IT Security Certificeringen

maareh, 3 kwartier...250 vragen...die krijg je niet eens gelezen in die tijd...als je alles gokt is het al krap aan...

Ik zie hem er op zich wel voor aan, maar 't is idd wel erg idioot snel.. Zijn tactiek was alles 1x doorlopen en bij niet-weten of twijfel een antwoord gokken en bij wel-weten gewoon snel aankruizen (dus ook verder niet nadenken).

Mijn tactiek is meestal snel antwoorden als ik het gewoon weet, dingen waarover ik twijfel markeren voor later en dingen die ik niet weet direct gokken wat het logischte antwoord is. Aan het eind de twijfelgevallen nog even bijlangs om ze te beantwoorden. Bij multiple choice kun je nog wel eens met behulp van latere vragen eerdere beantwoorden (weet niet of dat bij CISSP ook is)

serkoon schreef op zaterdag 05 december 2009 @ 17:34:
[...]

Ik zie hem er op zich wel voor aan, maar 't is idd wel erg idioot snel.. Zijn tactiek was alles 1x doorlopen en bij niet-weten of twijfel een antwoord gokken en bij wel-weten gewoon snel aankruizen (dus ook verder niet nadenken).

Mijn tactiek is meestal snel antwoorden als ik het gewoon weet, dingen waarover ik twijfel markeren voor later en dingen die ik niet weet direct gokken wat het logischte antwoord is. Aan het eind de twijfelgevallen nog even bijlangs om ze te beantwoorden. Bij multiple choice kun je nog wel eens met behulp van latere vragen eerdere beantwoorden (weet niet of dat bij CISSP ook is)

let met bij markeren en later terugkijken op de tijd...dit heeft mij ook punten gekost omdat ik in tijdnood kwam! mijn ervaring is in ieder geval dat 6 uur zeker niet ruim is...

Als je in 45 minuten de 250 vragen hebt beantwoord, dan is het veel meer multiple gok geweest

Ik had ruim 4 uur nodig voor het examen.

* Equator mag overigens voor ISSAP op 12 december

Succes Equator! laat je even weten wat je er van vond?

Leuk.
Zijn er eigenlijk al deftige boeken uit voor die concentrations?
Heb je cursus gedaan?

Ik zou graag de ISSMP op termijn wel doen, maar het blijft zo vaag qua wat je nu juist moet kunnen.


En ik had ook 5 uur en een kwart gebruikt van mijn tijd op mijn CISSP examen. Met haast was 3 uur misschien mogelijk geweest, maar 3 kwartier vind ik wel heel erg zwaar van de pot gerukt.

Verwijderd schreef op dinsdag 08 december 2009 @ 21:24:
Leuk.
Zijn er eigenlijk al deftige boeken uit voor die concentrations?

Schijnbaar wel ja, ik heb er nog niet naar gezocht, maar ze zijn er blijkbaar wel.

Heb je cursus gedaan?

Ik heb de CBK training bij DVN Academy / Cibit gevolgd. Officiele trainer van (ISC)²

Ik zou graag de ISSMP op termijn wel doen, maar het blijft zo vaag qua wat je nu juist moet kunnen.

Nou, welke domeinen vallen er onder ISSMP
Die moet je door en door kennen.

En ik had ook 5 uur en een kwart gebruikt van mijn tijd op mijn CISSP examen. Met haast was 3 uur misschien mogelijk geweest, maar 3 kwartier vind ik wel heel erg zwaar van de pot gerukt.

Morgen is het gelukkig maar maximaal 3 uur
* Equator begint wel enigzins last van zenuwen te krijgen..

Ohja, succes natuurlijk Serkoon

Suc6 Equator!

Whizzer schreef op vrijdag 11 december 2009 @ 12:31:
Suc6 Equator!

Thnx Mate

Succes Equator, krijg je gelijk de uitslag?

Sneiker schreef op vrijdag 11 december 2009 @ 15:53:
Succes Equator, krijg je gelijk de uitslag?

helaas...4 tot 6 weken wachten...standaard bij ISC2...

2-4 weken bij ISSAP. Zijn sleechts 125 vragen
Hopelijk heb ik een positieve uitslag nog voor de kerst. Zou fijn zijn.

* Equator gaat vertrekken.

Nou, ik ben benieuwd

Heb uiteindelijk alles in 1x gedaan, over de vragen kon ik niet echt langer nadenken of doordenken dan het snappen van de vraag en de antwoorden zelf..

Uiteindelijk 2 uur over CISSP-examen gedaan. Ik hoop dat de score omgekeerd evenredig is met de besteedde tijd, maar het zou me niks verbazen als't nog een keer mag..

Dat heb je vlot voor elkaar serkoon. Ik was met 2 uur klaar met het ISSAP. Maar dat is de helft van het aantal vragen..

Mjah, maag ging knorren

Beetje goed gevoel bij hoe het ging, Equator?

even kleine mededeling: ikke is CEH!

ervaringen komen nog...even genieten...

Gefeli! En h4x0rze

Feli ceh84

* Rukapul zit nu in de trein terug van cissp. Laatste die de zaal verliet

Vond het eigenlijk wel teleurstellend met wat voor een houding de gemiddelde deelnemer daar zat (n=klein): betaald door de baas en god zegene de poging

Ben zelf wel redelijk positief. Hopelijk was de zelfstudie voldoende.

serkoon schreef op zaterdag 12 december 2009 @ 14:04:
Mjah, maag ging knorren

Beetje goed gevoel bij hoe het ging, Equator?

Mja, ik heb er een redenlijk gevoel bij, maar dat wil niets zeggen..

Rukapul schreef op zaterdag 12 december 2009 @ 17:33:
Feli ceh84

* Rukapul zit nu in de trein terug van cissp. Laatste die de zaal verliet

Vond het eigenlijk wel teleurstellend met wat voor een houding de gemiddelde deelnemer daar zat (n=klein): betaald door de baas en god zegene de poging

Ben zelf wel redelijk positief. Hopelijk was de zelfstudie voldoende.

Gast, zat jij er ook? We hadden er een meet van kunnen maken

(SCHOP) hebben jullie al uitslag van ISC2?

ik zou nog even kort mijn bevindingen schrijven over de CEH cursus die ik gevolgd heb:

de betreffende cursus duurde 6 dagen. 5 daarvan ben je bezig met stof tot jezelf nemen, de laatste ga je het tentamen maken (multiple choice, 150 totaal, minimaal 70% goed, 4 uur de tijd) op eerlijk te zijn heb ik de bijgeleverde boeken niet open gehad. Wel heb ik alle sheets digitaal doorgenomen. verder heb ik de focus gelegd op de tooling die aan bod kwam. het is belangrijk de methodiek hierachter te snappen alhoewel er ook vragen komen die technischer aangelegd zijn. Let op dat de training gegeven wordt door een gecertificeerde instructor. Eigenlijk kan er weinig fout gaan als je gewoon oplet en enige voorkennis hebt van de termen die gebruikt worden.

even wat anders: Vandaag de laatste hand gelegd aan mijn pentest lab. bedoeld om veilig in een gecontroleerde omgeving te "spelen". Ik heb onder andere de CTF reeks, De-Ice, Hackmes, Moth en WebGoat toegevoegd met bijbehorende documentatie. Een set van ongeveer 15 virtuele machines. Kost wat werk maar dan kan je ook wat! nu aan de slag om ze allemaal door te werken!

Nope, nog geen bericht van (ISC)2

0uTsIdEr84 schreef op zaterdag 02 januari 2010 @ 15:18:

ik zou nog even kort mijn bevindingen schrijven over de CEH cursus die ik gevolgd heb:

de betreffende cursus duurde 6 dagen. 5 daarvan ben je bezig met stof tot jezelf nemen, de laatste ga je het tentamen maken (multiple choice, 150 totaal, minimaal 70% goed, 4 uur de tijd) op eerlijk te zijn heb ik de bijgeleverde boeken niet open gehad. Wel heb ik alle sheets digitaal doorgenomen. verder heb ik de focus gelegd op de tooling die aan bod kwam. het is belangrijk de methodiek hierachter te snappen alhoewel er ook vragen komen die technischer aangelegd zijn. Let op dat de training gegeven wordt door een gecertificeerde instructor. Eigenlijk kan er weinig fout gaan als je gewoon oplet en enige voorkennis hebt van de termen die gebruikt worden.

Hoeveel kennis heb je nodig van bijvoorbeeld TCP/IP of assembly programmeren? Heb je daar überhaupt veel voorkennis voor nodig, of komt het belangrijkste bij de cursus wel aan bod?

assembly 0,0...TCP/IP natuurlijk wel...ook het OSI model komt weer aan bod ivm de verschillende firewalls die er zijn. Ook komen de bekende poorten weer langs en de parameters voor bijvoorbeeld nmap en snort...

Ok, dat klinkt als iets waar ik dus wel uit zou moeten kunnen komen. Bedankt

gezien mijn programmeerkennis (ook 0,0) moet dat voor elke niet technische icter te doen zijn....ik denk dat de problemen ontstaan bij de wat meer specialistische certificaten, zoals OSCP, waarbij je bijvoorbeeld zelf buffer overflows gaat schrijven....

*kick

ik weet dat het nog niet heel lang geleden is dat ik mijn CEH gehaald heb, sterker nog, ik heb mn certificaat nog niet eens binnen en ben al aan het zoeken naar de volgende. Nu is mijn oog gevallen op OSCP maar kan er relatief weinig informatie over vinden. heeft iemand ervaring met dit soort certificering en de moeilijkheidsgraad ervan? (online via een VPN in een virtueel netwerk rommelen en hier ook je opdrachten/examen doen)

Verder ben ik het volgende instituut tegengekomen:
http://www.iitac.org/

Hier bieden ze o.a. certified penetration tester en certified scientific hacker en certified exploit and shellcode developer aan. iemand bekend met iitac en hun werkzaamheden?

geen punt, ik ben van mening dat bij CEH het meer gaat om de mindset, een kennismaking met wat tools en wat theoretische stof (ze moeten tenslotte toch iets vragen) zoals poortnrs, parameters van tools etc. Desalniettemin heeft het veel interesse gewekt in ECSA/LTP waar ik zeker ooit nog een keer aan ga beginnen! Ben je van plan een cursus te gaan doen of zelfstudie met examen?

[ Voor 16% gewijzigd door j0rDy op 13-01-2010 12:44 ]

0uTsIdEr84 schreef op zaterdag 02 januari 2010 @ 15:18:
(SCHOP) hebben jullie al uitslag van ISC2?

jaaaaaaaaaaaaaaaa

ik heb 'm sinds december. De uitslag duurde 6 weken (in Melbourne gedaan op 24 october). Ik ben nu aan het wachten op de "endorsement". Ik had niemand die mij kon endorsen dus zit ik te wachten tot ISC2 mijn referenties checked. Dat duurt een week of 10.

Ik ben nu rustig met CCNA begonnen. Daarna wil ik CEH halen.

Helaas, nog steeds niets

Ik heb goede hoop voor vandaag.. De uitslag van CISSP kreeg ik ook op een vrijdag

En natuurlijk gefeliciteerd Befrankt

[ Voor 15% gewijzigd door Equator op 15-01-2010 11:59 ]

Voor een machine readable examen is 6 weken sowieso al lang. Binnen een week de scores digitaal hebben en dan nog een week om de correctiefactor te bepalen lijkt me ruim zat Maar tja, dan mis je natuurlijk het Idols-effect.

gefeliciteerd! ik zit nu elke dag geduldig bij mijn brievenbus te wachten op het welkomspakket van ECcouncil. Stiekum ben ik bezig om mijzelf in te lezen in de stof voor OSCP, maar heb geen idee wanneer ik de stap durf te nemen om er aan te beginnen. ik merk dat ik vooral programmeerkennis te kort kom voor bijv shell scripting en het schrijven van buffer overflows. uiteindelijk wil ik dit toch leren en heb het gevoel dat OSCP hier de beste methode voor is.

Ik kon helaas niet, dus ik mag in April

Vanmiddag in m'n inbox:

Congratulations! We are pleased to inform you that you have passed the Certified Information Systems Security Professional (CISSP®) examination

* Rukapul checkt E-mail:

Congratulations! We are pleased to inform you that you have passed the Certified Information Systems Security Professional (CISSP®) examination - the first step in becoming certified as a CISSP.

Krijgen we ook nog een score?

Gefeli

Score krijg je, begreep ik, alleen als je niet geslaagd bent. Wel snugger, zodoende krijg je niet CISSPers die gaan patsen met hun specifieke score.

Zit wat in.

Jij natuurlijk ook nog gefeliciteerd

Allen gefeliciteerd..

Ik kreeg vandaag ook e-mail

Dear Erik:

Congratulations! It gives me great pleasure to be the first to address you with the Information Systems Security Architecture Professional (ISSAP®) designation!

Based upon your examination results and a review of your application, the (ISC)2 Board of Directors awarded you with the ISSAP designation.

* Equator viert feestje..

Gefeliciteerd Equator!

Hoe checken ze de 2 jaar ervaring eigenlijk voor ISSAP? Doet ISC2 dat zelf of is het ook een vorm van endorsement?

Ik heb vandaag het papierwerk naar m'n endorser gestuurd zodat het binnenkort richting ISC2 kan

[ Voor 23% gewijzigd door Rukapul op 18-01-2010 19:53 ]

Mja, je moet in je CV opgeven wat je allemaal aan "architecture" ervaring hebt. En ik kwam wel aan een hoop ontwerpers ervaring, zodoende

Gefeliciteerd, nu ook even digitaal!

gefeli iedereen!!!

Whizzer schreef op dinsdag 19 januari 2010 @ 10:57:
Gefeliciteerd, nu ook even digitaal!

Zenx.. (ook digitaal)

Helaas kan ik de taart niet in ontvangst nemen aangezien ik tot februari niet meer bij je in het pand kom...

Vandaag toestemming van het werk gekregen om een CISSP training uit te gaan zoeken... Men wil nog wat andere dingen met me en daarvoor is een CISSP papiertje wel handig. Ze begrepen echter ook wel dat het in eigen tijd anders nog langer ging duren, dus nu mag ik een cursusje gaan zoeken. Iemand tips?

Jammer, blijf je lang weg

Ik was erg tevreden over de CBK training van Fox-iT. Maar DNV Academy heeft vast ook wel wat in die richting. (Daar heb ik het ISSAP CBK gedaan)

Suc6 ermee iig

@Equator:
tot eind februari 2 dgn per week, daarna is het helemaal over... Volgende week ben ik bij Cisco Networkers, dus dan kan ik je ook niet lastig vallen.

Ik zal eens bij de opleidingtoko's gaan kijken! Meer tips altijd welkom.

zojuist bericht ontvangen van het thuisfront dat mijn certificaat (CEH) op de deurmat ligt...naja bij de buren dan, want het is te groot voor de brievenbus. Als het goed is zit er een soort van "welkomspakket" bij...ben benieuwd!

Oeh, goodies

nou, viel een beetje tegen hoor...1 grote sticker met heel groot Certified Ethical Hacker erop geschreven...dan had het boekenpakket nog meer "goodies" (pen, muismat, die trouwens ontzettend stinkt! haha)

Ok, nu ben ik volledig CISSP na controle van mijn references... Wat nu? Wat doen jullie om aan de benodigde CPE punten te komen elke 3 jaar? Welke lidmaatschappen heb je echt wat aan en leveren punten op? Ik heb de lijst bekeken, maar daar wordt je ook niet veel wijzer van.

Verwijderd schreef op donderdag 25 februari 2010 @ 01:50:
Ok, nu ben ik volledig CISSP na controle van mijn references... Wat nu? Wat doen jullie om aan de benodigde CPE punten te komen elke 3 jaar? Welke lidmaatschappen heb je echt wat aan en leveren punten op? Ik heb de lijst bekeken, maar daar wordt je ook niet veel wijzer van.

Feli, indien ik dat nog niet gedaan had

CPE's haal je vrij gemakkelijk door het volgen van een training, het bijwonen van expo's of het lezen van de InfoSecurity Magazine. Er zijn tal van mogelijkheden.
Stel jij volgt een training van $leverancier over security, dan kan jij dat opgeven als CPE's. 4 per dag. Dus als jij een 5 daagse training hebt gevolgd, dan mag je 20 uur/CPE's opgeven.

Check de CPE guidelines over hoeveel en waarvoor.

Laatst de ISSAP CBK training gedaan, en daarvoor mocht ik 28 punten opgeven. Dan tikt het best hard aan

Equator schreef op donderdag 25 februari 2010 @ 19:39:
[...]

Feli, indien ik dat nog niet gedaan had

CPE's haal je vrij gemakkelijk door het volgen van een training, het bijwonen van expo's of het lezen van de InfoSecurity Magazine. Er zijn tal van mogelijkheden.
Stel jij volgt een training van $leverancier over security, dan kan jij dat opgeven als CPE's. 4 per dag. Dus als jij een 5 daagse training hebt gevolgd, dan mag je 20 uur/CPE's opgeven.

Check de CPE guidelines over hoeveel en waarvoor.

Laatst de ISSAP CBK training gedaan, en daarvoor mocht ik 28 punten opgeven. Dan tikt het best hard aan

Dank u

Ik ben nu met de zelfstudie van CCNA bezig. Volgens de ISC2 website kan ik per studie uur 1 CPE punt krijgen. Dan ben ik al halvewege, of werkt het niet zo?

klein kickje voor mijn vraag?

Nee, zo werkt het niet. Zelfstudie kan je daar niet voor gebruiken. De studie moet klassikaal gegeven worden door een erkende instantie. Bovendien heeft het CCNA volgens mij maar een klein raakvlak met netwerksecurity.
Althans: vroeger, toen ik mijn CCNA haalde was netwerksecurity niet eens een onderdeel van CCNA. Met de CRLS cursus had je voldoende voor het CCNA examen.

Misschien dat dat nu anders is..

Tegenwoordig heeft CCNA ook een paar extra kerngebieden.. En Security is er daar eentje van (640-553 IINS ). Maar dat is pas van toepassing nadat je je CCNA hebt.

Overigens worden access-lists al in CCNA behandeld en dat gebruik je natuurlijk voor security...

Daarom had ik het ook over een klein raakvlak. Maar blijkbaar is het al wat groter

sh4d0wman schreef op donderdag 25 februari 2010 @ 19:25:
Ik heb vandaag bij Exin examen gedaan en ben geslaagd voor Information Security Foundation (ISF). Hiermee de short-track Network and Internet Security based on ISO/IEC 27002 volbracht.

Binnenkort ga ik beginnen met CEH (misschien eerst nog ICND2 tussendoor) doormiddel van zelfstudie. Heb diverse guides liggen en ook een trainingsvideo voor versie 6. Verder maar even mijn virtuele labje aanslingeren.

Mocht iemand nog nuttige tips hebben dan hoor ik die graag

even wat tips rondom CEH:

leer vooral de methodes achter de tools. en zorg dat je bij de "bekendere" tools (nmap, snort) je weg weet te vinden met betrekking tot parameters etc. veel succes!

heb op werk mn OSCP maar eens ingeschoten...volgende week hoor ik of ik mag! zo niet, betalen we het toch gewoon zelf?

Equator schreef op vrijdag 05 maart 2010 @ 13:06:

offtopic:
Vermaak je je een beetje op de bank

Klein schopje ^_^

Heb nu toch echt de knoop doorgehakt om maar eens aan security certificering te gaan beginnen.
Security is eigenlijk altijd al wel een hobby van mij geweest , en heb met de meeste tooltjes ook wel wat ervaring.

Maar nu toch de vraag aan jullie, Waar zou ik beginnen?
Zat zelf te denk aan CEH eerst maar halen?

Alvast bedankt voor de input

dat ligt eraan...weet je al welke kant je op wilt binnen security? hoeveel kennis heb je van security in het algemeen? binnen Nederland is op het gebied van ethical hacking CEH het meest bekend/gewaardeerd. Als je echter uit bent op technische verbreding zou ik eerder voor OSCP gaan ivm de technische hands on ervaring die je daar gaat opdoen. Laat even weten welke kant je op wilt zodat we iets specifieker kunnen zijn.

Het liefst wil ik toch de kant op gaan van een Pen-tester eigenlijk.

Ben nu 3 jaar aan het werk als gewoon normaal systeem beheerder , maar hobby nog wat bij met security.
Daarvoor toch al gauw een jaar of 4-5 bezig geweest als "Pen-tester",(alleen zonder toestemming... ) met de nodige gevolgen , wil daarom graag de "white hat" kant op

Afgelopen 3 jaar dat ik dit werk doe volg ik eigenlijk alles nog op gebied van Security , heb hier ook een paar test systemen draaien waarmee ik mij ook prima vermaak als ik niks te doen heb.

Zit even een beetje rond te kijken maar alles wat ik tot nu toe ben tegengekomen zit er ook een 5daagse curses bij die je moet volgen...

Er zijn toch ook wel mogelijkheden tot zelf studie en alleen examen kosten betalen mag ik hopen?

ok, duidelijk. Dan is CEH een goede plek om te starten. hier leer je waarschijnlijk niet veel nieuwe dingen, maar het is een goede stap in de richting omdat ik denk dat bijvoorbeeld OSCP of GPEN misschien wat te hoog gegrepen is. Veel succes en laat even weten wat je volgende stap wordt!

in ander nieuws:

ik win dus nooit wat...
http://www.ethicalhacker.net/content/view/306/1/

we zijn nu onderling aan het overleggen wie welke cursus gaat doen. ik heb ingeschoten op PWB, maar aangezien er meer mensen zitten met meer ervaring kan het ook WiFu worden. either way ik ben happy!

Hehe gz jordy

CEH leek mijzelf ook een goed idee , maar ik denk niet dat mijn huidige bedrijf die 5daagse cursus voor mij gaat betalen.

Kom ik toch weer terug op de vraag wat de zelf studie mogelijkheden zijn
En waar dit eventuele kan.

Zelfstudie kan prima, ik zou echter wel het officiele materiaal bestellen (kan via EC-council, zit op zo'n 600,-). Vervolgens kan je jezelf bij een van die instellingen die ook de cursus bieden inschrijven voor een examen (hier weet ik zo de kosten niet van). Dus ja, dat kan prima! ikzelf zit er aan te denken om na mn OffSec avontuur dit traject te doorlopen voor ECSA/LPT.

Ah okey thnx
Had al contact op genomen met TSTC maar die vertelden mij dat het niet kon zonder cursus
Volgende week maar eens bij EC-Council wat bestellen dan

kowapanga schreef op vrijdag 30 april 2010 @ 13:35:
Ah okey thnx
Had al contact op genomen met TSTC maar die vertelden mij dat het niet kon zonder cursus
Volgende week maar eens bij EC-Council wat bestellen dan

het kan wel, maar het certificeringsprocess schijnt nogal een hel te zijn (langdurig en een hoop gedoe) maar als je geen haast hebt en alles in orde hebt (aantoonbaar ervaring etc.) is zelfstudie wel degelijk een optie...

Schopje. Ik ga ook'ns aan de slag voor CISSP. Was het al langer van plan, maar nu komt het er van.

Eind deze maand haal ik het dikke pakket op bij TSTC, begin September de klassikale cursus, November het examen. Gelukkig werk ik met een enorme berg CISSPers, dus referenties moeten geen probleem zijn. De studiepunten die later volgen moeten ook wel okay zijn, ik zal nog'ns een presentatie of een cursus geven

leuk! alvast veel plezier en succes!

ik heb me zojuist ingeschreven voor Offensive Security PWB

Offensive Security

Kan ik nu ook al.... "Nee, je krijgt geen toegang hufter!"
Offensive genoeg?

cailin_coilleach schreef op donderdag 10 juni 2010 @ 12:49:
[...]

Kan ik nu ook al.... "Nee, je krijgt geen toegang hufter!"
Offensive genoeg?

lol, maar ik heb de naam ook niet bedacht! hier wat meer info:

http://www.offensive-secu...ration-testing-backtrack/

CISSP gehaald \0/. Nu nog gecertificeerd worden..... wachten duurt lang lang lang.

BCC schreef op donderdag 10 juni 2010 @ 21:23:
CISSP gehaald \0/. Nu nog gecertificeerd worden..... wachten duurt lang lang lang.

en een nickchange: BCCISSP!

BCC schreef op donderdag 10 juni 2010 @ 21:23:
CISSP gehaald \0/. Nu nog gecertificeerd worden..... wachten duurt lang lang lang.

Mooi werk! Het wachten duurt lang ja. De referenties checken ook. Ik had 3 maanden lang mijn hotmail geforward naar mijn werkmail zodat ik het meteen zou weten in plaats van een paar uur later

Gisteren trouwens Security+ van Comptia gehaald, voor een vrijstelling als ik aan een Master of Information Security begin eind dit jaar. Snel verdiend, want na CISSP kun je zonder te leren zo die Security+ doen. Het is iets van 10% van de CISSP stof. Ik had 870 van de 900 punten.

ik ben inmiddels begonnen aan mn OSCP. Afgelopen zondag de login gegevens gekregen voor het VPN netwerk. Eerste indruk: dat netwerk is HUGE! als je al die bakken moet hacken ben je nog wel ff bezig!!! gaaf!!!

voor meer van mijn ervaringen etc:
http://www.ethicalhacker....f/Itemid,54/topic,5655.0/

Van mijn werkgever mag ik een certificaat gaan halen. GIAC GSEC lijkt me een leuke, maar ik kan in het algemeen niet heel veel informatie vinden over het "self study" pad wat ik graag wil volgen. Daarom hoop ik dat er hier wat mensen zijn die dit zelf al hebben (liefst ook via self study) en die hun ervaringen kunnen en willen delen. Op de SANS website kun je namelijk de self study kit (SEC 401: SANS Security Essentials Bootcamp Style) bestellen, en dat kost $3200. Maar begrijp ik nou goed dat een "real life training" $3,375.00 kost, en me dat dus slechts $175 scheelt? Dat klinkt onlogisch, maar misschien sla ik de plank volledig mis... Ik hoop dat iemand dit traject al eens gevolgd heeft en wat informatie wil delen. Alvast dank.

Verwijderd schreef op donderdag 17 juni 2010 @ 13:12:
[...]
Gisteren trouwens Security+ van Comptia gehaald, voor een vrijstelling als ik aan een Master of Information Security begin eind dit jaar. Snel verdiend, want na CISSP kun je zonder te leren zo die Security+ doen. Het is iets van 10% van de CISSP stof. Ik had 870 van de 900 punten.

Waar heb je die gehaald?

BCC schreef op maandag 09 augustus 2010 @ 12:08:
[...]

Waar heb je die gehaald?

Melbourne

Van't weekend eindelijk m'n CISSP examen kunnen doen en ik moet zeggen: het viel me reuze mee! Mag ook wel, na bijna een half jaar aan voorbereiding! Het hele verhaal is hier te lezen.

Kort samengevat:

• Ik was ruim op tijd aanwezig
• Ik zat van tevoren gewoon strips te lezen ipv me nog op te naaien met samenvattingen.
• Ik deelde de vragen op in tien blokken van 25.
• Lees elke vraag aandachtig en onderstreep de belangrijke termen in vragen en antwoorden.
• Elk blok van 25 vragen beantwoorde ik in het vragenboek.
• Na elke 25 vragen liep ik ze gauw nog even na en kopieerde de antwoorden naar het antwoordvel.
• Neem'n minuut adempauze, met rekken, gapen en een slok water.
• Na elke honderd vragen (twee keer dus) neem ik vijf minuten lunch/plaspauze.
• Ik was in bijna precies drie uur klaar en was de eerste die weg ging.

Ik was zeker van al m'n antwoorden en ging dus niet alles nog een keer langs. Aan de ene kant laat ik er op die manier natuurlijk wat verkeerde antwoorden tussen zitten, maar zie het als "playing the numbers". Hoe groot is de kans dat ik een fout antwoord nog corrigeer, versus de kans dat ik een goed antwoord verkeerd "corrigeer"? Nee, na die eerste run zou ik sowieso geen van de vragen nog 100% goed lezen, dus alleen maar risico's.

Dan zat ik afgelopen zaterdag in dezelfde zaal... Ik vond het examen toch wel pittig.. Bij behoorlijk wat vragen dat ik echt goed moest afwegen welke van 2 antwoorden goed was.

Normaal kan ik me altijd wel goed concentreren, maar nu had ik daar toch wel wat problemen mee.. Ik zat wat dat betreft ook geweldig, direct naast de deur waar iedereen in en uit moest om te plassen enzo.. En ja, de hele tijd liepen er wel mensen op en neer... O, en waarschijnlijk was het iedereen wel opgevallen, die deur piepte en kraakte als een dolle.. Meest briljante was nog dat ze zelfs met een spuitbusje siliconenspray dat hebben willen oplossen..

Ik weet niet goed wat ik van de uitslag kan verwachten... Bij alle oefenvragen die ik op cccure en weet ik veel waar allemaal heb zitten maken kwam ik in de regel wel aan de 70 a 80% goed beantwoord, maar ik vroeg me af of ik niet consequent goed zat te gokken. Het zal wel een net wel/net niet actie worden...

Direct naast de deur zat volgens mij een indir die alleen Engels sprak, dus je zal wel in de rij voor me hebben gezeten. 12E hier. *zwaait* kerel met een baard en lang haar in n staart.

Ik ben erg benieuwd naar de uitslag. De streber in mij is pissig dat je bij slaging geen score zal horen

Nou, laten we hopen dat jullie het gehaald hebben

cailin_coilleach schreef op donderdag 18 november 2010 @ 06:15:
Direct naast de deur zat volgens mij een indir die alleen Engels sprak, dus je zal wel in de rij voor me hebben gezeten. 12E hier. *zwaait* kerel met een baard en lang haar in n staart.

Ik ben erg benieuwd naar de uitslag. De streber in mij is pissig dat je bij slaging geen score zal horen

Volgens mij had ik 11E, maar dat weet ik niet zeker meer... Veel dichter bij de deur kon echt niet..

*zwaait* kerel dit zich zwaar zat te irriteren aan dat "mooi engels" gesproken stukje tekst aan het begin en lekker overdreven op de klok aan de zijkant van het lokaal probeerde te kijken... * Whizzer was baldadig per ongeluk...

Haha, we hebben inderdaad wat veelbetekenende blikken uitgewisseld tijdens de introductie

Ik zou mij graag breed willen verdiepen in de security sferen. Na nu een aantal jaar systeem/netwerk beheer/support te hebben gedaan vind ik het tevens tijd mij eens te specialeren en security spreekt mij van alle facetten van IT het meeste aan.

Nu ben ik onlangs begonnen met video's van CompaTIA Security Plus. Ik denk over een maand of 2 ook eens examen te doen. Maar met welke cursus zou ik daarna verder kunnen welke aansluit bij Sec+ ?

GZ schreef op zondag 21 november 2010 @ 20:53:
Ik zou mij graag breed willen verdiepen in de security sferen. Na nu een aantal jaar systeem/netwerk beheer/support te hebben gedaan vind ik het tevens tijd mij eens te specialeren en security spreekt mij van alle facetten van IT het meeste aan.

Nu ben ik onlangs begonnen met video's van CompaTIA Security Plus. Ik denk over een maand of 2 ook eens examen te doen. Maar met welke cursus zou ik daarna verder kunnen welke aansluit bij Sec+ ?

CISSP? ik weet niet hoeveel werkervaring je hebt?

Ach, zelfs zonder certificaat is CISSP interessant! De materie is erg leerzaam en haal je het examen, dan ben je sowieso ISC^2 Associate. Erkend CISSPer worden kan altijd nog.

j0rDy schreef op dinsdag 23 november 2010 @ 16:45:
[...]


CISSP? ik weet niet hoeveel werkervaring je hebt?

Security specifiek heb ik eigenlijk geen enkele ervaring, tenzij je NTFS rechten uitdelen en firewall poorten configureren daar wel onder vind vallen.

Maar zoals gezegd volg ik nu Sec Plus en probeer wat ik daar leer bij mijn huidige werkgever te implementeren. Ik zal bij mijn manager denk ik echter eerder wat draagvlak hiervoor moeten creeen, maar dat is even voor later. Ondertussen kan ik wel plannen opzetten.

Is CISSP niet meteen een hele grote stap (wellicht te groot) als je geen enkele werkervaring hebt. Is er niet een tussenstap tussen Sec Plus en CISSP? Ik heb ook nog de beschikking over ISSEP en SSCP, maar ik weet wederom niet welke beter aansluit op Sec Plus.

Om officieel CISSPer te worden heb je 4 jaar relevante werkervaring nodig in 3 van de behandelde vakgebieden. Systeembeheer is daar wel 1 van.

[ Voor 13% gewijzigd door BCC op 24-11-2010 07:19 ]

Operational Security

Hoewel je dit op meerdere manier uit kan leggen is een paar jaar bheer/support ervaring nog niet voldoende voor een CISSP certificering.

Probeer zakelijk ook wat meer richting Security te gaan. Veel lezen (Er zijn genoeg boeken) en her en der een security training volgen.
Comptia is al een goede start. Cisco heeft ook het e.e.a. over security te melden (Netwerksecurity natuurlijk). MS wil daar ook nog eens wat over melden in de meer Security gerichte trainingen (Welke je kan volgen voor het MCSE: Security certificering)

Daarom zeg ik al: je kan ook slagen voor je CISSP examen zonder dat je werkervaring nodig hebt. Je titel wordt alleen anders...

cailin_coilleach schreef op woensdag 24 november 2010 @ 15:31:
Daarom zeg ik al: je kan ook slagen voor je CISSP examen zonder dat je werkervaring nodig hebt. Je titel wordt alleen anders...

En heb je al uitslag over je examen of je het gehaald hebt? Of gaat het net zo traag als de processen binnen de organisatie waar jij nog zit, en waar ik al een tijdje weg ben ?

[ Voor 15% gewijzigd door Turdie op 24-11-2010 19:01 ]

Equator schreef op woensdag 24 november 2010 @ 09:41:
Operational Security

Hoewel je dit op meerdere manier uit kan leggen is een paar jaar bheer/support ervaring nog niet voldoende voor een CISSP certificering.

Probeer zakelijk ook wat meer richting Security te gaan. Veel lezen (Er zijn genoeg boeken) en her en der een security training volgen.
Comptia is al een goede start. Cisco heeft ook het e.e.a. over security te melden (Netwerksecurity natuurlijk). MS wil daar ook nog eens wat over melden in de meer Security gerichte trainingen (Welke je kan volgen voor het MCSE: Security certificering)

Ik was inderdaad eerst bezig met mijn MCSA te halen, daar heb ik als elective de 70-299 gedaan die over security gaat. Ik wist helemaal niet dat dit zo diep ging, sindsdien ben ik een beetje security verslaafd geraakt en is mijn interesse uiteraard ook verveelvoudigd.

Wat bedoel je precies met Operational Security als ik vragen mag?

Zakelijk zou ik echt een nieuwe baan moeten zoeken, maar in deze tijden weet ik niet of werkgevers op een junior security operator zitten te wachten van 31 jaar.

De Cisco security heb ik ook voorbij zien komen. Lijkt me reuze leuk, in 2003 het CCNA traject gevolgd voor school, daarna nooit wat meer voor gedaan, tewijl ik dat altijd reuze leuk vond.

GZ schreef op woensdag 24 november 2010 @ 22:01:
[...]


Ik was inderdaad eerst bezig met mijn MCSA te halen, daar heb ik als elective de 70-299 gedaan die over security gaat. Ik wist helemaal niet dat dit zo diep ging, sindsdien ben ik een beetje security verslaafd geraakt en is mijn interesse uiteraard ook verveelvoudigd.

Wat bedoel je precies met Operational Security als ik vragen mag?

Zakelijk zou ik echt een nieuwe baan moeten zoeken, maar in deze tijden weet ik niet of werkgevers op een junior security operator zitten te wachten van 31 jaar.

De Cisco security heb ik ook voorbij zien komen. Lijkt me reuze leuk, in 2003 het CCNA traject gevolgd voor school, daarna nooit wat meer voor gedaan, tewijl ik dat altijd reuze leuk vond.

Operational Security is vooral beheer van Security, niet echt security policy's ontwikkelen, wat meestal gedaan wordt door een Security Officer. CISSP is eigenlijk ook een certificering die je veel ziet bij Security Officers. In de meeste organisaties heb je Operationaal, Tactisch en Strategisch. Operationaal is beheer, en op de andere niveau zoals Tactisch en Strategisch worden meer security plannen ontwikkeld en het auditten daarop.

Correct me if I'm wrong

[ Voor 16% gewijzigd door Turdie op 24-11-2010 22:21 ]

CISSP zie je inderdaad veel op tactisch niveau, maar dat neemt niet weg dat het op OpSec niveau ook zeker veel bij kan dragen. De afdeling waar ik werk is tactisch, maar mijn werk is doorgaans een 50/50 split van operationeel+tactisch.

En beheer van Security, hoe wordt dat doorgaans gedaan? Hoe moet ik me dat voorstellen? Ik kan me slecht voorstellen dat eindgebruikers bijvoorbeeld klagen / problemen hebben met het feit dat hun data niet sterk genoeg encrypt is? Of dat ze zich zorgen maken over het feit dat er geen password complexity vereist is?

Zijn er eventueel nog meer starter security opleidingen naast Sec Plus die aan te raden zijn?

Alvast bedankt voor jullie feedback.

[ Voor 11% gewijzigd door GZ op 25-11-2010 11:23 ]

GZ schreef op donderdag 25 november 2010 @ 10:45:
En beheer van Security, hoe wordt dat doorgaans gedaan? Hoe moet ik me dat voorstellen? Ik kan me slecht voorstellen dat eindgebruikers bijvoorbeeld klagen / problemen hebben met het feit dat hun data niet sterk genoeg encrypt is? Of dat ze zich zorgen maken over het feit dat er geen password complexity vereist is?

Zijn er eventueel nog meer starter security opleidingen naast Sec Plus die aan te raden zijn?

Alvast bedankt voor jullie feedback.

Volgens mij is dit ook wel een goede (operationale) security certificering:
GIAC Information Security Fundamentals (GISF)
&
GIAC Security Administration Certifications

Waar momenteel ook veel behoefte aan is, zijn goede auditors. Een certificering daarvoor is CISA:
Certified Information Systems Auditor (CISA)

[ Voor 11% gewijzigd door Turdie op 25-11-2010 12:15 ]

Is DNV-Cibit het enige instituut waar je de SSCP examens kunt doen in Nederland en/of Belgie?

Examen doe je sowieso bij (ISC)²
DNV is 1 van de weinige trainingscentra waar je een (ISC)² certified training kan krijgen.

* Equator heeft de CISSP verdieping ISSAP CBK training gevolgd bij DNV. Goede toko

Ik heb telefonisch contact gehad met DNV en ze geven inderdaad de trainingen, maar je kan ook bij hun in Bilthoven het SSCP examen afleggen.