien ik het meer als een stap in de richting van het vakgebied zie. Echte kennis doe je dan toch op tijdens werkervaring. Natuurlijk studeren we gewoon door en pakken we daarna offensive security, maar laten we niet te hard van stapel lopen

Volledig via zelfstudie gedaan met behulp van dit en dit boek. Het eerste boek las wel makkelijk weg. Het leest een beetje alsof het een uittreksel was van het officieel cursusmateriaal (wat echt véél is!). Het tweede boek was hem niet echt. Alsof het weer een uittreksel van het eerste boek was, dus een uitreksel van een uittreksel...

Dit was wel allemaal de V5 uitvoering, nu is er de V6 volgens mij en ik zie bij Amazon dat er een aantal nieuwe boeken zijn of aan zitten te komen.

na wat verdieping in het cursus materiaal moet ik zeggen dat ik de DVDs te chaotisch vind. Hier staan teveel tools op met dezelfde functie(s) waardoor je door de bomen het bos niet meer ziet. Als je bovenstaande handleidingen als uitgangspunt gebruikt en alleen deze tools behandeld dan is het een stuk beter te behappen. Echter vraag ik mijzelf af of dit dan voldoende is. Ook valt mij op dat het erg op windows gericht is terwijl linux natuurlijk ook geen kleine rol speelt op het gebied van security...Onderstussen ga ik vrolijk door en laat ik jullie nog weten hoe dit bevalt en of ik toch voor een cursus ga...

Ik begrijp dat je al bezig bent met CEH? Niet de beste keus vind ik, zoals je eigenlijk zelf ook al zegt. De titel voegt ook erg weinig toe als je al CISSP bent. Wil/kun je nog wat anders kiezen, doe dan een SANS opleiding. Gebaseerd op mijn ervaringen veel beter.

komt daarna wel...ik zie CEH meer als CISSP voor de pentester...naar mijn mening is CEH toch de beste stap als je in dit wereldje wilt beginnen. Natuurlijk ga je daarna door voor de wat "more serious" certificeringen...

Als je C|EH examen wilt doen na zelfstudie ben je verplicht om minimaal 2 jaar infosec related werkervaring te hebben. Een briefje van je baas is snel (na) gemaakt lijkt me, hoe hebben anderen zonder de benodigde werkervaring dit opgepakt?

quote:

ebia schreef op vrijdag 23 oktober 2009 @ 13:32:
Als je C|EH examen wilt doen na zelfstudie ben je verplicht om minimaal 2 jaar infosec related werkervaring te hebben. Een briefje van je baas is snel (na) gemaakt lijkt me, hoe hebben anderen zonder de benodigde werkervaring dit opgepakt?

idd, 2 jaar is het probleem niet. Denk aan voorlopleiding en evt. stages in het vakgebied. Met een beetje "creatief (denk)werk" kom je daar zo aan. Ik denk dat dit soort handelingen moeilijker is bij o.a. CISSP, die 5 jaar ervaring vragen.

Maandag ga ik beginnen aan de 6 daagse CEH opleiding. Ik zal na deze cursus afhankelijk van het persoonlijk behaalde resultaat een goede of minder goede bevinding schrijven

Outsider, ik probeerde je te DM-en, maar die staat uit. Vandaar hier mijn PM:

[QUOTE]
Goedemiddag,

In het security topic zag ik staan dat je je CISSP had gehaald. Allereerst gefeliciteerd. Het is denk ik wel een van de hoogste gewaarderde en moeilijkst te verkrijgen certificeringen.

Nu ben ik sinds circa twee maanden bezig met CISSP en vroeg mij af of je voor mij de volgende vragen zou willen beantwoorden?
- Wat was je ervaring met het examen, pittiger of lastiger dan verwacht? Heb je een idee van het aantal bestede studieuren.
- Hoe en waar heb je het examen gepland? Op de website zag ik dat ze slechts tweemaal per jaar een examen doen. Heb je hem inderdaad gewoon in Nederland gedaan?
- Ik gebruik het boek (Sybex), een samenvatting van CISSP en heb TestOut gekocht (SSCP + CISSP). Heb jij nog speciale leermiddelen gebruikt?

Je zou mij met de antwoorden een groot plezier doen .

Met vriendelijke groet,
[/QUOTE]

- Wat was je ervaring met het examen, pittiger of lastiger dan verwacht? Heb je een idee van het aantal bestede studieuren.
toch wel lastiger dan verwacht. om te beginnen had ik een relatief oud boek als basis waardoor ik toch wat dingen miste. ik heb heel veel uren zelfstudie gehad, maar afhankelijk van je ervaring kan dit minder zijn aangezien ik alleen theoretische kennis had, en het mij opviel dat er veel inzichtsvragen waren gericht op de praktijk.

- Hoe en waar heb je het examen gepland? Op de website zag ik dat ze slechts tweemaal per jaar een examen doen. Heb je hem inderdaad gewoon in Nederland gedaan?
ik heb het examen gewoon in Nederland gedaan. eerst had ik geboekt voor duitsland, maar zag dat er een extra examen in nederland gepland stond voor 2 weken ervoor, mailtje gestuurd en de aanvraag omgezet naar nederland. ik zou zeggen hou de site in de gaten aangezien ze dit wel eens vaker doen ivm cursussen etc. let op want de ervaring is dat ze vaak snel vol zitten! (zeker als de uitslagen van het vorige examen bekend zijn!)

- Ik gebruik het boek (Sybex), een samenvatting van CISSP en heb TestOut gekocht (SSCP + CISSP). Heb jij nog speciale leermiddelen gebruikt?
dat zou in principe voldoende zijn, maar nogmaals, afhankelijk van je voorkennis. denk ook aan het maken van VEEL oefenvragen om de vraagstelling te leren kennen, het blijft tenslotte amerikaans. gebruik hiervoor http://www.cccure.org/ waarvan ik vind dat deze het beste in de buurt komt bij echte examenvragen. Let ook op een goede voorbereiding! en zit van 6 uur is killing voor je concentratie en denk aan dingen als eten/drinken maar ook oordopjes en een goede puntenslijper en gum!

als je nog meer dingen wilt weten post maar hier, denk dat dit soort dingen voor iedereen wel handig is!

edit:
gister het lesmateriaal ontvangen voor de CEH studie, godsamme wat is dit veel, gelukkig veel additionele informatie die volgens mij niet terug komt op het examen. maandag starten...spannend!!!

j0rDy wijzigde deze reactie 05-12-2009 11:44 (5%)

Ik mag de 12e december examen doen voor CISSP. Dat wordt nog wat; nauwelijks tijd gehad om te leren. 'k ben in hoofdstuk 6 van de 12 en heb eigenlijk alleen maar gelezen, niet echt gestudeerd. Grote kans dat het niks wordt dus.

Het boek dat ik gebruik heet `All in one CISSP Exam Guide Third Edition' van Shon Harris. Niet de nieuwste versie geloof ik.

Wat me opviel aan de vragen en inhoud van dit boek is dat technische kennis je juist in de weg kan zitten en dat je soms vooral moet proberen te achterhalen wat het idee van de vraag + antwoorden is en dan slim het antwoord kiezen. Dit in plaats van daadwerkelijk de vraag zelf te beantwoorden. Het is vaak een spelletje van 'alle 4 antwoorden slaan nergens op, maar antwoord X is waarschijnlijk wat ze bedoelen'.

Overigens heb je die 6 uur voor CISSP niet per se nodig: een collega heeft het schijnbaar in 3 kwartier gedaan, en gehaald.

De third edition vind ik een drama om te lezen. Geef mij het zakelijke no nonsense isc2 boek maar.

Ben het er helemaal mee eens dat kennis in de weg kan zitten. Niet alleen maakt het studeren saai maar ook wijken antwoorden soms af of wordt het een spel om het minst kansloze antwoord te geven.

quote:

serkoon schreef op zaterdag 05 december 2009 @ 15:50:
Ik mag de 12e december examen doen voor CISSP. Dat wordt nog wat; nauwelijks tijd gehad om te leren. 'k ben in hoofdstuk 6 van de 12 en heb eigenlijk alleen maar gelezen, niet echt gestudeerd. Grote kans dat het niks wordt dus.

Het boek dat ik gebruik heet `All in one CISSP Exam Guide Third Edition' van Shon Harris. Niet de nieuwste versie geloof ik.

Wat me opviel aan de vragen en inhoud van dit boek is dat technische kennis je juist in de weg kan zitten en dat je soms vooral moet proberen te achterhalen wat het idee van de vraag + antwoorden is en dan slim het antwoord kiezen. Dit in plaats van daadwerkelijk de vraag zelf te beantwoorden. Het is vaak een spelletje van 'alle 4 antwoorden slaan nergens op, maar antwoord X is waarschijnlijk wat ze bedoelen'.

Overigens heb je die 6 uur voor CISSP niet per se nodig: een collega heeft het schijnbaar in 3 kwartier gedaan, en gehaald.

er zijn meer mensen die ik ken die 12 december voor hun CISSP gaan, leuk en veel succes!

maareh, 3 kwartier...250 vragen...die krijg je niet eens gelezen in die tijd...als je alles gokt is het al krap aan...