IT Security Certificeringen

RL600 schreef op dinsdag 15 december 2020 @ 16:51:
[...]


Dit kan ik interpreteren dat als een vacature van bijv. 10 jaar werkervaring heeft en je hebt een paar certificaten dat dat bij elkaar bijv. 4 jaar aan werkervaring is (geschat) en dat je dan slechts nog 6 jaar moet aantonen?

Nee, dat interpreteer je niet correct. Wat slashdev bedoeld is dat opleidings titels zoals CISSP, CISM en CISA pas aangevraagd kunnen worden als je een bepaald minimum aantal jaren werkervaring in het juiste vakgebied kan aantonen. Uiteraard kan je de de training volgen en het examen halen, maar je mag dan de bijbehorende titel niet voeren tot je aan de minimum vereisten voldoet. Bij ISC2 wordt je "Associate of ISC2" totdat je aan de minimum werkervarings vereisten voldoet.

CISSP "Candidates must have a minimum of five years cumulative paid work experience in two or more of the eight domains of the CISSP CBK. Earning a four-year college degree or regional equivalent or an additional credential from the (ISC)² approved list will satisfy one year of the required experience."

CISM "To earn the CISM credential you need five years of information security work experience, with a minimum of three years of information security management work experience in three or more of the job practice analysis areas."

CISA "CISA certification requires a minimum of 5 years of professional work experience in information systems auditing, control or security. Substitutes to work experience may be applied for a maximum of 3 of the 5 required years."

Dit zal wellicht ook voor andere certificeringen gelden.

Ah dank beide! Maakt het een stuk duidelijker.

In de breedte kan natuurlijk altijd, maar op dit gebied kan ik CISSP dan zien als het "hoogste doel"? Of gaat het daar nog verder?

RL600 schreef op dinsdag 15 december 2020 @ 17:10:
Ah dank beide! Maakt het een stuk duidelijker.

In de breedte kan natuurlijk altijd, maar op dit gebied kan ik CISSP dan zien als het "hoogste doel"? Of gaat het daar nog verder?

Een opleidings plan moet "fit for purpose" zijn voor jou. Het ligt er helemaal aan naar wat voor functie jij wilt doorgroeien. Wil je je specialiseren als red-team pentester of juist als een blue-team SOC specialist? Wil je in de techniek blijven of juist doorgroeien naar naar een (risk) management functie? Elke functie heeft zo zijn eigen pad en "ultiem" eindpunt. Ook je eigen doelen kunnen wijzigen, mijn doelen toen ik 18 was zijn nu heel anders dan nu ik 38 ben. De al eerder gelinkte Paul Jeremy Security certification Roadmap geeft je het beste overzicht dat ik tot nu toe ken.

Belangrijk om ook in de gaten te houden zijn de vacatures voor de functies die jij ambieert en de bijbehorende certificeringen die de werkgevers daarbij zoeken. Een certificering is goed voor je eigen kennis en vakkundigheid, maar het is ook een heel belangrijk breekijzer en unique selling point wanneer je een baan zoekt. Het geeft jou echt een onderscheidend vermogen ten opzichten van een sollicitant die niet formeel is gecertificeerd.

[ Voor 18% gewijzigd door Metzie op 15-12-2020 17:33 ]

@Metzie Ja goed punt, ben daar eigenlijk nog best over aan het nadenken.

We gaan hier wat off-topic, maar om daarop in te gaan. Red-team denk ik niet zo snel. Hoe moet ik precies het verschil zien tussen blue-team en risk management?

RL600 schreef op dinsdag 15 december 2020 @ 16:51:
[...]


Dit kan ik interpreteren dat als een vacature van bijv. 10 jaar werkervaring heeft en je hebt een paar certificaten dat dat bij elkaar bijv. 4 jaar aan werkervaring is (geschat) en dat je dan slechts nog 6 jaar moet aantonen?

Ha, nee nee nee... Als een vacature 10 jaar ervaring vraagt, dan doet een cert daar niets mee. Je moet op je CV dan de verwachtte dienstjaren hebben staan.

Wat die ander bedoelde, was dat je een CISSP pas kan krijgen als je vijf jaar ervaring hebt in de security wereld. Het doet geen aftrek aan voorwaarden, het dubbelt ze.

EDIT: #Spuitelf... Wat @Metzie zei.

RL600 schreef op dinsdag 15 december 2020 @ 18:21:
@Metzie Ja goed punt, ben daar eigenlijk nog best over aan het nadenken.

We gaan hier wat off-topic, maar om daarop in te gaan. Red-team denk ik niet zo snel. Hoe moet ik precies het verschil zien tussen blue-team en risk management?

Het zit in de naam.

Risk management... je bent heel veel met designs, politiek en papierwerk bezig. Audits, controles, zeker weten dat iedereen doet wat ie moet doen.

Blue teamen? Dat is technisch werk, op bijv. een SOC of andere "verdedigingslinie"

Je kan in InfoSec (laat staan in de hele IT) zo ongelooflijk veel kanten op! Als tip, ga voor jezelf eens nadenken wat voor werk je de komende 2 jaar zou willen doen. Daarna, waar je jezelf over 3-4 jaar ziet. Wil je met de vingers aan de knoppen blijven zitten en vooral diep technisch bezig zijn? Of wil je van de knoppen afblijven en bedrijven/mensen helpen hun werk te doen?

EDIT:

Even een voorbeeld... ik zit nu... pfffff 20 jaar in het vak, iets meer... Te veel Begonnen als Unix-beheerder, waar je natuurlijk tegen operationele security aankomt. Zo'n dertien jaar geleden ben ik me hard op security in gaan zetten, beginnen in IAM en daarna steeds meer naar security engineering (ontwerpen, bouwen) en operations (operationele security, pen-testen). Kijk je naar de beroemde RoadMap die werd aangehaald, dan zijn mijn certs all over the place Zie al die rode kadertjes hier onder (slecht gekozen kleur, rechts zie je ze bijna niet).



Dat is niet persé goed, slecht, of whatever. Het geeft je een beeld van wat je door alle jaren heen eens tegen kan gaan komen.

[ Voor 66% gewijzigd door Liegebeest op 15-12-2020 20:13 ]

Nog 1 dag geldig zag ik, maar voor degene die comptia security + willen doen, zijn er op Udemy een aantal oefen examen.

In deze cursus
285 vragen

Practice Test 170 vragen
Practice Test 270 vragen
practice Test 370 vragen
practice Test 470 vragen
Bonus5 vragen

https://www.udemy.com/cou...Code=3A4DCFF50DC548AC8548

apexinfinity schreef op dinsdag 15 december 2020 @ 20:49:
Nog 1 dag geldig zag ik, maar voor degene die comptia security + willen doen, zijn er op Udemy een aantal oefen examen.


[...]


https://www.udemy.com/cou...Code=3A4DCFF50DC548AC8548

Ja uh mooi! Net "aangeschaft"! Dan u

RL600 schreef op dinsdag 15 december 2020 @ 18:21:
We gaan hier wat off-topic, maar om daarop in te gaan. Red-team denk ik niet zo snel. Hoe moet ik precies het verschil zien tussen blue-team en risk management?

Zoals Liegebeest al schreef is Risico en Security management het bepalen van de informatie beveiligings risico's, het bepalen van compenserende maatregelen, het laten implementeren van deze maatregelen en daarna het meten van de effectiviteit van deze maatregelen. Het is echt een management functie waarbij je zowel contact hebt met C-level (directie) als de CIO/IT manager en de mensen van operations; systeem en applicatie beheerders. Dit is meestal geen hands-on functie, je laat de IT afdeling de maatregelen implementeren, zowel technisch en organisatorisch (processen). Jij stemt dit af en controleert het, en stuurt bij waar nodig. Dit is ook wel de beroemd en beruchte Plan Do Check Act cyclus van Deming die ondermeer de basis is van de ISO 27001.

Blue teaming is operationeel technisch aan de slag gaan, voorbeelden (niet compleet)
Monitoring, detecting, and reacting (SOC)
Vulnerability management
Incident management
Hardening

Daarnaast heb je nog veel meer vakgebieden binnen security, zoals security engineering, identity en access management (IAM), security awareness, cryptografie en PKI expert, forensics expert en security archtect.

[ Voor 3% gewijzigd door Metzie op 15-12-2020 22:56 ]

Liegebeest schreef op zondag 13 december 2020 @ 21:25:
[...]

Laat in Januari ga ik hun "Modern web app pen-testing" cursus doen. Beetje zware tijd, omdat ik dan net bij een nieuwe opdracht ben begonnen, maar we maken er het beste van. In de weken voordat ik begin gauw een paar van hun andere trainingen doorlopen, waar ik al voor had betaald maar nooit de tijd voor had gehad.

En bidden (en vooral hard werken!) dat ik 23/12 het Ansible examen van RedHat haal. Anders moet ik op termijn overwegen om m'n RHCSA en RHCE opnieuw te doen. Misschien. Mogelijk. ... denk't niet... maar het zou zonde zijn als ik ze kwijtraak.

Ansible wil ik me ook nog verder in verdiepen. We gebruiken het sinds kort redelijk basaal voor het optuigen van Red Team infrastructuur, maar dat kan nog stukken beter volgens mij. Heb je wat leesvoer voor me toevallig?

Anthirian schreef op donderdag 17 december 2020 @ 11:21:
[...]

Ansible wil ik me ook nog verder in verdiepen. We gebruiken het sinds kort redelijk basaal voor het optuigen van Red Team infrastructuur, maar dat kan nog stukken beter volgens mij. Heb je wat leesvoer voor me toevallig?

Toevallig dat je het vraagt!

-> https://www.kilala.nl/index.php?id=2494

Daar heb ik een lijstje van bronnen verzameld die mij het meeste hebben geholpen. Let wel, ook het EX407 examen is redelijk basaal. Hoe dan ook: er staan twee cursussen op O'Reilly Online Learning bij die best goed zijn, plus al het spul van Jeff Geerling is natuurlijk top.

Als het hebt over optuigen van infrastructuur, kijk dan vooral ook eens naar Vagrant en/of de integratie van Ansible met je hypervisor platform. Dat heeft mij in elk geval enorm geholpen in mijn homelab.

[ Voor 15% gewijzigd door Liegebeest op 17-12-2020 12:31 ]

Ik moet op korte termijn twee Scrum certificaten behalen namelijk Scrum Master I (PSM1) en Professional Scrum Product Owner I (PSPO1). Hebben jullie hier ervaring mee qua moeilijkheid en hoeveel dagen hadden jullie nodig om te leren? Ik heb een Scrum Guide gevonden om te leren voor het Scrum Master I (PSM1) examen maar kan niets vinden voor het Professional Scrum Product Owner I (PSPO1).

Iemand hier ervaring mee?

Niet echt een IT Security cert, dus niet de beste plek om te vragen...

BMS080 schreef op donderdag 17 december 2020 @ 17:53:
Ik moet op korte termijn twee Scrum certificaten behalen namelijk Scrum Master I (PSM1) en Professional Scrum Product Owner I (PSPO1). Hebben jullie hier ervaring mee qua moeilijkheid en hoeveel dagen hadden jullie nodig om te leren? Ik heb een Scrum Guide gevonden om te leren voor het Scrum Master I (PSM1) examen maar kan niets vinden voor het Professional Scrum Product Owner I (PSPO1).

Iemand hier ervaring mee?

Zoals @paella aangeeft heb je hier misschien wat minder kans om veel mensen met ervaring te vinden.

Ik heb zelf in elk geval ooit PSM1 gehaald, dat was een erg gemakkelijk examen. TLDR: het boekje wat jij hebt gevonden plus praktijkervaring met het werken in een Scrum team moet voldoende zijn om te slagen. Ik heb indertijd het examen in de trein gedaan, onderweg naar kantoor.

PSPO kan ik je niets over zeggen.

SOC core skills is ondertussen ook weer een paar uur afgelopen. Zeer leuke cursus en het beetje geld zeker waard. Zo een Discord channel zorgt wel voor een leuke meerwaarde. John Strand reageerde ook regelmatig op vragen en discussies die voorbij kwamen in Discord wat voor een leuke extra dimensie zorgde met leuke inzichten. De Solarwinds breach is ook regelmatig aanbod gekomen, dat was wel leuk qua timing.

Ik ben ook ontmaskerd geweest door @apexinfinity, ook al is dat niet zo moeilijk als je op beide platformen dezelfde nickname gebruikt


Ongerelateerd aan bovenstaande maar alsnog interessant.
SANS Cyber Threat Intelligence Summit is gratis te volgen en gaat door op 21 & 22 januari.
https://www.sans.org/even...-intelligence-summit-2021

Grim schreef op donderdag 17 december 2020 @ 23:45:
SOC core skills is ondertussen ook weer een paar uur afgelopen. Zeer leuke cursus en het beetje geld zeker waard. Zo een Discord channel zorgt wel voor een leuke meerwaarde. John Strand reageerde ook regelmatig op vragen en discussies die voorbij kwamen in Discord wat voor een leuke extra dimensie zorgde met leuke inzichten. De Solarwinds breach is ook regelmatig aanbod gekomen, dat was wel leuk qua timing.

Ik ben ook ontmaskerd geweest door @apexinfinity, ook al is dat niet zo moeilijk als je op beide platformen dezelfde nickname gebruikt


Ongerelateerd aan bovenstaande maar alsnog interessant.
SANS Cyber Threat Intelligence Summit is gratis te volgen en gaat door op 21 & 22 januari.
https://www.sans.org/even...-intelligence-summit-2021

Leuke training om is het werk over SOC te horen. Goed instap niveau voor beginnende security mensen, dus een aanrader voor degene die interesse hebben. Komend jaar worden er weer een aantal georganiseerd met Pay What You Want vorm bij BHIS. Dus houdt het even in de gaten op de volgende website als je interesse hebt: https://wildwesthackinfest.com/training-schedule/

Ontzettend leuk om even een andere Tweaker te spreken en nog een leuke cursus te kunnen volgen (althans dat hoop ik nu wel @Grim, ook succes met je examen zo).

[ Voor 3% gewijzigd door apexinfinity op 18-12-2020 19:37 . Reden: Link toegevoegd ]

Guys ik mag van het werk CISSP doen. Enige probleem is dat ik nog maar in security een 4 maanden ervaring heb. Wel al bijna 20 jaar in IT infra.
Kan ik hier een mouw aan passen ?

Dat had ik eigenlijk ook tot 3 jaar geleden. Een IT infra achtergrond is handig bij CISSP want er zit ook best wel wat technische kennis in en dat is dan voor jou een eitje en dan kan je je meer op de manager-aspecten richten.

Yarisken schreef op vrijdag 18 december 2020 @ 21:33:
Guys ik mag van het werk CISSP doen. Enige probleem is dat ik nog maar in security een 4 maanden ervaring heb. Wel al bijna 20 jaar in IT infra.
Kan ik hier een mouw aan passen ?

De mouw is dat je, tot het moment dat je vijf jaar aantoonbare security ervaring hebt, door het leven gaat als CISSP Associate.

Gelukkig is het met veel IT-rollen zo dat je hard kan maken dat een bepaald percentage van je werk-tijd is besteed aan security. Als je dat duidelijk kan maken in de formulieren en je CV die je indient bij je sponsor, dan kan dat ook goed komen. Zo haalde ik aanvankelijk ook mijn CISSP status: twee jaar echt fulltime security werk, een HBO-opleiding in de IT (dispensatie van één jaar) en nog twee jaar aan security werk bij elkaar gesprokkeld over Unix-beheer opdrachten van de paar jaren er voor.

In dat opzicht helpt het enorm als je een sponsor vindt in je netwerk, met wie je even om tafel kan zitten met een kop koffie. In corona-tijd misschien minder makkelijk, maar met een belletje kom je ook heel ver. Zo heb ik al een stuk of vijf mensen voorgedragen: samen je ervaring doorspreken, zien of je het hard kan maken.

[ Voor 15% gewijzigd door Liegebeest op 18-12-2020 22:10 ]

Liegebeest schreef op vrijdag 18 december 2020 @ 22:08:
[...]

De mouw is dat je, tot het moment dat je vijf jaar aantoonbare security ervaring hebt, door het leven gaat als CISSP Associate.

Gelukkig is het met veel IT-rollen zo dat je hard kan maken dat een bepaald percentage van je werk-tijd is besteed aan security. Als je dat duidelijk kan maken in de formulieren en je CV die je indient bij je sponsor, dan kan dat ook goed komen. Zo haalde ik aanvankelijk ook mijn CISSP status: twee jaar echt fulltime security werk, een HBO-opleiding in de IT (dispensatie van één jaar) en nog twee jaar aan security werk bij elkaar gesprokkeld over Unix-beheer opdrachten van de paar jaren er voor.

In dat opzicht helpt het enorm als je een sponsor vindt in je netwerk, met wie je even om tafel kan zitten met een kop koffie. In corona-tijd misschien minder makkelijk, maar met een belletje kom je ook heel ver. Zo heb ik al een stuk of vijf mensen voorgedragen: samen je ervaring doorspreken, zien of je het hard kan maken.

Bedankt voor de tip. Elk project dat ik de afgelopen jaren heb gedaan had idd ook een security component.
Ik ga toch al starten met leren :-).

BMS080 schreef op donderdag 17 december 2020 @ 17:53:
Ik moet op korte termijn twee Scrum certificaten behalen namelijk Scrum Master I (PSM1) en Professional Scrum Product Owner I (PSPO1).

Ik heb zowel PSM1 en PSPO1 gehaald tussen mijn CISSP en CCSP.
Voor PSM1 heb ik de volgende 2 resources gebruikt:
De Udemy course van van Paul Ashun, die cursus is echt van goed kwaliteit.
En de proefexamens van www.scrum.org, www.hmlapshin.com en www.volkerdon.com
Zie ook deze study guide voor PSM1

Voor PSPO1 heb ik niet echt goede alternatieven gevonden, als je PSM1 hebt is PSPO1 niet zo lastig omdat ook PSPO1 is gebaseerd op de crum guide die slechts 14 pagina's is. Je kan een Udemy cursus zoeken, echter die ik had was van ICAN Consultancy en die was in verhouding tot die van Paul nogal matig. Qua proefexamens weer de drie die ik hierboven al noemde.

Yarisken schreef op vrijdag 18 december 2020 @ 21:33:
Guys ik mag van het werk CISSP doen. Enige probleem is dat ik nog maar in security een 4 maanden ervaring heb. Wel al bijna 20 jaar in IT infra.
Kan ik hier een mouw aan passen ?

Candidates must have a minimum of five years cumulative paid work experience in two or more of the eight domains of the CISSP CBK. Als je ook maar een beetje serieus met systeembeheer bent bezig geweest dat heb je in 20 jaar zeker voldoende ervaring opgedaan in twee van de 8 domeinen van CISSP. Bijvoorbeeld het uitvoeren van gebruikers beheer via RBAC is al voldoende voor 1 domein.

Metzie schreef op donderdag 4 april 2019 @ 00:18:
Zo, net geslaagd voor APMG ISO 27001 foundation. Normaal betaal je zo'n €1250 voor de cursus + examen kosten. Heb de course als computer based training gedaan, kosten inclusief examen voor €299. De video kwaliteit viel wat tegen met slechts 360p beeldkwaliteit, maar de content is voldoende en geaccrediteerd door APMG.
.....
Na het voltooien van je examen krijg je de voorlopige uitslag, pending review krijg ik over 2 dagen de definitieve uitslag. Geslaagd met 66%, niet een super score, maar geslaagd is geslaagd.

Hoi Metzie, heb gisteravond ook een poging voor de 'APMG ISO 27001 foundation' gewaagd en met 33 van de 50 vragen ook geslaagd, dus net als jij precies 66% score waar 50% voldoende was.

Zaten wel een aantal (~3) stamp vragen in waarbij de exacte namen van controls en domeinen gevraagd werden om te checken of je de structuur en de Annex A wel goed bestudeerd heb maar de meeste vragen kwamen mij wel als zinnige vragen over.

Heb gebruikgemaakt van de training en examen voucher van:
https://www.innovativelearning.eu/products/iso-iec-2700.html

En vond later deze site echt een pareltje, die heeft gratis trainingen en blogs en die vond ik zelfs beter dan de betaalde training!
https://training.advisera.com/

Heb zelf deze cursus gevolgd:
ISO 27001 FOUNDATIONS COURSE (~8uur)

Ze proberen je te verleiden om het eigen 'geaccrediteerde' examen te boeken maar denk dat die niet zo hoog aangeschreven staat.

Ze bieden ook de volgende gratis cursussen aan maar deze zijn denk ook te gebruiken als voorbereiding of iig aanvulling als je voor een PECB/EXIN/APMG examen:

• ISO 27001:2013 LEAD IMPLEMENTER COURSE (? uur)
• ISO 27001 LEAD AUDITOR COURSE (~20uur)
• ISO 27001:2013 INTERNAL AUDITOR COURSE (~15uur)

Nu ik toch met mijn hoofd in de materie zit maar nog niet helemaal een volledig beeld bij de standaard en het toepassen met de bijbehorende processen/documenten heb ben ik aan het twijfelen om door te pakken met APMG ISO/IEC 27001 PRACTITIONER - INFORMATION SECURITY OFFICER
Exam format:

• Objective Testing
• 4 questions per paper with 20 marks available per question
• (hier bedoelen ze 4 categorieën van elk 20 vragen mee)
• 40 marks or more required to pass (out of 80 available) – 50%
• 2 ½ hour duration
• Open book

innovativelearning.eu bied hier helaas geen cursus voor aan maar in email contact geven ze aan dat ze hier wel studiedocumenten voor hebben en een combipakket met 4uur 1op1 training en examen kunnen aanbieden.
Heb ze gevraagd of ze daar een prijs voor kunnen geven en of er ook een mogelijkheid is zonder die 4uur 1op1 training en alleen de documenten en examen voucher om de prijs te drukken.

Als ik dat combineer met de advisera.com cursus kom ik denk een heel eind:
ISO 27001:2013 INTERNAL AUDITOR COURSE (~15uur)

Heb dan iig de deep dive in 27001 in 1x achter de rug en kan dan vanuit de praktijk op mijn werk verdere ervaring opdoen door bij audits te assisteren.
Twijfel alleen of dit examen te behalen is met nagenoeg geen praktijk ervaring en kan op internet weinig informatie vinden van mensen die hem gehaald hebben.

Edit:
Als je een account aangemaakt hebt op https://candidateportal.apmg-international.com/ en ingelogd dan kun je daarna "APMG Sample Exams" vinden ergens verstopt in de footer hier een directe link:
http://sampleexams.apmg-international.com/Marlin/SamplePapers.aspx

Opzet van het sample examen is als volgt:

80 vragen totaal

Planning and Risk Management (20 vragen)
a 4 vragen (abcde) (2 out of 5)
b 5 vragen (abcde) (0 to 5) Each option can be used once, more than once or not at all.
c 5 vragen (abcde) (0 to 5) Each option can be used once, more than once or not at all.
d 6 vragen (abcde) (0 to 5) Each option can be used once, more than once or not at all.

Leadership and Roles (20 vragen)
a 3 vragen (abcd) (0 to 4) Each selection from Column 2 can be used once, more than once or not at all.
b 3 vragen (abcd) (0 to 4) geen idee of meerdere opties mogelijk zijn
c 5 vragen (abcde) (2 out of 5) Which 2 statements BEST explain
d 4 vragen (abcde) (2 out of 5) Which 2 controls, if applied, would MOST likely
e 5 vragen (abcde) (0 to 5) Each option can be used once, more than once or not at all

Operational Systems, Measurement and Incident (20 vragen)
a 4 vragen (abcde) (2 out of 5) Remember to select 2 answers to each question
b 6 vragen (abcdefg)(0 to 7) Each selection from Column 2 can be used once, more than once or not at all
c 6 vragen (abcde) (0 to 5) Each option can be used once, more than once or not at all
d 4 vragen (abcd) (1 out of 4)

Audit and Management Review (20 vragen)
a 6 vragen (abcd) 1 out of 5?
b 5 vragen (abcde) (2 out of 5) Remember to select 2 answers to each question
c 4 vragen (abcd) (1 out of 4)
d 5 vragen (abcde) (0 to 5) each option can be used once, more than once or not at all

De basis casus en de bijlage is voor alle vragen gelijk dus je hoeft je maar 1x goed in te lezen.
Heb inhoudelijk het examen nog niet gemaakt, wil deze bewaren als 'test' nadat ik de cursus heb gedaan op training.advisera.com
Wel zie ik altijd erg op tegen vragen waarbij je 0 tot 5 opties mag aankruisen en er geen enkele leidraad hoeveel 'goede' antwoorden er tussen zitten. "each option can be used once, more than once or not at all"

[ Voor 28% gewijzigd door Lennart_1337 op 21-12-2020 13:42 ]

Liegebeest schreef op donderdag 17 december 2020 @ 12:29:
[...]

Toevallig dat je het vraagt!

-> https://www.kilala.nl/index.php?id=2494

Oef!!! Gelukkig ben ik geslaagd! Het was een hele rit, maar we kunnen door met andere certificaties.

Een goede tip die ik van iemand hoorde, eigenlijk een beetje smerig: als je RedHat's EX294 (RHCE op RHEL8) hebt gedaan, dan kan je meteen EX407 (Ansible) er achteraan doen. De inhoud is nagenoeg het zelfde (hoewel de versies van RHEL en Ansible verschillen), dus je kan't redelijk makkelijk aftikken. Daarmee verleng je direct je RHCE, plus het telt mee als eerste cert voor je RHCA.

EX407 kan je nog tot 31/12/2020 kopen, daarna houd't feestje op

Door naar de WWHF - trainingen die ik had gekocht, maar nog niet had gedaan. Lang leve on-demand!

Lennart_1337 schreef op zondag 20 december 2020 @ 00:12:
[...]

Hoi Metzie, heb gisteravond ook een poging voor de 'APMG ISO 27001 foundation' gewaagd en met 33 van de 50 vragen ook geslaagd, dus net als jij precies 66% score waar 50% voldoende was.

Gefeliciteerd, op naar de volgende.
@Stufferdt heeft zijn PECB ISO 27001 Lead Auditor gehaald in 2019 via zelfstudie. Als ik zijn oude posts terug lees lijkt het erop dat dat hij deze cursus direct via het PECB heeft geregeld.

Ik ben voor de lol de Black Hills cursus "Getting started in security" aan het doen, één van hun pay-what-you-can/want cursussen. Kan je zeggen: de kwaliteit is echt goed en John Strand is een super-leuke verteller.

-> https://wildwesthackinfes...-mitre-attck-john-strand/

Ik moet ff wachten tot ik van hen de links krijg naar de VoD van "Applied Purple Teaming". Die had ik in Juli gekocht. Maar dit is erg leuk tijdverdrijf en goede reminders over wat ik eigenlijk overal moet invoeren.

EDIT 2:

Het aanbod geldt toch werkelijk alleen voor de US. Maar er is hoop: volg twee korte webinars en je krijgt alsnog een voucher. Schijnbaar.

Het aanbod werkt gewoon bij ons. Ik krijg net een email met mijn voucher binnen.

==============

En nog een YATS (Yet Another Tess Spam): Microsoft bieden op het moment "cloud challenges". Als je één van hun uitgekozen learning paths voltooid krijg je een voucher om het examen gratis af te leggen. Denk aan AZ-900 Azure Fundamentals.

-> https://www.microsoft.com...e-cloud-skills-challenge/

Bij het registreren moet je een Microsoft Learn account maken/hebben. En ja, ze zeggen wel dat' alleen voor de US is, maar je kan gewoon registreren. Ik ben blij dat ik't tussendoor ben gaan doen, doe AZ-900. Ik had nog geen ervaring met Azure Cloud en ik ben erg onder de indruk van het gemak! Zeker hoe't integreert met VS:Code.

[ Voor 39% gewijzigd door Liegebeest op 01-01-2021 11:31 ]

Mijn ervaring is dat het voucher ook voor andere AZ-XXX examen gebruikt kan worden.

Ik ben een beetje aan het oriënteren voor certificaten om te doen vanaf nu en in de toekomst. Vooral met "IT consultatie" in het achterhoofd. Bij wat rondkijken kwam ik veel project management cursussen tegen. Vooral de volgende:

ITIL
PRINCE2
PMP
Project+

Zoals ik hem nu begrijp is Project+ droog, saai en heeft weinig waarde. PMP en PRINCE2 is de gouden standaard (afhankelijk in welke sector je zit, al kom ik PMP net wat vaker tegen). ITIL is vooral gericht op ITIL en heeft de focus op IT liggen, ondanks dat kan ik deze slecht pijlen wat de "waarde" is. Hier zitten wel meerdere niveaus wat dan weer invloed heeft op die waarde.

Bijvoorbeeld PMP en PRINCE2 zijn vrij strict in hun eisen voordat je op mag. Ik heb geen direct ervaring die ik kan opgeven, dus vallen deze voor nu in ieder geval af. Aangezien ik PMP net wat vaker tegenkom, lijkt CAPM mij de beste optie op dit moment, maar daar hoort wel een verplichte hoeveelheid leseisen bij van 23 uur (wat het totaal niet goedkoop maakt).

Welk certificaat zou hier handig zijn. Wat goed staat op het CV, maar waar ik zonder voorkennis toch kan opgaan?

Liegebeest schreef op woensdag 30 december 2020 @ 22:51:
[...]


Ahhh ships... Heb ik het hele AZ-900 track doorlopen, gebeurt er verder niets. En inderdaad, bij de challenges op mijn profiel staat ie ook niet. Ik heb veel geleerd, maar beetje jammer dat ik die voucher misloop.

Eventjes copy paste van een mail die ik destijds naar mijn manager had gestuurd. Je kan 2 webinars volgen en dan krijg je een gratis voucher voor het az-900 examen. Het kan zijn dat een bepaalde datum al volzet is. Dan moet je niet panikeren en eentje nemen die wat verder in de toekomst ligt.

The training exists of 4 modules, 2 days of +-3 hours. After you’ve followed BOTH sessions, you’ll receive a free certification voucher in the next 7 business days.

UK English - during EU business hours
https://www.microsoft.com...ing-days/#microsoft-azure

Ireland - during EU business hours, a lot more different training data available than UK English
https://www.microsoft.com...ays?activetab=0:primaryr4

US English - during US West business hours, 9 hours behind us. This is means the training is in the evening for us, starting at 18:00 or 19:00 our time. Ideal if you don’t have time during the day
https://www.microsoft.com/en-us/trainingdays

[ Voor 4% gewijzigd door Grim op 30-12-2020 23:15 ]

Grim schreef op woensdag 30 december 2020 @ 23:14:
[...]

Eventjes copy paste van een mail die ik destijds naar mijn manager had gestuurd. Je kan 2 webinars volgen en dan krijg je een gratis voucher voor het az-900 examen. Het kan zijn dat een bepaalde datum al volzet is. Dan moet je niet panikeren en eentje nemen die wat verder in de toekomst ligt.


[...]

Helaas, ik lees net de terms & conditions nog eens opnieuw:

Microsoft Partners residing in the United States that are
18 years or older who have successfully completed the Cloud Skills Challenge during the Term will be
able to receive one (1) exam voucher redeemable for one free eligible Microsoft Certification exam*
(valued up to $165).

Blegh. Wat ik zei, toch veel nuttigs geleerd. Dat wel.

En bedankt voor het delen van jouw tip! Ik ga daar eens achteraan.

[ Voor 3% gewijzigd door Liegebeest op 30-12-2020 23:21 ]

Liegebeest schreef op woensdag 30 december 2020 @ 23:21:
[...]

Helaas, ik lees net de terms & conditions nog eens opnieuw:


[...]


Blegh. Wat ik zei, toch veel nuttigs geleerd. Dat wel.

En bedankt voor het delen van jouw tip! Ik ga daar eens achteraan.

Waar zie jij dit staan? Ik heb dit gewoon gedaan in november en mijn examen op 18 december en geslaagd.
Ik zie ook net dat de Amerikaanse site niet meer is wat het destijds was en er daar geen trainingsdata voor fundamentals opstaan.

Op de Ierse staan er wel nog meer dan genoeg en dat zonder restricties. Zou ook wat raar zijn als de Ierse website zegt dat het enkel voor US mensen is.
https://www.microsoft.com...ays?activetab=0:primaryr4

Grim schreef op woensdag 30 december 2020 @ 23:25:
[...]


Waar zie jij dit staan? Ik heb dit gewoon gedaan in november en mijn examen op 18 december en geslaagd.

Nee, dat sloeg op die Challenge waar ik het vorige pagina over had. Ik heb me voor die van jou ingeschreven, op 13&14 Januari was er nog plek.

Liegebeest schreef op woensdag 30 december 2020 @ 23:28:
[...]

Nee, dat sloeg op die Challenge waar ik het vorige pagina over had. Ik heb me voor die van jou ingeschreven, op 13&14 Januari was er nog plek.

Top. De webinar stelt niet veel voor, je moet enkel zorgen dat je beide dagen aanwezig bent zodat je je voucher krijgt.

Er komt in die webinar niets aan bod dat je niet in de AZ-900 Microsoft Docs modules vindt. Dat is trouwens ook het enige dat ik gedaan heb. Heb nog wat gratis oefenexamens gedaan maar daar krijg je enkel te zien hoeveel je fout hebt en niet wat je fout hebt. Leer je dus eigenlijk niets uit.

Had op het uiteindelijke examen 850/1000 en je moet >700 hebben om te slagen.

[ Voor 22% gewijzigd door Grim op 30-12-2020 23:33 ]

Ik ben nog nieuw in de security en zag https://codaisseur.com/courses/cybersecurity/ voorbij komen op social media, ik kon over dit programma geen info vinden op Tweakers. Zijn er mensen die ervaring hebben met deze cursus?

@Liegebeest Ik was eigenlijk al trots dat ik het zo duidelijk kon opschrijven haha

Ik was vooral aan het snuffelen tussen vacatures en welke banen mij aanspreken. Hierdoor kwam ik o.a. bij KPMG uit die een baan hadden staan als IT consultant. Dit hield in dat jij zelf dan wel in een groep naar een bedrijf gaat en daar IT advies geeft (bijv. hulp bij het implementeren van nieuwe software). De afwisseling tussen bedrijven, het geven van advies en toch een sociaal component sprak mij aan.

Zodende aan het terug redeneren wat ik daar nu al voor kon doen. Bij vergelijkbare vacatures kwam ik bijv. PMP tegen en termen als "project management" en "IT governance".

Vanuit die gedachten ben ik gaan denken aan certificaten om zo sneller aangenomen te worden. Ik kom best wat posts tegen op verschillende fora dat vooral ervaring in deze belangrijk is. Bijv. het kunnen aantonen in welke rol je reeds een project hebt geleid helpt bij een sollicitatie. Heel begrijpelijk, maar daar ben ik op dit moment niet. Daarentegen kan ik al wel vast de kennis opdoen, middels een certificaat kan ik de motivatie en focus er goed ophouden.

Tijdens het zoeken kwam ik bijv. de roadmap tegen van CompTIA: https://hakin9.org/wp-content/uploads/2020/02/0-2-1.jpg

Daarnaast kwam ik deze roadmap op reddit tegen: https://i.lensdump.com/i/iHcJHP.png

In die van CompTIA zou ik graag ergens bij IT Management and Strategy willen zitten en bij die van reddit spreken zowel IT Business and Strategy als ook IT management mij aan.

[ Voor 5% gewijzigd door RL600 op 31-12-2020 09:05 ]

ruudvd schreef op donderdag 31 december 2020 @ 08:29:
Ik ben nog nieuw in de security en zag https://codaisseur.com/courses/cybersecurity/ voorbij komen op social media, ik kon over dit programma geen info vinden op Tweakers. Zijn er mensen die ervaring hebben met deze cursus?

Ik heb er nog nooit van gehoord en heb er zo mijn twijfels bij. De site ziet er heel mooi uit maar als ik hun team bekijk is dat de ideale mix van nationaliteiten en genderverhouding (8/20 zijn vrouwen). Dat is iets wat zeldzaam is in IT en al helemaal binnen cybersecurity. Hun Instagram & Facebook hebben best een deftig aantal volgers maar er is amper tot geen interactie op hun posts. Op hun Youtube kanaal zitten zo goed als alle filmpjes onder de 100 views.

Het kan legitiem zijn maar ik heb er geen goed gevoel bij. Het bedrag van 5k is ook best behoorlijk en niet echt een bedrag waarbij je zou zeggen 'ach we kijken wel eens en als het niet zo goed is dan is het niet zo erg'.

Heb je al een beetje een idee welke richting je uit wilt binnen cybersecurity?
Welke achtergrond binnen IT heb je al?

Om zaken aan te vallen of te verdedigen moet je natuurlijk wel eerst weten hoe zo werken (in grote lijnen). Dan heb ik het over Windows (Server)/Linux en netwerken als beginpunt.

Grim schreef op donderdag 31 december 2020 @ 10:23:
[...]


De site ziet er heel mooi uit maar als ik hun team bekijk is dat de ideale mix van nationaliteiten en genderverhouding (8/20 zijn vrouwen). Dat is iets wat zeldzaam is in IT en al helemaal binnen cybersecurity.

Ik denk dat het team nu niet noodzakelijk representatief moet zijn voor de kwaliteit. Dat bedrijf lijkt verschillende cursussen te geven (full stack onder meer), dus het team (waar ook al hun ander personeel dat niet lesgeeft op staat) hoeft volgens mij geen indicatie te zijn.

Wat mij wel een betere graadmeter lijkt is de pagina zelf die de cursus beschrijft. Heb eens door de modules geklikt, en dat lijkt mij vrij vaag. Bovendien weet je ook niet wie les zal geven. Ik denk dat velen hier wel zullen beamen dat een lesgever met ervaring toch wel een bepaalde impact zal hebben...

RL600 schreef op donderdag 31 december 2020 @ 09:01:
@Liegebeest Ik was eigenlijk al trots dat ik het zo duidelijk kon opschrijven haha

...

In die van CompTIA zou ik graag ergens bij IT Management and Strategy willen zitten en bij die van reddit spreken zowel IT Business and Strategy als ook IT management mij aan.

Kijk, dat is heldere taal!

Mijn punt was dat "IT Consultant" echt van alles kan zijn, want dat zijn we hier bijna allemaal Maar de ene is programmeur, de andere infra-guru en weer een ander is red teamer. Maar idd, ook project management valt onder IT consulting. Ik denk dat we er hier ook wel één of twee hebben rondlopen, maar vergeet niet dat dit het "security cert" topic is

Voor hetgeen jij zoekt denk ik dat je een aantal takken van sport op moet gaan zoeken om je daar in wegwijs te maken. Aan de ene kant idd project management, maar nog veel belangrijker: architectuur en requirements analyse. Toevallig vertelde een vriendin me laatst over IREB en IIBA studies en certificaten -> YouTube: IREB CPRE and IIBA BABOK Guide

Die zitten in de hoek van "haal bij de klant wat er moet gebeuren en vertaal dat naar een architectuur".

Grim schreef op donderdag 31 december 2020 @ 10:23:
[...]


Ik heb er nog nooit van gehoord en heb er zo mijn twijfels bij. De site ziet er heel mooi uit maar als ik hun team bekijk is dat de ideale mix van nationaliteiten en genderverhouding (8/20 zijn vrouwen). Dat is iets wat zeldzaam is in IT en al helemaal binnen cybersecurity. Hun Instagram & Facebook hebben best een deftig aantal volgers maar er is amper tot geen interactie op hun posts. Op hun Youtube kanaal zitten zo goed als alle filmpjes onder de 100 views.

Het kan legitiem zijn maar ik heb er geen goed gevoel bij. Het bedrag van 5k is ook best behoorlijk en niet echt een bedrag waarbij je zou zeggen 'ach we kijken wel eens en als het niet zo goed is dan is het niet zo erg'.

Heb je al een beetje een idee welke richting je uit wilt binnen cybersecurity?
Welke achtergrond binnen IT heb je al?

Om zaken aan te vallen of te verdedigen moet je natuurlijk wel eerst weten hoe zo werken (in grote lijnen). Dan heb ik het over Windows (Server)/Linux en netwerken als beginpunt.

Codaisseur is altijd bezig geweest met het opleiden van Front end Developers (ze noemen het full stack maar dat is een ander verhaal). Hierbij proberen ze ook meer vrouwen in de IT te krijgen en nemen veel Expats op in hun opleiding. Dus hun Gender en nationaliteiten verhaal dat klopt. Wat ze in dit vak gebied doen doen ze zo ver ik kan zien vrij goed. Je doet een opleiding, betaalt dit terug wanneer je een baan heb gevonden. Hier helpen ze je goed mee, dit is zover ik kan zien (volg ze al langer en ben wel eens met ze in gesprek geweest) wel vrij goed. Ze kunnen altijd vrijwel alle alumini plaatsen bij bedrijven.

Hun Security opleiding is heel nieuw. Dit is hun eerste lichting. Ook hebben ze hier een andere model, hier moet je gewoon opleidings kosten betalen. De kwaliteit van deze opleiding kan ik nog niet inschatten, het kan dus zijn dat deze opleiding het zelfde niveau heeft alleen dat weet ik nog niet.

Grim schreef op donderdag 31 december 2020 @ 10:23:
[...]

Heb je al een beetje een idee welke richting je uit wilt binnen cybersecurity?
Welke achtergrond binnen IT heb je al?

Om zaken aan te vallen of te verdedigen moet je natuurlijk wel eerst weten hoe zo werken (in grote lijnen). Dan heb ik het over Windows (Server)/Linux en netwerken als beginpunt.

Mijn achtergrond is oorspronkelijk mechatronica maar de laatste jaren opdrachten gedaan in software ontwikkeling en testen (C++, Python, Gitlab CI, Docker) veelal onder Linux. In de vrije tijd wat met een proxmark (kloon) gedaan.
Maar ik heb nog geen idee welke richting ik in wil.

@Liegebeest

Die zitten in de hoek van "haal bij de klant wat er moet gebeuren en vertaal dat naar een architectuur".

Exact dat! Met de belangrijke eis dat het met IT te maken heeft. Vrij snel verlaat je de IT kant en ga je richting algemeen management. Bedenken van systemen voor een klant lijkt me interessant. Wanneer ik hier op zoek kom ik zowel IT consultant als ook business analist tegen. Wat is hier dan precies het verschil tussen?

Dank voor de link! ECBA lijkt te doen zijn zonder werkervaring en IREB lijkt twee niveaus te hebben zonder werkervaring.

Ja voor sec certs is dit een beetje off topic, ik zie alleen niet zo snel waar ik dan wel moet zijn hier op het forum.

Exact dat!

Een andere term die je tegenkomt voor dit vakgebied: enterprise architect.

Dat vind ik zelf een moeilijke rol, want die lui zitten tussen tig vuren en niemand is blij met ze. Ik bedoel, als IT-er krijg je ook shit van alle kanten, maar basically is dat allemaal "van boven af". Als enterprise architect zit je echter tussen het vuur van management en klanten (waarom lever je nou niet?!! hoe lang duurt het nog?!!) en aan de andere kant van de IT-ers (Hallooooo! Aarde aan de ivoren toren! Wat je beschrijft is je reinste onzin en kan niet in de praktijk).

EDIT: Ter illustratie, ik en "mijn matties" zijn 90% hardcore techniek, met 10% die zich graag bemoeien met ITIL, architectuur, risk assessments en dergelijke. Ik ben zo'n bemoeial. Binnen die groep was het niet ongewoon om "Bayeux Tapestry" memes over de ivoren toren rond te sturen, die het gepeupelte kwamen vertellen welke limitaties ze nu weer opgelegd kregen en hoe weinig efficiëntie en productiviteit ze kon schelen. "Have at you peasant!".

Anyway: respect dat je't aandurft!

Wanneer ik hier op zoek kom ik zowel IT consultant als ook business analist tegen. Wat is hier dan precies het verschil tussen?

Ik zou zeggen dat een analist een consultant kan zijn, maar een consultant is niet persé een analist. Een consultant is iemand die extern wordt ingehuurd door een bedrijf om een specifieke behoefte te vervullen. Net zoals je bij de huisarts op consult gaat.

Je hebt consultants op een heleboel vakgebieden. Plus, consultants werken niet alleen voor een KPMG of een Deloitte! Microsoft, Google, CyberArk, bijna elke leverancier heeft ook consultants die voor projecten (implementatie-trajecten) ergens neergezet kunnen worden.

Maar dat is mijn insteek; anderen kunnen daar een andere invulling aan geven.

[ Voor 43% gewijzigd door Liegebeest op 31-12-2020 14:40 ]

Grappig dat je dat benoemd. Kwam dat ook tegen. Alleen dreigt een enterprise architect (EA) wel erg ver van de IT af te staan en dat slechts een onderdeel is (mocht dit anders zijn hoor ik het graag!). Ander punt bij EA is dat het vaak echt een senior of nog hogere functie lijkt te zijn. Junior EA'er bestaat dat überhaupt? Uiteindelijk doorgroeien naar een ZZP consultant/architect lijkt me echt de bom. Gek genoeg krijg ik vaak meer motivatie als ik er zelf achteraan moet. Vakantie is vaker efficiënter dan een schoolweek....

Dat voor jezelf beginnen is eigenlijk ook best vaag voor me. Wanneer ziet iemand te wachten op je advies? Jezelf verkopen, sure, maar zelfkennis is ook een ding en daarnaast aan wie?

Dat zitten tussen alle lagen al die shit over je heen krijgen lijkt me dan weer minder haha. Had daar eigenlijk nog niet over nagedacht. Zal natuurlijk ook verschillen per baan. Kritiek is zeker een goed ding en hoort erbij, maar krijg het gevoel alsof je een mini oorlog aan het omschrijven bent ;p

[ Voor 18% gewijzigd door RL600 op 31-12-2020 16:34 ]

Gelukkig nieuw jaar mensen!

Liegebeest schreef op woensdag 30 december 2020 @ 22:51:
[...]


Ahhh ships... Heb ik het hele AZ-900 track doorlopen, gebeurt er verder niets. En inderdaad, bij de challenges op mijn profiel staat ie ook niet. Ik heb veel geleerd, maar beetje jammer dat ik die voucher misloop.

Ha, ik had het mis Ondanks de "USA only" in de voorwaarden ontving ik zojuist alsnog een email met de voucher voor een gratis examen. Nice.

Liegebeest schreef op woensdag 30 december 2020 @ 22:51:
[...]


Ahhh ships... Heb ik het hele AZ-900 track doorlopen, gebeurt er verder niets. En inderdaad, bij de challenges op mijn profiel staat ie ook niet. Ik heb veel geleerd, maar beetje jammer dat ik die voucher misloop.

Allereerst de beste wensen, beste mensen :-)

On topic - Ik heb dus ook de hele AZ-900 track doorlopen en krijg net een voucher voor een willekeurig MS examen tot € 165 in de mailbox - Ik zou deze dus in theorie ook op de AZ-500 of MS-500 kunnen stukslaan.

Wat is wijsheid, in een managementfunctie bij een organisatie waarbij Cloud wel hot is, maar ik waarschijnlijk nooit aan de knoppen ga zitten?
Edit - met uitleg over het MS certificatencircus

[ Voor 13% gewijzigd door slashdev op 01-01-2021 12:51 ]

Door de gratis examenvouchers de laatste tijd is mijn probleem dat de voor mij interessant examens/certificaten nagenoeg op zijn.

Liegebeest schreef op vrijdag 1 januari 2021 @ 11:29:
[...]

Ha, ik had het mis Ondanks de "USA only" in de voorwaarden ontving ik zojuist alsnog een email met de voucher voor een gratis examen. Nice.

Net AZ-900 gedaan gehaald, via OnVue de at-home examen tool van Pearson Vue. Net als met het Cloud+ beta examen kan ik alleen maar zeggen: het werkt goed! Zorg dat je firewall software tijdelijk uitstaat en dan komt't allemaal goed. Hun manier om je desktop te screenen (foto's met je smartphone, geüploaded naar hun site) was ook netjes.

Liegebeest schreef op zaterdag 2 januari 2021 @ 14:37:
[...]

Net AZ-900 gedaan gehaald, via OnVue de at-home examen tool van Pearson Vue. Net als met het Cloud+ beta examen kan ik alleen maar zeggen: het werkt goed! Zorg dat je firewall software tijdelijk uitstaat en dan komt't allemaal goed. Hun manier om je desktop te screenen (foto's met je smartphone, geüploaded naar hun site) was ook netjes.

Nice gefeliciteerd! Wat vond je van het examen zelf qua inhoud?

[ Voor 4% gewijzigd door Turdie op 02-01-2021 15:02 ]

Turdie schreef op zaterdag 2 januari 2021 @ 14:52:
[...]


Nice gefeliciteerd! Wat vond je van het examen zelf qua inhoud?

Mwah, het was niet spectaculair. Het was letterlijk een toetsing van of je "Azure Fundamentals" had gedaan en een beetje had onthouden. Niet iets waar ik normaliter $99 voor uit zou trekken, ik deed het examen vooral omdat er een gratis voucher was.

42 vragen die zich precies hielden aan de objectives zoals beschreven, dat was netjes. Nu ja, ik zeg 42 vragen, maar eigenlijk waren het er 120+ omdat elk van die 42 vaak bestond uit 2-4 deelvragen die elk een punt waard waren.

[ Voor 9% gewijzigd door Liegebeest op 03-01-2021 05:15 ]

Hetzelfd geldt voor AI-900, als je de Microsofr Learn gratis course doet online, dan haal je het examen makkelijk.

Liegebeest schreef op zondag 3 januari 2021 @ 05:14:
[...]

Mwah, het was niet spectaculair. Het was letterlijk een toetsing van of je "Azure Fundamentals" had gedaan en een beetje had onthouden. Niet iets waar ik normaliter $99 voor uit zou trekken, ik deed het examen vooral omdat er een gratis voucher was.

42 vragen die zich precies hielden aan de objectives zoals beschreven, dat was netjes. Nu ja, ik zeg 42 vragen, maar eigenlijk waren het er 120+ omdat elk van die 42 vaak bestond uit 2-4 deelvragen die elk een punt waard waren.

Ja ik denk dat AZ-500 veel interessanter is voor jouw

Turdie schreef op zondag 3 januari 2021 @ 15:59:
[...]


Ja ik denk dat AZ-500 veel interessanter is voor jouw

"AZ-500: Microsoft Azure Security Technologies", tja ergens wel natuurlijk. Maar weet je? Tenzij ik diep bij een Azure implementatie-traject wordt betrokken is't momenteel eigenlijk helemaal niet zo interessant voor me. AZ-900 was op zich mooi, omdat ik heel hun cloud diensten in vogelvlucht heb leren kennen en meteen leuke ideeën kreeg voor het herbouwen van m'n eigen site

Wie weet, mettertijd. Maar vooralsnog is de ToDo lijst al veel te lang

Liegebeest schreef op woensdag 30 december 2020 @ 13:05:
EDIT 2:

Het aanbod geldt toch werkelijk alleen voor de US. Maar er is hoop: volg twee korte webinars en je krijgt alsnog een voucher. Schijnbaar.

Het aanbod werkt gewoon bij ons. Ik krijg net een email met mijn voucher binnen.

Ik heb vandaag ook een voucher ontvangen na de AZ303 challenge gedaan te hebben.

Een tijd geleden zag ik ergens een (check?)lijst voorbij komen met goede training/voorbereidingen voor OSCP met o.a. hackthebox machines etc. Iemand een idee waar ik deze lijst kan vinden?

Tom Paris schreef op maandag 4 januari 2021 @ 13:30:
[...]


Ik heb vandaag ook een voucher ontvangen na de AZ303 challenge gedaan te hebben.

Ik ben nu bezig met Azure Fundamentals (moet ergens beginnen ), maar zag dat de challenge maar tot 7 januari loopt. Moet ik voor die tijd begonnen of klaar zijn met de challenge om de gratis certificering te krijgen? Ben nu best snel overal doorheen aan het lopen, maar weet niet of ik het voor de 7e ga halen.

Reb87 schreef op maandag 4 januari 2021 @ 16:23:
[...]


Ik ben nu bezig met Azure Fundamentals (moet ergens beginnen ), maar zag dat de challenge maar tot 7 januari loopt. Moet ik voor die tijd begonnen of klaar zijn met de challenge om de gratis certificering te krijgen? Ben nu best snel overal doorheen aan het lopen, maar weet niet of ik het voor de 7e ga halen.

Zie deze post van mij en lees ook de enkele posts daaronder. Grim in "IT Security Certificeringen"

----------------------

thechib12 schreef op maandag 4 januari 2021 @ 16:02:
Een tijd geleden zag ik ergens een (check?)lijst voorbij komen met goede training/voorbereidingen voor OSCP met o.a. hackthebox machines etc. Iemand een idee waar ik deze lijst kan vinden?

Als je OSCP wilt halen ga je toch nog meer moeten werken aan de 'Try Harder' levensstijl. In minder dan één minuut de volgende post gevonden door in dit topic te zoeken op de term 'OSCP'.

Luc45 schreef op vrijdag 27 november 2020 @ 11:17:
Ben je al aan het oefenen in de labs? Als je nog geen lab access hebt is het handig om veel van de OSCP-like machines op deze lijst af te tikken.

Zorg er daarnaast voor dat je een goede methodiek opbouwt hoe je een machine aanpakt. Stop ook niet te vroeg met de recon fase, want er zitten natuurlijk ook rabbit holes in. Een goed voorbeeld hiervan zijn de video's van Ippsec.

Voor de buffer overflow werkt het heel goed om een guide te schrijven hoe je deze in het lab kunt oplossen, stap voor stap. Deze stappen kun je bij het examen dan makkelijk doorlopen.

Bij het schrijven van een goede rapportage is het vooral belangrijk dat je de lezer voldoende informatie heeft zodat ze de stappen die jij hebt gedaan om de machine te rooten kunnen reproduceren. Let ook goed op de eisen die er gesteld worden, zoals bijvoorbeeld de manier van inleveren. Offsec kijkt hier heel streng naar, als je rapport niet aan de eisen voldoet bekijken ze hem niet eens.

Reb87 schreef op maandag 4 januari 2021 @ 16:23:
[...]


Ik ben nu bezig met Azure Fundamentals (moet ergens beginnen ), maar zag dat de challenge maar tot 7 januari loopt. Moet ik voor die tijd begonnen of klaar zijn met de challenge om de gratis certificering te krijgen? Ben nu best snel overal doorheen aan het lopen, maar weet niet of ik het voor de 7e ga halen.

Weet het niet precies, maar volgens mij moet je klaar zijn.

Tom Paris schreef op maandag 4 januari 2021 @ 19:18:
[...]


Weet het niet precies, maar volgens mij moet je klaar zijn.

ACK, je moet het binnen de tijd afhebben.

Grim schreef op woensdag 30 december 2020 @ 23:14:
[...]


Eventjes copy paste van een mail die ik destijds naar mijn manager had gestuurd. Je kan 2 webinars volgen en dan krijg je een gratis voucher voor het az-900 examen. Het kan zijn dat een bepaalde datum al volzet is. Dan moet je niet panikeren en eentje nemen die wat verder in de toekomst ligt.


[...]

Wat is de setting van de webinar, is actieve deelname vereist of kan ik nog wat teams meetings tussendoor doen?

revolution-nl schreef op dinsdag 5 januari 2021 @ 10:58:
[...]


Wat is de setting van de webinar, is actieve deelname vereist of kan ik nog wat teams meetings tussendoor doen?

Actieve deelname is niet vereist. Het is gewoon een uitleg over de AZ-900 cursus die op Microsoft Docs staat. Zorg ervoor dat je 'fysiek aanwezig' bent. Ik heb het destijds open gehad op het 2e scherm terwijl ik wat anders deed en af en toe wat meegevolgde.

Mooi mijlpaaltje vandaag - of nouja, vorig jaar maar vandaag de mail met resultaten. Ben al wat jaren werkzaam als Security Consultant en heb vele normimplementaties gedaan. Heb CISM gehaald na het lezen van één boek en hierbij een score van 90% Als je ervaring hebt met ISO27001, moet je alleen wat focussen op Incident Management (CISM is toch heel erg US-oriënted), en de rest is easy.

Ik ga in opdracht van mijn werkgever me meer verdiepen in security. Nu ben ik in een ver verleden opgeleid tot systeem/netwerkbeheerder en sindsdien minder hands-on en meer adviserend bezig. Mijn werkgever wil graag dat ik bezig ga de risico's die onze systemen en manier van werken met zich meebrengen in kaart te brengen.

Na wat onderzoek kwamen er 2 cursussen naar voren die voor een 'beginner' op dit gebied wel handig zouden zijn, namelijk CEH en Security+. Na wat rondvragen in mijn netwerk viel Security+ eigenlijk vrij snel af en werd er vooral naar CEH gewezen. Ik heb wat informatie opgevraagd bij TSTC waarvan ik nu een heldere offerte heb liggen.

Wat is jullie ervaring en is CEH eigenlijk wel haalbaar voor iemand die nieuw is op het gebied van security?

Maar wat je beschrijft is meer "risk management", terwijl CEH meer technisch lijkt te zijn?

Wat wordt er precies van je verwacht? Dat je het netwerk gaat lopen scannen, op zoek naar vulnerabilities? Of?

Reb87 schreef op donderdag 7 januari 2021 @ 11:05:
Ik ga in opdracht van mijn werkgever me meer verdiepen in security. Nu ben ik in een ver verleden opgeleid tot systeem/netwerkbeheerder en sindsdien minder hands-on en meer adviserend bezig. Mijn werkgever wil graag dat ik bezig ga de risico's die onze systemen en manier van werken met zich meebrengen in kaart te brengen.

Na wat onderzoek kwamen er 2 cursussen naar voren die voor een 'beginner' op dit gebied wel handig zouden zijn, namelijk CEH en Security+. Na wat rondvragen in mijn netwerk viel Security+ eigenlijk vrij snel af en werd er vooral naar CEH gewezen. Ik heb wat informatie opgevraagd bij TSTC waarvan ik nu een heldere offerte heb liggen.

Wat is jullie ervaring en is CEH eigenlijk wel haalbaar voor iemand die nieuw is op het gebied van security?

Wees je ervan bewust dat er veel meer beschikbaar is dan CEH en Security+. Hier is een mooi overzichtje te vinden.

Ik zou je goed aanraden om voor bijv. CEH eens op Reddit te kijken en andere fora om ervaringen van mensen te lezen. Dit topic doornemen is ook zinvol, er worden een boel ervaringen gedeeld.

En zoals hierboven geopperd: ga goed nadenken welke kant je in de security op wil.

Liegebeest schreef op donderdag 7 januari 2021 @ 13:31:

Bijvoorbeeld:
* Security+ is een mooie, brede introductie tot een heleboel theorie van InfoSec. Noem het 't kleine zusje van wat je ooit misschien voor CISSP gaat doen.
* CEH is een eerste introductie tot tooling die wordt gebruikt door kwaadwillende partijen.

Persoonlijk zou ik als instap / kleine zusjes van CISSP, zeker ook SSCP overwegen - dit is echt het kleine zusje van CISSP

Bron = pepper

https://training.fortinet.com/

Fortinet maakt vandaag bekend dat het zijn volledige aanbod van zelfstudiemogelijkheden op het gebied van netwerkbeveiliging gratis beschikbaar zal blijven stellen tot ver na 2021.

Fortinet streeft naar het creëren van diverse security-experts door gratis beveiligingstraining aan te bieden aan mensen in alle delen van de wereld. Het gratis trainingsaanbod van Fortinet biedt hen:

• Toegang tot ruim 30 gratis beveiligingscursussen: Deze cursussen beslaan diverse ontwerpen, van secure SD-WAN tot het beveiligen van cloud-omgevingen en het beschermen van operationele technologie (OT). In de loop van 2021 zal het cursusaanbod naar verwachting verder worden uitgebreid. Verder zijn er video’s van laboratoriumdemo’s door security-experts on demand beschikbaar.

• Voorbereiding voor NSE Certification-examens: De meeste gratis cursussen maken deel uit van het officiële lesaanbod van het Fortinet NSE Certification Program, dat uit acht niveaus is opgebouwd. Er zijn op basis van dit programma reeds een half miljoen experts in cybersecurity gecertificeerd.

• CPE-punten: Dankzij een samenwerking met (ISC)2 komen deelnemers die een van de gratis cursussen of een andere NSE-cursus voltooien in aanmerking voor Continuing Professional Education (CPE)-punten. Als ze voldoende punten verzamelen, kunnen ze die bij (ISC)2 verzilveren om onder meer de status van Certified Information Systems Security Professional te behalen. Cursisten ontvangen één punt voor elk uur aan training dat ze via het NSE Training Institute van Fortinet hebben gevolgd.

Vooral dat laatste maakt het interessant :-)

Ik heb net de Black Hill's "Applied Purple Training" cursus afgerond, via video-on-demand. Had er in het engels wat over geschreven en ben nu te lam om het te vertalen.

[The course is] advertised as 16 hour trainings, but I've easily spent upwards of 20-25 hours on each to go through the labs and to research side quests. A few hours more on improvements to the labs for the latter, since I ran into many problems with their Terraforming scripts for Azure Cloud. Huzzah for cooperation through Github.

While I found the APT class very educational, I can't shake the feeling that it could have been better. In some cases K&J skipped through a number of topics relatively quickly, as "these are basics, etc" and at some points there was rapid back-and-forth between slides. Granted, I did watch the VoD-recordings of their July session and I expect their more recent classes to have been more fluent.

Thanks to K&J's class my todo list has grown tremendously. Between trainings and certifications added to my wishlist, I've also added a number of improvements that I would like to apply to my homelab. First and foremost: right-sizing my network segments and properly applying all local firewalls. This is a best-practice that will hinder lateral movement in simulations or real-world scenarios.

Het was de $495 absoluut waard, dat wel. Maar ik heb er duidelijk best wat eigen tijd in moeten steken boven de geadverteerde 16 uren.

Heeft iemand ervaring met deze certificaten? Hoe waardevol is dit voor je c.v.?
PECB houdt me een beetje tegen vanwege de kosten, maintenance fee en CPE boekhouding.

slashdev schreef op zaterdag 9 januari 2021 @ 14:00:
Heeft iemand ervaring met deze certificaten? Hoe waardevol is dit voor je c.v.?
PECB houdt me een beetje tegen vanwege de kosten, maintenance fee en CPE boekhouding.

Ik ben zelf niet bekend met APMG. Dat PECB jou vragen om AMF en CPE is aan hun: ze geven je geen generiek ISO27001 cert, maar eentje met hun titel.

Persoonlijk als ik aan ISO27001 en dingen als ITIL denk, dan denk ik aan EXIN. Uitstekende toko en hun remote exam werkte heel aardig toen ik jaaaaren geleden ITILv3 deed.

-> https://www.exin.com/cert...-based-iso-iec-27001-exam

Scheelt je nog eens 100 euro ook! €242 bij EXIN, vs €337 bij APMG.

EDIT: Verhip... Misschien moet ik dat foundation ding ook maar eens doen. Ik ken de concepten allicht al, maar het is misschien geen gek idee eens te weten wat dat ISO27001 toch is waar al die management bobo's zo warm van werden.

EDIT 2:
EXIN hebben zelfs een gratis, compleet oefen-examen inclusief uitleg over foute antwoorden online staan. Heel netjes van ze en een reminder waarom ik ze een goede partij vindt.

Je vind het online oefen-examen onderaan de pagina die ik linkte @slashdev

Net 85% gedaan, dus dat stemt hoopvol. Misschien binnenkort als quick win eens zo'n boek doornemen om alle officiële termen te verifiëren en'm daarna er doorheen te raggen. Het is soms een verplicht nummertje, a-la ITIL. (EDIT 4:) Nah, toch niet... dit is allemaal al gedekt door CISSP, dus laat maar

EDIT 3:
Toegegeven, EXIN hebben niet de ISO27001 Lead Auditor certs enz. Ik denk dat daar meer bij komt kijken dan wat zij kunnen leveren.

[ Voor 34% gewijzigd door Liegebeest op 09-01-2021 19:27 ]

slashdev schreef op zaterdag 9 januari 2021 @ 14:00:
Heeft iemand ervaring met deze certificaten? Hoe waardevol is dit voor je c.v.?
PECB houdt me een beetje tegen vanwege de kosten, maintenance fee en CPE boekhouding.

Ik heb het APMG ISO 27001 foundation examen gedaan. Om eerlijk te zijn denk ik niet dat werkgevers erg kijken naar het examen instituut dat de examens heeft afgenomen, ze zullen meer kijken naar de potentiele kennis en kunde die je bezit (zou moeten bezitten) na het behalen van een formeel certificaat.

Ik ken APMG onder andere van Prince 2 waarbij APMG de examens afneemt namens Axelos. APMG doet dat
volgens mij ook voor ASL, BiSL en vele andere bekende IT certificaten.

Liegebeest schreef op donderdag 7 januari 2021 @ 13:31:
[...]


Om te beginnen: van harte gefeliciteerd, oprecht. Dat is een mooie en luxe positie om in terecht te komen en het getuigt van een werkgever die in is gaan zien dat er gemiste kansen zijn op het gebied van systeemsbeveiliging.

Gebaseerd op bovenstaand citaat van jou merk je meteen al dat wij hier aannames beginnen te maken. Wel/niet Sec+? CEH goed? CEH blah! Enz enz.

Mijn punt is: jouw stelling is heel erg breed te interpreteren. En als jij niet meer dan dat hebt gekregen van je werkgever, dan is het eerst tijd om afspraken te maken, requirements te verzamelen en doelen te stellen.

Je kan wel lukraak een training van de plan trekken, maar mogelijk is dat er geen die aansluit bij wat jullie werkelijke behoefte is.

Mijn advies, voor we over trainingen beginnen: ga eerst nog eens met je werkgever om tafel om de eerste behoeftes vast te leggen. Wil men bijvoorbeeld dat je:

* Risico analyses gaat maken van het netwerk en jullie applicaties?
* Threat modeling sessies gaat uitvoeren met verschillende teams?
* Vulnerability management neer gaat zetten?
* Hardening van jullie netwerk en server-builds gaat uitvoeren?
* Security monitoring op gaat richten?

Allemaal dingen die erg ver uit elkaar liggen en die mogelijk komen kijken bij wat je wilt. Als je een duidelijker beeld hebt van je werkelijke opdracht, dan kunnen we samen met jou gaan kijken waar jij behoefte hebt aan ontwikkeling.

Bijvoorbeeld:
* Security+ is een mooie, brede introductie tot een heleboel theorie van InfoSec. Noem het 't kleine zusje van wat je ooit misschien voor CISSP gaat doen.
* CEH is een eerste introductie tot tooling die wordt gebruikt door kwaadwillende partijen.

De eerste kan absoluut nuttig zijn, omdat je zo meer zicht krijgt op wat er allemaal komt kijken bij InfoSec. De tweede laat je daarentegen kennis maken met kwetsbaarheden in specifieke systemen, zodat je daar beter kijk op krijgt. En zo kan je heel, heel veel kanten op met tig trainingen.

Dus: stapje terug, eerst bepalen wat jouw behoeftes werkelijk zijn.

Dank voor je uitgebreide reactie. Wat betreft de wensen van mijn werkgever is het vrij breed. Ze vinden het vooral wel interessant als iemand in de organisatie meer weet van security. Verder dan dat gaat het eigenlijk nog niet. Bovendien is dit aanbod een verkapt cadeau, dus vrij plat gezegd moet de organisatie er iets aan hebben, maar is het vooral wat mij leuk lijkt om te doen. Wat mijzelf betreft ben ik niet echt een theorie persoon en merk ik dat de praktijk voorbeelden van CEH mij wel aanspreken. Ik ben bang dat Security+/CCSP veel te theoretisch/grijs/droog/saai zal zijn. Maar misschien vergis ik me daar in, dan hoor ik het graag. Zijn er, naast CEH ook nog andere 'beginners' cursussen waarbij meer vanuit de praktijk wordt gesproken?

Ik zou CEH toch niet willen weg zetten als "beginners" cursus - je zal toch zeker een goede basis kennis op gebied van netwerken en systemen moeten hebben om met succes te slagen. Eensch met Liegebeest dat het op gebied van pentesten een eerste introductie is, maar als complete beginner in security land met CEH te beginnen is wellicht "aiming too high".

My 2 cents in het kader van "expectation management".

Dikke duim, helemaal eens met Hmmbob, dankjewel voor het bijsturen.

Hmmbob schreef op maandag 11 januari 2021 @ 09:26:
Ik zou CEH toch niet willen weg zetten als "beginners" cursus - je zal toch zeker een goede basis kennis op gebied van netwerken en systemen moeten hebben om met succes te slagen. Eensch met Liegebeest dat het op gebied van pentesten een eerste introductie is, maar als complete beginner in security land met CEH te beginnen is wellicht "aiming too high".

My 2 cents in het kader van "expectation management".

Haha het laatste wat ik wil is het onderschatten dus dank voor de correctie! Wat zou dan een goede voorbereiding zijn op CEH? Ik zie dat zowel bij Security+ als CCSP ook al wordt vermeld dat er toch zeker wel bepaalde kennis moet zijn in het vakgebied om hieraan te beginnen. Daarmee zie ik dat inmiddels ook niet meer als startpunt.

Reb87 schreef op maandag 11 januari 2021 @ 16:37:
[...]


Haha het laatste wat ik wil is het onderschatten dus dank voor de correctie! Wat zou dan een goede voorbereiding zijn op CEH? Ik zie dat zowel bij Security+ als CCSP ook al wordt vermeld dat er toch zeker wel bepaalde kennis moet zijn in het vakgebied om hieraan te beginnen. Daarmee zie ik dat inmiddels ook niet meer als startpunt.

Sec+ is een uitstekend beginpunt voor iemand die wel IT-ervaring heeft, maar nog weinig met security op heeft.

Jep, dat is een ideaal opstapje om te beginnen.

Met veel ervaring is CISSP ook prima te doen. Zelf bijna 20 jaar systeembeheerder gedaan en meteen CISSP in 1x gehaald. Is nog best technisch naast het manager stuk

Ze gaan het cissp online afnemen. Met de kans op dumps, proxyserver fraude etcetera. Geen goede zaak als je het mij vraagt. Het argument is covid. Maar het % geslaagde is hoger als pre covid volgens isc2 eigen cijfers. Er is hier en daar een petitie opgestart tegen de waardevermindering waar men bang voor is. $$$

https://wentzwu.com/2021/...tegrity-and-tradeoff/?amp

@Reb87 is security+ pentest+ niet een goed en goedkoper pad, wellicht?

[ Voor 10% gewijzigd door slashdev op 11-01-2021 21:31 ]

"The online proctored exams are the same, with regard to content, item types and difficulty as the test center-delivered exams, with the exception of the CISSP. The CISSP exam is linear with 250 items and has a time limit of six hours. The pilot test for CISSP will only include the linear exam and candidates will not be able to go back and change their answer to an item after choosing one. "

Ik zou het niet echt zien zitten om max 6 uur lang thuis in een kamertje te zitten. Dan toch echt liever in een examencentrum. Of eigenlijk liever de adaptive testing versie (ik was in net geen 2 uur klaar)

https://blog.isc2.org/isc...-the-isc2-pilot-test.html

Crosspost van de CISM Reddit, daarom in het Engels.

Today I have provisionally passed my CISM exam.

My background, 21 years in IT, helpdesk analyst, system administrator, service manager, IT manager, security analyst and the last 18 months Information Security Manager.

I used the home proctoring exam option, I started my check-in half an hour before the exam was scheduled. I had checked my system compatibility before, and I had no issues installing the PSI secure browser. Also, the check in procedure and the assignment of the proctor worked well. For unknown reason, the proctor asked me again to validate my ID and do a second room scan. All In all, the check in procedure took about 25 minutes and I could start the exam.

The exam itself was ok. Many of the questions mostly have two obvious wrong answers and 2 correct answers, of which one answer is more correct than the other. I had flagged about 30 questions during the exam. After 3 hours I had answered all 150 questions. My review of the flagged questions took another 30 minutes, I changed 5 or 6 answers.

After I clicked the End Exam button I had to go through two additional surveys, one survey was about the PSI exam experience and the second was how difficult I thought the exam was. Very annoying when you put almost 4 hours of concentration in the exam and then have to deal with this kind of rubbish surveys. Anyway, after all that I could finally end the whole exam and the last screen told me I have provisionally passed the CISM exam.

Study resources used:

• Peter H. Gregory CISM all-in-one exam guide.
• Isaca CISM Review Questions, Answers & Explanations Database (QAE)
• 4-day in-house training course by a local Dutch self-employed trainer (Vidar security)

As for my study effort.

• About 50 hours reading and reviewing the CISM book.
• Approximately 30 hours for the in-house training, which was during workhours.
• 20 hours for drafting and reviewing my study notes. I also made some flash cards on Quizlet.
• 20 hours in the QAE database, my readyscore was 74% (77% Governance, 69% Risk, 81% Program and 76% Incident)

Op jullie advies ga ik de route Security+ -> CEH inzetten. Security+ wil ik dmv zelfstudie en online learnings gaan doen, maar bij CEH twijfel ik daarover. Heeft het meerwaarde om naar een opleidingscentrum te gaan, of is dat vooral erg prijzig zonder noemenswaardige voordelen?

Reb87 schreef op maandag 18 januari 2021 @ 14:41:
maar bij CEH twijfel ik daarover. Heeft het meerwaarde om naar een opleidingscentrum te gaan, of is dat vooral erg prijzig zonder noemenswaardige voordelen?

Ik heb geen ervaring met CEH, maar het lijkt erop dat zelfstudie zeker mogelijk is, op google vind je diverse video trainingen en training labs. Let wel op dat eind 2020 CEH v11 is uitgekomen, ik keek bijvoorbeeld bij itpro.tv en zij bieden nog de v10 versie van de training aan. Zorg dan dat je duidelijk weet wat de verschillen zijn tussen v10 en v11 en dat je deze missende lesstof en vaardigheden op een andere manier kunt bemachtigen.

Het fijne van een formeel training programma is dat je de samenvatting inclusief krijgt, je hoeft deze dus niet zelf meer te maken. Het nadeel vind ik dat training programma's vaak op een examen bootcamp lijken, de insteek is om het examen te halen en niet om vaardigheden te leren. Als je de enthousiasme en tijd kunt opbrengen denk ik dat je van zelfstudie meer leert dan van een bootcamp. (Uiteraard zullen hier ook uitzonderingen op zijn, SANS geeft bijvoorbeeld hele goede inhoudelijke trainingen, maar die kosten wel wel bijna $8000 inclusief examen.)

CEH zelfstudie mag ook, maar je moet dan wel aan wat eisen voldoen:


To be eligible to apply to sit for the CEH (ANSI) Exam, a candidate must either:

Hold a CEH certification of version 1 to 7,
* (Prior to being ANSI accredited, EC-Council’s certifications were named, based on versions – CEHV1, CEHV2 etc. During that time, candidates that attempted the certification exams were vetted for eligibility. In order to avoid “being double bill”, the EC-Council Certification department shall issue a waiver of the application fee of any candidate that has a CEH V1- CEH V7 certification and wishes to attempt the CEH ANSI certification.)

or Have a minimum of 2 years work experience in InfoSec domain (You will need to pay USD100 as a non-refundable application fee);

Or Have attended an official EC-Council training (All candidates are required to pay the $100 application fee; however, your training fee shall include this fee)

Liegebeest schreef op woensdag 20 januari 2021 @ 14:40:
Onderstaande net op een Discord gegooid, maar ik bedacht me dat jullie me misschien ook een goede kant op kunnen sturen
[...]

Om mijn eigen vraag hier te beantwoorden: op Discord wees iemand mij naar deze training + examen.

-> https://www.practical-dev...d-devsecops-professional/

$700 voor on-demand training met labs voor het ervaren van het volledige DevSecOps proces, inclusief een twaalf-uurs praktijk examen? Sign me up!!

Ik heb van de week de Black Hills training "Modern Web-app pentesting" met B.B. King gedaan. Online, vier avonden van elk vier uurtjes les. De lessen lopen via GoToWebinar, met studenten-chat en vragen stellen via Discord. De gebruikelijke aanpak van BHIS en WWHF dus.

Kort samengevat:
* BB is een fijne leraar, vertelt leuk en vlot.
* De labs en stof zijn courant en inderdaad meer gericht op moderne webapps.
* Labs zijn op basis van OWASP Juice Shop: Node.js, Angular, REST API, web sockets en meer.
* Met 3-5 labs per avond heb ik het idee dat je wel degelijk al enige achtergrond moet hebben met pentesten.
* Interactie met andere leerlingen via Discord vind ik zelf erg fijn.

Kanttekening is dat ik zelf één van de leerlingen ben waar mijn CTT+ opleidingsboek me voor waarschuwde: zo eentje die moeite heeft om niet bij te dragen met extra stof, links, opmerkingen enz.

Qua opzet en inhoud deed de training me heel erg denken aan de "secure coding" cursus die ik met mijn team gaf aan devops engineers bij de klant. Veel van de besproken vulns overlapten maar waar BB alleen uitlegt hoe't werkt en hoe je't uitbuit, legden wij ook uit hoe je de fouten in de code corrigeert.

Groot verschil tussen beide trainingen zit, naast wel/niet de code in duiken, ook in de labs. Wij gebruiken de OWASP SKF Labs: individuele Python Flask web apps, één per vuln-type, in Docker containers. BB's training gebruikt voor alle labs het OWASP Juice Shop project: een e-commerce site met tientallen vulns, een scoreboard en veel realistische functionaliteit. Een echte website, met echte functies!

Al met al: voor 16 uur opleiding, met voor mij veel herhaling en tegelijkertijd veel nieuws. vond ik $495 heel schappelijk.

Liegebeest schreef op zaterdag 30 januari 2021 @ 19:53:

Qua opzet en inhoud deed de training me heel erg denken aan de "secure coding" cursus die ik met mijn team gaf aan devops engineers bij de klant. Veel van de besproken vulns overlapten maar waar BB alleen uitlegt hoe't werkt en hoe je't uitbuit, legden wij ook uit hoe je de fouten in de code corrigeert.

Als ik het goed heb gaat de cursus dan ook over pentesting. Daar hoort niet bij dat je de developer zijn code fixt

Grim schreef op zaterdag 30 januari 2021 @ 21:15:
[...]

Als ik het goed heb gaat de cursus dan ook over pentesting. Daar hoort niet bij dat je de developer zijn code fixt

Klopt helemaal, het was dan ook niet bedoeld als negatieve feedback op de training.

Ik kreeg deze binnen vandaag:

Hi Niels,

We're making some of our most popular premium courses available to you for free all month long! Through February 28th, accelerate your professional development growth with any (or all!) of the following nine courses:
CISSP
CCSP
CISO
Insider Threats
Cloud Architecture Foundations
Zero Trust Networks
Identity Access Management in AWS
AWS Certified Cloud Practitioner
Advanced Malware Analysis: Redux

Develop a new career skill, courtesy of Cybrary!

Ryan Corey
CEO, Co-Founder
Cybrary, Inc.

Bijvoorbeeld: https://app.cybrary.it/browse/course/ccsp/

ChUcKiE schreef op dinsdag 2 februari 2021 @ 07:39:
Ik kreeg deze binnen vandaag:

Hi Niels,

We're making some of our most popular premium courses available to you for free all month long! Through February 28th, accelerate your professional development growth with any (or all!) of the following nine courses:
CISSP
CCSP
CISO
Insider Threats
Cloud Architecture Foundations
Zero Trust Networks
Identity Access Management in AWS
AWS Certified Cloud Practitioner
Advanced Malware Analysis: Redux

Develop a new career skill, courtesy of Cybrary!

Ryan Corey
CEO, Co-Founder
Cybrary, Inc.

Bijvoorbeeld: https://app.cybrary.it/browse/course/ccsp/

Het staat ook op hun blog inderdaad: https://www.cybrary.it/blog/free-courses-february-2021/
Ik ken ze verder niet maar toch maar eens kijken hoe de kwaliteit is van hun aanbod.

Kelly heeft mij aan CISSP geholpen. Ze had goede tips en tricks voor het onthouden van zaken.

Ja bij mij ook nu ben ga ik binnenkort CCSP examen doen, dus neem ik die van haar ook maar even mee.

BruCon gaan dit jaar ook voor een convention-at-home, met een mooi programma aan trainingen.

https://www.brucon.org/20...il-open-for-registration/

Gaat dat zien

Liegebeest schreef op woensdag 3 februari 2021 @ 14:55:
BruCon gaan dit jaar ook voor een convention-at-home, met een mooi programma aan trainingen.

https://www.brucon.org/20...il-open-for-registration/

Gaat dat zien

Bedankt voor het delen. We gaan dit jaar beginnen met SOC (op basis van Azure Sentinel) en de SOC training komt dus wel op een goed moment voor het management hier. Ik heb het doorgemaild, nu hopen dat ze niet over de prijs struikelen.

PS: deze training ga ik niet zelf aan deelnemen, daar ben ik met 3 jaar totale werkervaring nog te groen voor