• Grim
  • Registratie: September 2010
  • Laatst online: 23-01 22:45
ralpje schreef op zaterdag 8 oktober 2022 @ 16:46:
Op zoek naar input :)
Als freelancer werk ik met name in de Microsoft hoek. Een deel Azure, een deel Modern Workplace. Daarnaast ben ik Microsoft trainer.
Ik wil graag wat meer 'hands on' met security gaan doen. Ik heb al de nodige MS certs op security gebied (SC-300, SC-200, MS-500, AZ-500), maar zoek dus iets buiten m'n comfortzone.
Ik lees over dingen als CEH, OSCP, etc.... Maar wat is nu de beste start?
Ik ga al een jaartje of twintig mee in de IT, heb dus redelijk wat startkennis, maar niet direct 'offensive' vlak.

Ik zoek dus wel concreet iets op technisch toegepast gebied, niet de 'papieren' kant.

Wat is een goed punt om te starten, een cert wat ook in de praktijk goed bekend staat én waar ik gewoon even lekker buiten m'n comfortzone veel shit kan leren?
Certificaten zijn leuk en wel maar als absolute beginner op vlak van offsec zou ik Starting Point van Hackthebox aanraden. Gratis en het neemt je redelijk bij het handje om de basis te leren.
Blog: https://help.hackthebox.c...duction-to-starting-point
Hackthebox platform: https://www.hackthebox.com/

Steam: Grim


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Liegebeest schreef op zaterdag 8 oktober 2022 @ 18:57:
[...]

Ik wilde gaan zeggen: het is volledig afhankelijk van de kant die je op wilt, maar dat geef je best duidelijk zelf aan: technisch en offensief.

Mijn persoonlijke meningen en ervaringen:
[list]
• CEH en eigenlijk heel ECC blijf ik voortaan bij weg, die lui geef ik geen geld meer vanuit ethische overwegingen. CEH heeft een goede naamsbekendheid voor je CV, maar technisch inhoudelijk vond ik het een stuk minder.
+1 voor fuck de ECC. Gelukkig zie ik dat de CEH steeds minder gevraagd wordt, eigenlijk niet meer.

Denk dat misschien 20% van de stof van toegevoegde waarde is. Het examen nog minder, dom stampwerk.

Hoevaak ik wel niet de blocklengte van het Blowfish cipher gebruik in mijn werkzaamheden, of alle wetgevingen m.b.t. privacy in Amerika. :+
Grim schreef op zaterdag 8 oktober 2022 @ 21:21:
[...]


Certificaten zijn leuk en wel maar als absolute beginner op vlak van offsec zou ik Starting Point van Hackthebox aanraden. Gratis en het neemt je redelijk bij het handje om de basis te leren.
Blog: https://help.hackthebox.c...duction-to-starting-point
Hackthebox platform: https://www.hackthebox.com/
En deze natuurlijk. Je kunt zo veel gratis (of voor een kleine vergoeding) leren online.

[Voor 23% gewijzigd door Jaqenhghar op 10-10-2022 13:41]


  • hmmmmmmmmmpffff
  • Registratie: September 2009
  • Laatst online: 22:43
Liegebeest schreef op zaterdag 8 oktober 2022 @ 18:57:
[...]

Ik wilde gaan zeggen: het is volledig afhankelijk van de kant die je op wilt, maar dat geef je best duidelijk zelf aan: technisch en offensief.

Mijn persoonlijke meningen en ervaringen:
  • CEH en eigenlijk heel ECC blijf ik voortaan bij weg, die lui geef ik geen geld meer vanuit ethische overwegingen. CEH heeft een goede naamsbekendheid voor je CV, maar technisch inhoudelijk vond ik het een stuk minder.
  • OSCP is een pittige start, heeft HR-technisch een kleinere bekendheid, maar is onder de werkelijke techneuten bekend als een goede, stevige instap.
  • SANS is peperduur, maar is die prijs voor de kwaliteit ook zeker waard. Ze hebben een enorme keuze aan degelijke opleidingen.
  • CompTIA Pentest+ en CySA+ zijn multiple choice examens met een degelijk curriculum. Kleine naamsbekendheid in de EU, goede lesstof voor een instapper. CySA+ is tevens sinds deze week voor $50 te doen, als beta-test voor de volgende versie van examen.
  • Er zijn een heleboel hele goede, kleine aanbieders van trainingen waar onder INE (voorheen eLearnSec), Pentester Academy (PTA) en TCM (The Cyber Mentor). Die zijn in meer en mindere mate hands-on en aanbevolen.
  • Black Hills InfoSec en hun Antisyphon organisatie bieden uitstekende trainingen voor zeer betaalbare prijzen. Ik heb zelf "Advanced webapp pentesting, with B.B. King" gedaan en die was top.
Wil hier even aan toevoegen OSCP bij meeste HR gewoon tegenwoordig erkend wordt hoor. :) Vooral als je klussen in Nederland doet.

Mooi lijstje verder!

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
Jaqenhghar schreef op maandag 10 oktober 2022 @ 12:58:
[...]

Denk dat misschien 20% van de stof van toegevoegde waarde is. Het examen nog minder, dom stampwerk.
De meeste security trainingen zijn voornamelijk stampwerk. Men die heel trots CISSP in hun LinkedIn naam hebben staan… Gefeliciteerd, je kunt onthouden! :) OSCP is de enige waar je echt zelf mee aan de slag moet, maar dat is ook de stof zelf. Alle soft security certificaten vind ik redelijk waardeloos qua kennis. Tegenwoordig selecteer ik sollicitanten op track record en projecten, dat is veel interessanter. Dat plus motivatie is al genoeg in veel gevallen.

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]
OSCP is de enige waar je echt zelf mee aan de slag moet...
Incorrect, het worden er zelfs steeds meer.

PTA (pentester academy), PDSO (practical devsecops), TCM (the cybermentor) en volgens mij zelfs INE hebben praktijkexamens.

Liege, liege, liegebeest!


  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
Liegebeest schreef op maandag 10 oktober 2022 @ 18:09:
[...]

Incorrect, het worden er zelfs steeds meer.

PTA (pentester academy), PDSO (practical devsecops), TCM (the cybermentor) en volgens mij zelfs INE hebben praktijkexamens.
Bedoelde het uiteraard in de zin dat er maar weinig praktische examens zijn :)

  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]


De meeste security trainingen zijn voornamelijk stampwerk. Men die heel trots CISSP in hun LinkedIn naam hebben staan… Gefeliciteerd, je kunt onthouden! :) OSCP is de enige waar je echt zelf mee aan de slag moet, maar dat is ook de stof zelf. Alle soft security certificaten vind ik redelijk waardeloos qua kennis. Tegenwoordig selecteer ik sollicitanten op track record en projecten, dat is veel interessanter. Dat plus motivatie is al genoeg in veel gevallen.
Eens hoor. Ik heb een collega die die kennisquiz certs verzameld alsof het pokémon zijn.

Ben zelf ook niet zo'n fan van dat soort certificaten. Ik ontkom er zelf helaas ook niet aan. En ach he, extra kennis is nooit weg. Soms levert het zelfs extra geld op :+
Liegebeest schreef op maandag 10 oktober 2022 @ 18:09:
[...]

Incorrect, het worden er zelfs steeds meer.

PTA (pentester academy), PDSO (practical devsecops), TCM (the cybermentor) en volgens mij zelfs INE hebben praktijkexamens.
Ja oké die zijn er inderdaad, maar die zijn dan niet proctored met enorm veel tijd (die van HTB heeft bijvoorbeeld 10 dagen) dus dat vermindert de waarde op de markt al snel, want cheaters.

Aan de andere kant: Blij dat de markt nu aan het verbreden is, het spul van offsec is lang niet heilig en vaak zelfs enorm verouderd/te kort komend ten opzichte van wat je er voor betaald.

  • hmmmmmmmmmpffff
  • Registratie: September 2009
  • Laatst online: 22:43
Jaqenhghar schreef op dinsdag 11 oktober 2022 @ 09:05:
[...]


Eens hoor. Ik heb een collega die die kennisquiz certs verzameld alsof het pokémon zijn.

Ben zelf ook niet zo'n fan van dat soort certificaten. Ik ontkom er zelf helaas ook niet aan. En ach he, extra kennis is nooit weg. Soms levert het zelfs extra geld op :+


[...]


Ja oké die zijn er inderdaad, maar die zijn dan niet proctored met enorm veel tijd (die van HTB heeft bijvoorbeeld 10 dagen) dus dat vermindert de waarde op de markt al snel, want cheaters.

Aan de andere kant: Blij dat de markt nu aan het verbreden is, het spul van offsec is lang niet heilig en vaak zelfs enorm verouderd/te kort komend ten opzichte van wat je er voor betaald.
TCM heeft wel wat andere zaken geregeld om cheaten tegen te gaan. Zou je in theorie een collega naast je kunnen hebben die zegt wat je allemaal moet doen, maar dat kost wel enorm veel tijd - voor de overige examens ook. En da's ook logisch, want een pentest doe je meestal niet in een dagje.

Zeker goede ontwikkeling dat er meer alternatieven op de markt komen. OSCP is erg duur en ook wel wat minder prettige kanten. Ik hoop dat de bedrijven elkaar scherp houden.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]


De meeste security trainingen zijn voornamelijk stampwerk. Men die heel trots CISSP in hun LinkedIn naam hebben staan… Gefeliciteerd, je kunt onthouden! :) OSCP is de enige waar je echt zelf mee aan de slag moet, maar dat is ook de stof zelf. Alle soft security certificaten vind ik redelijk waardeloos qua kennis. Tegenwoordig selecteer ik sollicitanten op track record en projecten, dat is veel interessanter. Dat plus motivatie is al genoeg in veel gevallen.
Ik snap je sentiment t.a.v. CISSP, maar het is niet geheel terecht. Ik heb zowel CISSP als CCSP gedaan. Beide ga lastig kunnen halen met echt alleen maar stampen, en daarnaast is er ook gewoon een eis van werkervaring om je CISSP of CCSP te mogen noemen.

En iemand die recent CEH heeft gehaald, heeft mijns inziens de boot flink gemist als het gaat om ethiek.

[Voor 5% gewijzigd door oak3 op 11-10-2022 14:52]


  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
oak3 schreef op dinsdag 11 oktober 2022 @ 14:48:
[...]


Ik snap je sentiment t.a.v. CISSP, maar het is niet geheel terecht. Ik heb zowel CISSP als CCSP gedaan. Beide ga lastig kunnen halen met echt alleen maar stampen, en daarnaast is er ook gewoon een eis van werkervaring om je CISSP of CCSP te mogen noemen.

En iemand die recent CEH heeft gehaald, heeft mijns inziens de boot flink gemist als het gaat om ethiek.
Ik heb beide certificaten en vind de theorie dermate zwak dat het een groot vraagteken voor mij is waarom deze certificaten zo gewaardeerd worden. Ik zou dit vergelijken met theorie in jaar 1 van het HBO. Vooral CISSP, men zegt niet voor niets dat het een kilometer breed is en een centimeter diep, desondanks is het een harde eis voor veel functies. En leuk natuurlijk die eis qua werkervaring, maar dat is een mooi trucje om het net wat exclusiever te laten lijken.

Ik hoop dat er ooit wat moeilijkere certificaten langskomen die echt uitdagen :) Tot die tijd selecteer ik mensen vooral op motivatie, commitment en bewezen track record.

  • paella
  • Registratie: Juni 2001
  • Laatst online: 22:01
Orangelights23 schreef op dinsdag 11 oktober 2022 @ 15:24:
[...]

Ik hoop dat er ooit wat moeilijkere certificaten langskomen die echt uitdagen :) Tot die tijd selecteer ik mensen vooral op motivatie, commitment en bewezen track record.
Zo zou het altijd moeten zijn. :D

zoals onze vorige CEO als mantra had: "hire for attitude, train for skills"

No production networks were harmed during this posting


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
De beta van Project+ krijg ik net van binnen dat ik ben geslaagd.

De beta van CySA+ moet ik binnenkort opnieuw doen: tijdens het examen raakte men mijn video-verbinding kwijt waardoor proctoring onmogelijk werd.

Liege, liege, liegebeest!


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Orangelights23 schreef op dinsdag 11 oktober 2022 @ 15:24:
[...]

En leuk natuurlijk die eis qua werkervaring, maar dat is een mooi trucje om het net wat exclusiever te laten lijken.
Nou vooral dat voelt voor mij niet goed. Haha kijk deze persoon zit al 5 jaar in de functie, maar nu hij/zij dit papiertje van ons heeft is het pas echt legit. :+

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Even een snelle copy/paste van mijn LinkedIn:

Last year, Hoppenbrouwers Techniek B.V. fell victim to a ransomware attack. With a lot of hard work, together with Northwave. Intelligent Security Operations, they managed to fend off the biggest issues and survive the attack.

Earlier this week, Marcel de Boer from Hoppenbrouwers visited a local security conference to tell us about their experience. What's even cooler: the company worked with a journalist to write a book about their experience! And even better: that book is available for free.

https://www.hoppenbrouwerstechniek.nl/boek-hack/

Liege, liege, liegebeest!


  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 21:59
Liegebeest schreef op donderdag 13 oktober 2022 @ 14:11:
Even een snelle copy/paste van mijn LinkedIn:

Last year, Hoppenbrouwers Techniek B.V. fell victim to a ransomware attack. With a lot of hard work, together with Northwave. Intelligent Security Operations, they managed to fend off the biggest issues and survive the attack.

Earlier this week, Marcel de Boer from Hoppenbrouwers visited a local security conference to tell us about their experience. What's even cooler: the company worked with a journalist to write a book about their experience! And even better: that book is available for free.

https://www.hoppenbrouwerstechniek.nl/boek-hack/
Directe link naar hun eigen site, zodat je je email niet achter hoeft te laten:

https://www.hoppenbrouwer...rm=ebook&utm_medium=email

ZZP'er en kijken of MoneyMonk iets voor jou is? DM me voor 50% korting in het eerste jaar (en ik 'n cadeaubon)!


  • Scoro
  • Registratie: December 2012
  • Laatst online: 22:07
Altijd interessant om te lezen.
Enerzijds mag men dus van geluk spreken dat ze een bijzaak waren en het niet een meer gerichte aanval was.
Dan was er ook nog is data gestolen en eventueel de back-ups ook geraakt.

Verder valt mij ook een aantal dingen op aan de support van Northwave. En mogelijk zit dat niet in het pakket/verzekering dat men afgenomen hadden. Maar meer ondersteuning leveren in draaiboeken bijvoorbeeld i.r.t. tot de interne communicatie. Nu was men daar zelf mee bezig om een oplossing te verzinnen.
Of het komt niet goed naar voren in dit verhaal kan ook.

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Nee, ze gaven zelf in de presentatie ook aan op dat moment nog geen draaiboeken te hebben. Ze hebben on-the-fly bedacht hoe ze al het personeel te pakken gingen krijgen.

Liege, liege, liegebeest!


  • ralpje
  • Registratie: November 2003
  • Laatst online: 19:13

ralpje

Deugpopje

Grim schreef op zaterdag 8 oktober 2022 @ 21:21:
[...]


Certificaten zijn leuk en wel maar als absolute beginner op vlak van offsec zou ik Starting Point van Hackthebox aanraden. Gratis en het neemt je redelijk bij het handje om de basis te leren.
Blog: https://help.hackthebox.c...duction-to-starting-point
Hackthebox platform: https://www.hackthebox.com/
Inmiddels maar een jaartje VIP+ op Hackthebox afgesloten en begonnen met de eerste kennismakingsopdrachten. In combinatie met de informatie in de documentatie die ze zelf bij de opdrachten leveren inderdaad een prima startpunt, en nu al een aardige rabbit hole.

Dank voor de tips, allen :)

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer


  • Metzie
  • Registratie: April 2000
  • Laatst online: 23-01 20:24

Metzie

Nyaano !

Even een offtopic post, maar ik ga er vanuit dat hier veel ISC2 gecertificeerde leden zijn. Het ISC2 bestuur heeft een stemming uitgevaardigd over nieuwe vereniging regelementen die potentieel schadelijk zijn voor de leden en het imago van de vereniging. Lees in deze Linkedin-post meer over de voorgestelde wijzigingen en waarom elk lid NEE zou moeten stemmen.

http://www.totalprogress.nl Computer reparatie en webdesign
I just hate it when the computer does what I tell it to do and not what I mean for it to do.


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Oei! En ik had die mail juist genegeerd. :|

Bedankt voor de tip!

Liege, liege, liegebeest!


  • ShadowBumble
  • Registratie: Juni 2001
  • Laatst online: 22:59

ShadowBumble

Professioneel Prutser

Liegebeest schreef op maandag 24 oktober 2022 @ 16:25:
Oei! En ik had die mail juist genegeerd. :|

Bedankt voor de tip!
Ik heb er nog niet eens een mail over gezien ( ik had al tegen gestemd paar dagen geleden ) maar voor zover ik kon zien is er nagenoeg geen communicatie over. Wat heel typisch is als je de post leest

"Allow me to shatter your delusions of grandeur."


  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
Het grappige is dat ze zelf voorstellen wat je moet stemmen… paar leden op mijn LinkedIn zijn heel goed aan het communiceren over deze situatie.

  • Metzie
  • Registratie: April 2000
  • Laatst online: 23-01 20:24

Metzie

Nyaano !

Orangelights23 schreef op maandag 24 oktober 2022 @ 16:42:
Het grappige is dat ze zelf voorstellen wat je moet stemmen…
Inderdaad nu je het zegt, ik heb de uitnodigings e-mail nog eens goed gelezen en er staat inderdaad bij punt 1 geschreven, de sneaky basterds.
1. To approve of (ISC)² modifying the bylaws currently in effect since February 1, 2021 and replace them with the proposed Amended and Restated Bylaws. The Board of Directors have reached the conclusion that the amended and restated bylaws are desirable. It is the opinion of the Board of Directors that these bylaws should be approved by the membership.

http://www.totalprogress.nl Computer reparatie en webdesign
I just hate it when the computer does what I tell it to do and not what I mean for it to do.


  • MiTM
  • Registratie: September 2008
  • Laatst online: 23:56
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?
Iemand vinden is vaak leuker :) Ik maak d'r altijd een koffie-moment van, waarin we je CV langslopen. :)

Liege, liege, liegebeest!


  • basmq
  • Registratie: November 2002
  • Laatst online: 19:04
Liegebeest schreef op vrijdag 28 oktober 2022 @ 06:05:
[...]

Iemand vinden is vaak leuker :) Ik maak d'r altijd een koffie-moment van, waarin we je CV langslopen. :)
Inderdaad, dat is de leukste manier!

Omgeving Zwolle/Deventer kan ik je helpen!

  • hellknight
  • Registratie: Januari 2003
  • Laatst online: 22:07

hellknight

Medieval Nerd

MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?
Gefeliciteerd!
Als je in het zuid-westen van het land zit kan ik je evt. helpen met review CV en endorsement.
Review door ISC2 heb ik voor mijn SSCP gedaan, en heeft weinig toegevoegde waarde - er is geen contact opgenomen met opgegeven referenties, het lijkt erop dat mijn verzoek 6 weken in een la heeft gelegen, en daarna blind approved is.

Your lack of planning is not my emergency


  • Positron
  • Registratie: December 2001
  • Laatst online: 21-01 13:29

Positron

Immer positief! +1,6*10^-19 C

In de afgelopen jaren heb ik een aantal certificeringen verzameld. Op het gebied van cybersecurity heb ik:
  • CISSP
  • CISM
  • CEH
  • CCSP
Mijn werkervaring is vooral op het gebied van product- en projectmanagement, met nadruk op cybersecurity. En mijn ambities liggen in het verlengde daarvan, maar ook in operationeel management van IT-security.

Zelf zit ik niet al te diep in de techniek, maar de mensen waarmee of waarvoor ik werk zijn dat vaak wel. De techniek rondom cybersecurity maakt het ook interessant, maar ik ben de 30 ruim gepasseerd en heb niet het talent en de passie om zelf nog hacker/pentester te worden. Ik vind het wel belangrijk en ook leuk om de gebruikte methoden te begrijpen, dus daarom heb ik CEH eens gedaan. Dat vond ik qua opzet echter geen briljante cursus. Leuk om eens met Linux en CLI in aanraking te komen, maar verder was het tientallen tools bekijken en verder weinig van geleerd.

Nu heb ik de kans om via werk aan een on-demand SANS-cursus deel te nemen. De vraag is nu: wat moet ik kiezen?

Ik wil echt wel iets nieuws leren, dus voorkomen dat ik CISSP of CEH ga herhalen, maar beiden zijn alweer even geleden en wat weggezakt. Is SEC401 (GSEC) de moeite en sluit dat aan op wat ik al heb? Of beter eentje die security management behandelt, zoals MGT512 (GSLC) of beter een van de Advanced Management courses.

Het is erg lastig kiezen, omdat ik niet goed kan bepalen of het meerwaarde heeft om reeds behandelde topics met SANS nog eens over te doen. En in hoeverre de meer technische courses voor mij te doen zijn en meerwaarde hebben. Advies is dus zeer welkom. :)

Garmin Fenix 6 Sapphire | Swim.. Bike.. Run!


  • daily.data.inj
  • Registratie: Januari 2019
  • Laatst online: 25-01 22:13
Positron schreef op zaterdag 29 oktober 2022 @ 04:11:
In de afgelopen jaren heb ik een aantal certificeringen verzameld. Op het gebied van cybersecurity heb ik:
  • CISSP
  • CISM
  • CEH
  • CCSP
Mijn werkervaring is vooral op het gebied van product- en projectmanagement, met nadruk op cybersecurity. En mijn ambities liggen in het verlengde daarvan, maar ook in operationeel management van IT-security.

Zelf zit ik niet al te diep in de techniek, maar de mensen waarmee of waarvoor ik werk zijn dat vaak wel. De techniek rondom cybersecurity maakt het ook interessant, maar ik ben de 30 ruim gepasseerd en heb niet het talent en de passie om zelf nog hacker/pentester te worden. Ik vind het wel belangrijk en ook leuk om de gebruikte methoden te begrijpen, dus daarom heb ik CEH eens gedaan. Dat vond ik qua opzet echter geen briljante cursus. Leuk om eens met Linux en CLI in aanraking te komen, maar verder was het tientallen tools bekijken en verder weinig van geleerd.

Nu heb ik de kans om via werk aan een on-demand SANS-cursus deel te nemen. De vraag is nu: wat moet ik kiezen?

Ik wil echt wel iets nieuws leren, dus voorkomen dat ik CISSP of CEH ga herhalen, maar beiden zijn alweer even geleden en wat weggezakt. Is SEC401 (GSEC) de moeite en sluit dat aan op wat ik al heb? Of beter eentje die security management behandelt, zoals MGT512 (GSLC) of beter een van de Advanced Management courses.

Het is erg lastig kiezen, omdat ik niet goed kan bepalen of het meerwaarde heeft om reeds behandelde topics met SANS nog eens over te doen. En in hoeverre de meer technische courses voor mij te doen zijn en meerwaarde hebben. Advies is dus zeer welkom. :)
Als ik de informatie op de SANS website lees lijkt mij de SEC401 (GSEC) weinig toevoegen. Dit vanwege de certificeringen die je al hebt. De MGT512 (GSLC) lijkt op papier wel interessant voor jouw achtergrond en doel, de MGT551 (GSOM) past ook in dit straatje volgens mij met het oog op operationeel management.

Ben zelf trouwens ook ruim de 30 gepasseerd en heb zeker het talent niet, maar heb er toch voor gekozen om te starten met offensive security vanwege mijn interesse (OSCP). Benieuwd of dat over een paar maandjes gaat lukken of dat ik van een koude kermis terugkom :9 .

  • Column
  • Registratie: Oktober 2020
  • Laatst online: 25-01 12:37
MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?
Congrats! Ik heb hem ook gehaald deze week. Ik moet nog wat ervaring opdoen voor ik hem compleet heb, maar blij dat het zwaarste gedeelte achter de rug is.

Voor degenen die nu aan het studeren zijn voor hun CISSP examen, ik heb wat studieboeken in de aanbieding: theorie & oefenexamens (o.a. de officiële Sybex boeken). Stuur me gerust een DM voor meer info.

  • jeffreytigch
  • Registratie: December 2006
  • Laatst online: 25-01 20:24
Grappig dat er wordt gepraat over de 30 passeren en ethical hacking oppakken - ik (ook een 30er) ben op het moment bezig om ethical hacking op te pakken, nadat ik heb geprobeerd een IT onderneming te starten. Echt nog in het begin - nu op mijn tweede course bij TCM, om mogelijk PNPT te halen. Ik wil mij meer gaan specialiseren, en ben uitgekomen op IT beveiliging, om die ‘vonk’ weer terug te krijgen. Zodoende uitgekomen bij ethical hacking, misschien omdat dat wat glamoureuzer is. :)

Ik ben echter nog wel benieuwd hoe iedereen hier aan het werk is - in (algemene) IT dienstverlening is het makkelijker om aan klussen te komen, maar ik heb het gevoel dat bij IT beveiliging het veel meer leunt op certificering en vertrouwen/authoriteit. In wat voor dienstverband werken jullie, en hoe zijn jullie daar terecht gekomen?

[Voor 0% gewijzigd door jeffreytigch op 30-10-2022 15:22. Reden: Te veel woorden]


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Ik was 37 toen ik m'n OSCP deed. Joh, ik werd op m'n 30e ouder van onze eerste en begon tegelijk aan een overstap van systeembeheer naar "meer security". Leeftijd is maar een nummertje.

Ik werk als ZZP-er tegenwoordig, maar de afgelopen dertien jaar was ik consultant voor een heel klein bedrijfje. Ik werd/word ingehuurd voor projecten waar men een set specifieke kennis en ervaring nodig hebben. De vereiste skills verschillen nog al eens, dus vooral blijven leren en bij-leren is het devies.

OSCP heb ik lang geleden gedaan. Ben ik ooit gaan pentesten? Nee, dat is niet een titel die je op mijn CV zal zien staan. Maar wat ik heb geleerd, is wel enorm nuttig geweest.

Liege, liege, liegebeest!


  • xehexehex
  • Registratie: Februari 2017
  • Laatst online: 24-01 15:39
Zijn er nog leuke dingen te doen, met het nieuwe STAP-budget van/voor 1 november? Kwam er de laatste keer niet doorheen. Bij voorkeur wat meer technische zaken, niet dat hoog-over gelul ;).

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Positron schreef op zaterdag 29 oktober 2022 @ 04:11:
In de afgelopen jaren heb ik een aantal certificeringen verzameld. Op het gebied van cybersecurity heb ik:
  • CISSP
  • CISM
  • CEH
  • CCSP
Mijn werkervaring is vooral op het gebied van product- en projectmanagement, met nadruk op cybersecurity. En mijn ambities liggen in het verlengde daarvan, maar ook in operationeel management van IT-security.

Zelf zit ik niet al te diep in de techniek, maar de mensen waarmee of waarvoor ik werk zijn dat vaak wel. De techniek rondom cybersecurity maakt het ook interessant, maar ik ben de 30 ruim gepasseerd en heb niet het talent en de passie om zelf nog hacker/pentester te worden. Ik vind het wel belangrijk en ook leuk om de gebruikte methoden te begrijpen, dus daarom heb ik CEH eens gedaan. Dat vond ik qua opzet echter geen briljante cursus. Leuk om eens met Linux en CLI in aanraking te komen, maar verder was het tientallen tools bekijken en verder weinig van geleerd.

Nu heb ik de kans om via werk aan een on-demand SANS-cursus deel te nemen. De vraag is nu: wat moet ik kiezen?

Ik wil echt wel iets nieuws leren, dus voorkomen dat ik CISSP of CEH ga herhalen, maar beiden zijn alweer even geleden en wat weggezakt. Is SEC401 (GSEC) de moeite en sluit dat aan op wat ik al heb? Of beter eentje die security management behandelt, zoals MGT512 (GSLC) of beter een van de Advanced Management courses.

Het is erg lastig kiezen, omdat ik niet goed kan bepalen of het meerwaarde heeft om reeds behandelde topics met SANS nog eens over te doen. En in hoeverre de meer technische courses voor mij te doen zijn en meerwaarde hebben. Advies is dus zeer welkom. :)
Ik ben zelfs nog wat ouder, en heb op CEH na hetzelfde rijtje. En ben nu bezig voor een master en als dat hem niet wordt, ga ik ook de offensieve kant op. Merk toch echt dat kennis van de offensieve kant cruciaal is als je prioriteiten moet stellen, moet verdedigen, of moet uitleggen waarom je iets wel of niet doet.

  • jeffreytigch
  • Registratie: December 2006
  • Laatst online: 25-01 20:24
oak3 schreef op maandag 31 oktober 2022 @ 10:58:
[...]


Ik ben zelfs nog wat ouder, en heb op CEH na hetzelfde rijtje. En ben nu bezig voor een master en als dat hem niet wordt, ga ik ook de offensieve kant op. Merk toch echt dat kennis van de offensieve kant cruciaal is als je prioriteiten moet stellen, moet verdedigen, of moet uitleggen waarom je iets wel of niet doet.
Dat dacht ik dus ook - of ik nu de offensieve kant op ga, of toch defensief, je moet toch weten wat een aanvaller kan aanrichten. Checklistjes kan iedereen wel afgaan. :)

  • slashdev
  • Registratie: Juli 2007
  • Laatst online: 21:59

PSN ID= initsix, steamid = slashdev


  • Positron
  • Registratie: December 2001
  • Laatst online: 21-01 13:29

Positron

Immer positief! +1,6*10^-19 C

daily.data.inj schreef op zaterdag 29 oktober 2022 @ 08:38:
[...]


Als ik de informatie op de SANS website lees lijkt mij de SEC401 (GSEC) weinig toevoegen. Dit vanwege de certificeringen die je al hebt. De MGT512 (GSLC) lijkt op papier wel interessant voor jouw achtergrond en doel, de MGT551 (GSOM) past ook in dit straatje volgens mij met het oog op operationeel management.

Ben zelf trouwens ook ruim de 30 gepasseerd en heb zeker het talent niet, maar heb er toch voor gekozen om te starten met offensive security vanwege mijn interesse (OSCP). Benieuwd of dat over een paar maandjes gaat lukken of dat ik van een koude kermis terugkom :9 .
Het is toch MGT512 geworden, omdat de keuzevrijheid momenteel wat beperkt is bij mijn werkgever. De Demo van on-demand beviel goed en het is een mooie verscheidenheid aan onderwerpen. Prima om mee te starten in de MGT-serie. Hopelijk kunnen andere courses later ook. Dan is MGT551 zeker een interessante. Een deel ervan komt in MGT512 gelukkig ook terug.

Ik lees verder nog leuke reacties omdat ik de leeftijd 30+ had benoemd. Goed dat jullie dat ook wat in perspectief plaatsen. Als je het op een andere manier bekijkt mag ik natuurlijk nog 30+ jaar werken. Dan is er tijd zat om meer te kijken naar wat je zelf leuk vindt i.p.v. wat carrière-technisch het best past. Reden dat ik het noemde is vooral omdat ik niet meer verwacht om er écht goed in te worden.

Het lijkt me mooie uitdaging om ooit nog OSCP te behalen, maar ik verwacht dat alleen een cursus daarvoor onvoldoende is. Dat betekent voor mij een zeer lange aanlooptijd. En met een jong gezin is de tijd voor hobbyen beperkt, zeker als je ook wilt sporten. ;)

Garmin Fenix 6 Sapphire | Swim.. Bike.. Run!


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

jeffreytigch schreef op zondag 30 oktober 2022 @ 15:22:
Grappig dat er wordt gepraat over de 30 passeren en ethical hacking oppakken - ik (ook een 30er) ben op het moment bezig om ethical hacking op te pakken, nadat ik heb geprobeerd een IT onderneming te starten. Echt nog in het begin - nu op mijn tweede course bij TCM, om mogelijk PNPT te halen. Ik wil mij meer gaan specialiseren, en ben uitgekomen op IT beveiliging, om die ‘vonk’ weer terug te krijgen. Zodoende uitgekomen bij ethical hacking, misschien omdat dat wat glamoureuzer is. :)

Ik ben echter nog wel benieuwd hoe iedereen hier aan het werk is - in (algemene) IT dienstverlening is het makkelijker om aan klussen te komen, maar ik heb het gevoel dat bij IT beveiliging het veel meer leunt op certificering en vertrouwen/authoriteit. In wat voor dienstverband werken jullie, en hoe zijn jullie daar terecht gekomen?
Haha nouuuu dat glamoreuze moeten we het nog even over hebben :+

Gewoon voltijd en via mijn netwerk. Overgestapt vanaf systeembeheer, en dat sloot wel zo lekker aan.

En ja de business draait wel op certificeringen, zeker de praktijk certificaten. En dat komt naar mijn idee ook omdat er een boel "security" bedrijven zijn die kwalitatief niks toevoegen. Die draaien wat kwetsbaarheidscans in een rapport en smijten dat over de schutting. Maar dat kan elke halve tamme wel en daar hebben je klanten vrij weinig aan.

Bedrijven komen er nu toch achter dat cybersecurity iets meer is dan een corporate hype woord, maar daadwerkelijk een expertise is. En dan kiezen bedrijven voor aantoonbare kennis, bijv. door het eisen van bepaalde praktijk gerichte certificeringen, zoals OSCP of je HTB profiel of een blog o.i.d.

(disclaimer: dit is wat ik als pentester merk)
Liegebeest schreef op zondag 30 oktober 2022 @ 18:38:
Ik was 37 toen ik m'n OSCP deed. Joh, ik werd op m'n 30e ouder van onze eerste en begon tegelijk aan een overstap van systeembeheer naar "meer security". Leeftijd is maar een nummertje.

Ik werk als ZZP-er tegenwoordig, maar de afgelopen dertien jaar was ik consultant voor een heel klein bedrijfje. Ik werd/word ingehuurd voor projecten waar men een set specifieke kennis en ervaring nodig hebben. De vereiste skills verschillen nog al eens, dus vooral blijven leren en bij-leren is het devies.

OSCP heb ik lang geleden gedaan. Ben ik ooit gaan pentesten? Nee, dat is niet een titel die je op mijn CV zal zien staan. Maar wat ik heb geleerd, is wel enorm nuttig geweest.
Nice, ik weet niet of ik dat zou durven om ZZP'er te worden :+ OSCP leert je op z'n minst de methodiek en denkwijze, en dat is denk ik in alle takken van security wel nuttig.
Positron schreef op donderdag 3 november 2022 @ 00:59:
[...]

Het lijkt me mooie uitdaging om ooit nog OSCP te behalen, maar ik verwacht dat alleen een cursus daarvoor onvoldoende is. Dat betekent voor mij een zeer lange aanlooptijd. En met een jong gezin is de tijd voor hobbyen beperkt, zeker als je ook wilt sporten. ;)
OSCP is een cursus, met praktische opdrachten in je eigen omgeving en heeft daarnaast een "lab" met enorm veel uitdagende machines om jezelf voor te bereiden op het examen. Ja het kost veel tijd, maar als je een beetje consistent er mee aan de slag kan moet het zeker te doen zijn. DM me maar als je verder nog vragen/twijfels hebt ;)

  • DiffieHM
  • Registratie: Juni 2020
  • Laatst online: 22-01 09:43
Iemand ervaring hier met CyberArk certificatie? Vorige week mijn eerste examen (succesvol :+) afgelegd, maar momenteel nog niet zichtbaar op de training portal. Ik veronderstel dat dit automatisch in orde komt na een tijdje?

edit: Ondertussen reeds in orde

[Voor 7% gewijzigd door DiffieHM op 18-11-2022 18:18]


  • GDAHAGA
  • Registratie: Februari 2018
  • Laatst online: 01-12-2022
Ik ben op zoek naar mensen die ervaring hebben met CBP/Certified BIO Professional / Baseline Informatiebeveiliging Overheid.
heb op google gezocht, vond paar links naar bv's die trainingen geven en ook certificeren. enigste open lijkende , die niet achter allerlei offertes schuilde, leek van haren publications bv, ze hebben paar websites, waar ze het boek voor 100 euro aanbieden, en examens voor 250 dacht ik.

Ik heb gezocht naar ervaringen met dit bedrijf, kon geen vinden, heb contact opgenomen met ze, middels emails naar verschillende mail adressen om meer informatie, nu 3 dagen geen reply.

Dus dacht ik stel de vraag hier. Zitten er mensen hier met een BIO certificaat ? zo ja, graag jullie ervaring mbt verkrijgen ervan, welke bedrijven, welke mogelijkheden tot oficiele examenatie / erkenning zijn er ?

Ik heb de studies nagekeken, lijken niet te moeilijk, ik ben all CISSP, en Security+ en Itil en nog paar andere erbij. Maar dacht, Is toch goed om een officiele NL certificatie te hebben die voor werken bij de Overheid makkelijker maakt.

alvast dank voor input.

  • slashdev
  • Registratie: Juli 2007
  • Laatst online: 21:59
GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik ben op zoek naar mensen die ervaring hebben met CBP/Certified BIO Professional / Baseline Informatiebeveiliging Overheid.
Ik heb er vandaag toevallig naar zitten kijken en computrain en Global geven deze cursus
Zoals ik het lees in de eisen is de cursus verplicht
Aantal vragen: 60
Tijd (minuten) voor het examen: 60
% minimaal goed om te slagen 70% (32 vragen)
Open boek en online examen: (geen proctor)

Certificering bestaat uit 3 vereiste onderdelen:
•             16 uur training (inclusief praktijkopdracht)
•             Behalen van de praktijkopdracht
•             Behalen van het multiple-choice examen

Ik zou wachten tot er een actie is bij global en je moet het wel heel bond maken om hiervoor te zakken. (ps geen badge;- )

PSN ID= initsix, steamid = slashdev


  • Stufferdt
  • Registratie: December 2014
  • Laatst online: 23:00

Stufferdt

Oe ist?

GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik ben op zoek naar mensen die ervaring hebben met CBP/Certified BIO Professional / Baseline Informatiebeveiliging Overheid.
heb op google gezocht, vond paar links naar bv's die trainingen geven en ook certificeren. enigste open lijkende , die niet achter allerlei offertes schuilde, leek van haren publications bv, ze hebben paar websites, waar ze het boek voor 100 euro aanbieden, en examens voor 250 dacht ik.

Ik heb gezocht naar ervaringen met dit bedrijf, kon geen vinden, heb contact opgenomen met ze, middels emails naar verschillende mail adressen om meer informatie, nu 3 dagen geen reply.

Dus dacht ik stel de vraag hier. Zitten er mensen hier met een BIO certificaat ? zo ja, graag jullie ervaring mbt verkrijgen ervan, welke bedrijven, welke mogelijkheden tot oficiele examenatie / erkenning zijn er ?

Ik heb de studies nagekeken, lijken niet te moeilijk, ik ben all CISSP, en Security+ en Itil en nog paar andere erbij. Maar dacht, Is toch goed om een officiele NL certificatie te hebben die voor werken bij de Overheid makkelijker maakt.

alvast dank voor input.
BIO is qua opzet gelijk aan de ISO 27001. Ik zou dus eventueel kijken om je hier verder in te verdiepen. Mooie basis hiervoor is dit boek van Cees van der Wens eens doornemen: Handboek ISO27001.

Qua trainingen zou je dus kunnen kijken naar een goede inhoudelijke training ISO 27001.

  • Scoro
  • Registratie: December 2012
  • Laatst online: 22:07
Stufferdt schreef op woensdag 30 november 2022 @ 21:02:
[...]


BIO is qua opzet gelijk aan de ISO 27001. Ik zou dus eventueel kijken om je hier verder in te verdiepen. Mooie basis hiervoor is dit boek van Cees van der Wens eens doornemen: Handboek ISO27001.

Qua trainingen zou je dus kunnen kijken naar een goede inhoudelijke training ISO 27001.
Dit.
Jezelf certificeren tegen iets wat zowat niet terug komt in praktijk zou ik afraden.

Ik ben binnen de overheid nog niemand tegengekomen met een BIO certificering. En ik zie ook in de vacatures van de rijksoverheid deze niet terugkomen.
Dan heeft iets van ISO 27k1 meer waarde.
GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik heb de studies nagekeken, lijken niet te moeilijk, ik ben all CISSP, en Security+ en Itil en nog paar andere erbij. Maar dacht, Is toch goed om een officiele NL certificatie te hebben die voor werken bij de Overheid makkelijker maakt.
Als je ook kijkt naar schaal 11/12/13 dan komt CISM naast CISSP vaak terug.
Dus dat zou dan eerder je kansen vergroten.
BIO kennis (als je al niet binnen de overheid zit) zou ik dan ophalen/bewijzen met een cursus/training via IBD van het VNG of via het CIP.

  • GDAHAGA
  • Registratie: Februari 2018
  • Laatst online: 01-12-2022
slashdev schreef op woensdag 30 november 2022 @ 20:42:
[...]

Ik heb er vandaag toevallig naar zitten kijken en computrain en Global geven deze cursus
Zoals ik het lees in de eisen is de cursus verplicht
Aantal vragen: 60
Tijd (minuten) voor het examen: 60
% minimaal goed om te slagen 70% (32 vragen)
Open boek en online examen: (geen proctor)

Certificering bestaat uit 3 vereiste onderdelen:
•             16 uur training (inclusief praktijkopdracht)
•             Behalen van de praktijkopdracht
•             Behalen van het multiple-choice examen

Ik zou wachten tot er een actie is bij global en je moet het wel heel bond maken om hiervoor te zakken. (ps geen badge;- )
Deze had ik inderdaad gezien, maar inderdaad verplichte studie, terwijl BIO en 27001 voor mij als CISSP-er niets nieuws is, ik heb de 27001 bestudeerd, het is een basis versie van CISSP en Security+ dus in mijn ogen totale tijdsverspilling, daarom dacht ik te kijken naar een examinator.

  • GDAHAGA
  • Registratie: Februari 2018
  • Laatst online: 01-12-2022
Scoro schreef op woensdag 30 november 2022 @ 21:28:
[...]


Dit.
Jezelf certificeren tegen iets wat zowat niet terug komt in praktijk zou ik afraden.

Ik ben binnen de overheid nog niemand tegengekomen met een BIO certificering. En ik zie ook in de vacatures van de rijksoverheid deze niet terugkomen.
Dan heeft iets van ISO 27k1 meer waarde.


[...]


Als je ook kijkt naar schaal 11/12/13 dan komt CISM naast CISSP vaak terug.
Dus dat zou dan eerder je kansen vergroten.
BIO kennis (als je al niet binnen de overheid zit) zou ik dan ophalen/bewijzen met een cursus/training via IBD van het VNG of via het CIP.
Je komt het inderdaad weinig tegen, maar eenmaal als je bijvoorbeeld een software pakket in gebruik wil nemen, dan moet het eerst via een BIO certified collega, als ik het zelf zou bezitten als titeltje / badge / bewijs, dan hoef ik niet eerst bij iemand langs, kan ik het zelf doornemen en beslissen of het past binnen onze regels of niet.

  • GDAHAGA
  • Registratie: Februari 2018
  • Laatst online: 01-12-2022
Stufferdt schreef op woensdag 30 november 2022 @ 21:02:
[...]


BIO is qua opzet gelijk aan de ISO 27001. Ik zou dus eventueel kijken om je hier verder in te verdiepen. Mooie basis hiervoor is dit boek van Cees van der Wens eens doornemen: Handboek ISO27001.

Qua trainingen zou je dus kunnen kijken naar een goede inhoudelijke training ISO 27001.
de 27001 is tenminste direct beschikbaar bij exin inderdaad, iedereen kan de examen doen. Maar of het meerwaarde heeft voor mij omdat ik al CISSP ben, en ook Security+ heb, is de vraag.

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
CISSP is meer een technische en tactische certificaat, terwijl een ISO27001 certificaat meer gaat over het implementeren, beheren en verbeteren van een management systeem. Hebben dus in de basis niet veel met elkaar te maken. Dan zou dus een ISO27001 Lead Implementer of CISM handiger zijn.

Daarnaast, zoals hierboven beschreven, stelt BIO niet zoveel voor. Heb het een stuk of 8 keer geïmplementeerd bij bedrijven die diensten leverde aan overheidsinstanties en het is zeker geen hogere wiskunde.

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Voor iedereen die bij-de-tijd willen blijven met goede informatie over IT Security en DevSecOps: TLDR;Sec bieden een regelmatige nieuwsbrief​​​​​​​ waarin ze een berg nuttig nieuws en kennis met je delen, zodat je niet zelf een RSS-reader en tig websites in de gaten hoeft te houden. Smile

Liege, liege, liegebeest!


  • Grim
  • Registratie: September 2010
  • Laatst online: 23-01 22:45
Geen security certificering maar toch het delen waard. De jaarlijkse SANS Holiday Hack Challenge (KringleCon) staat weer online.

https://www.sans.org/mlp/holiday-hack-challenge/

[Voor 5% gewijzigd door Grim op 10-12-2022 21:52]

Steam: Grim


  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 21:59
Ok, de jongste (10) heeft plotseling volle bak interesse in Ethical Hacking. In het kader van "ijzer smeden als het heet is": welke resources kunnen jullie aanbevelen om hem verder te helpen die aansluiten bij de leeftijd? De spullen op mijn plank doen dat niet echt ...

ZZP'er en kijken of MoneyMonk iets voor jou is? DM me voor 50% korting in het eerste jaar (en ik 'n cadeaubon)!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Hmmbob schreef op zondag 11 december 2022 @ 17:35:
Ok, de jongste (10) heeft plotseling volle bak interesse in Ethical Hacking. In het kader van "ijzer smeden als het heet is": welke resources kunnen jullie aanbevelen om hem verder te helpen die aansluiten bij de leeftijd? De spullen op mijn plank doen dat niet echt ...
"Bandit" van "OverTheWire" en de online academy van Port Swigger. Leuke en gratis spullen om mee te beginnen.

Liege, liege, liegebeest!


  • Skywalker27
  • Registratie: Maart 2012
  • Laatst online: 12:50
Hmmbob schreef op zondag 11 december 2022 @ 17:35:
Ok, de jongste (10) heeft plotseling volle bak interesse in Ethical Hacking. In het kader van "ijzer smeden als het heet is": welke resources kunnen jullie aanbevelen om hem verder te helpen die aansluiten bij de leeftijd? De spullen op mijn plank doen dat niet echt ...
https://cqureacademy.com

  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Liegebeest schreef op zondag 11 december 2022 @ 18:50:
[...]

"Bandit" van "OverTheWire" en de online academy van Port Swigger. Leuke en gratis spullen om mee te beginnen.
Die zijn voor een 10 jarige aardig heftig. De uitleg van Port Swigger is vaak niet toereikend. OverTheWire is denk ik wel echt een toffe om je Linux skills te vergroten (iig de eerste ronde).

@Hmmbob Al eens naar TryHackMe gekeken? Dat is grotendeels op pure beginners gericht.

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 21:59
Dank voor alle inputs, ik zal ze vandaag allemaal eens bekijken

ZZP'er en kijken of MoneyMonk iets voor jou is? DM me voor 50% korting in het eerste jaar (en ik 'n cadeaubon)!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Jaqenhghar schreef op maandag 12 december 2022 @ 08:42:
[...]


Die zijn voor een 10 jarige aardig heftig. De uitleg van Port Swigger is vaak niet toereikend. OverTheWire is denk ik wel echt een toffe om je Linux skills te vergroten (iig de eerste ronde).

@Hmmbob Al eens naar TryHackMe gekeken? Dat is grotendeels op pure beginners gericht.
Oh wacht! 10 jaar... Duh!

In dat geval Hack Shield.

Liege, liege, liegebeest!


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Liegebeest schreef op maandag 12 december 2022 @ 11:53:
[...]

Oh wacht! 10 jaar... Duh!

In dat geval Hack Shield.
Haha dit is wel echt gaaf! :D

  • daily.data.inj
  • Registratie: Januari 2019
  • Laatst online: 25-01 22:13
Metzie schreef op maandag 24 oktober 2022 @ 16:17:
Even een offtopic post, maar ik ga er vanuit dat hier veel ISC2 gecertificeerde leden zijn. Het ISC2 bestuur heeft een stemming uitgevaardigd over nieuwe vereniging regelementen die potentieel schadelijk zijn voor de leden en het imago van de vereniging. Lees in deze Linkedin-post meer over de voorgestelde wijzigingen en waarom elk lid NEE zou moeten stemmen.
Goed idee geweest om dit hier ook te posten. Zal ongetwijfeld hebben bijgedragen aan het uiteindelijke resultaat. Zag vanochtend onderstaande op de mail voorbijkomen:
Bylaw vote results
The (ISC)² Board of Directors submitted bylaw amendments to the membership. The amendments were put to a vote from October 19-November 19, 2022. Results of the vote were as follows:
6,545 members voted “AGAINST APPROVAL”
2,628 members voted “FOR APPROVAL”
292 members voted to “ABSTAIN”
The proposed amendments have not passed.

  • Hmmbob
  • Registratie: September 2001
  • Laatst online: 21:59
Liegebeest schreef op maandag 12 december 2022 @ 11:53:
[...]

Oh wacht! 10 jaar... Duh!

In dat geval Hack Shield.
Kleine is helemaal enthousiast. Top!

ZZP'er en kijken of MoneyMonk iets voor jou is? DM me voor 50% korting in het eerste jaar (en ik 'n cadeaubon)!


  • Metzie
  • Registratie: April 2000
  • Laatst online: 23-01 20:24

Metzie

Nyaano !

daily.data.inj schreef op donderdag 15 december 2022 @ 11:50:
[...]


Goed idee geweest om dit hier ook te posten. Zal ongetwijfeld hebben bijgedragen aan het uiteindelijke resultaat. Zag vanochtend onderstaande op de mail voorbijkomen:


[...]
Dank je wel voor de herinnering, ik heb het vanmorgen wel op Linkedin geplaatst maar nog niet in dit topic. Nu maar eens zien hoe serieus ISC2 de leden neemt en hoe leden gefaciliteerd blijven om invloed op het beleid uit te kunnen oefenen.

http://www.totalprogress.nl Computer reparatie en webdesign
I just hate it when the computer does what I tell it to do and not what I mean for it to do.


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Hmmbob schreef op donderdag 15 december 2022 @ 12:47:
[...]

Kleine is helemaal enthousiast. Top!
Kijk! Dat is super om te horen!

Er zijn ook community events, zoals bij Rabobank Kids' Day, waar met een hele school-groep door Hack Shield heen wordt gegaan.

Liege, liege, liegebeest!


  • TRON
  • Registratie: September 2001
  • Laatst online: 24-01 14:56
TRON schreef op zondag 13 maart 2022 @ 11:11:
[...]

Inmiddels is het GIAC GSTRT-certificaat behaald. :*)
En deze week in het bezit van het GIAC GSOM-certificaat.

De On Demand trainingen van SANS zijn best prima te doen. Geen gewacht meer op slots, niet verplicht 5 dagen aaneengesloten met de training bezig zijn. Voldoende tijd om de stof te laten bezinken, er goed over na te denken en het dan jezelf machtig te maken.

Nadeel van de On Demand trainingen is dat het sparren met medecursisten en de docent onmogelijk is. Er wordt dus ook geen netwerk opgebouwd. Je kan wel per mail sparren met een Subject Matter Expert, maar dat is toch niet hetzelfde als in een live omgeving.

Door fouten te maken, verdien je geld.


  • SunnieNL
  • Registratie: Maart 2002
  • Laatst online: 22:04
Afgelopen vrijdag mijn CISSP examen gedaan en... gehaald.

Ondanks dat ik hier lees dat het "makkelijk" is om te halen, ben ik het daar niet helemaal mee eens. De 120 vragen hebben me toch zo'n 3 uur gekost en vond zeker de eerste 60 niet de gemakkelijkste. Daarna ging het makkelijker en de laatste 20 waren van het niveau van de oefenexamens.
Uiteindelijk heeft me dit in de avonduren en weekenden ook zeker wel een uurtje of 250-300 gekost om doorheen te komen denk ik. Maar mogelijk komt het omdat ik voornamelijk ervaring heb op maar 2,5 domein en in dagelijks leven niet de security zaken op pak (ik help alleen met de technische verkoop van software oplossingen op het gebied van it security).

Waarom ik dan toch voor CISSP gekozen heb? Om meer dezelfde taal te praten en te denken als security c-level/management. Ik ben zelf altijd nogal technisch geweest. CISSP is dan ook wel een uitdaging, omdat ik bij antwoorden soms nog wel eens op het geval het technisch antwoord selecteerde ipv het management antwoord. Ook helpt het beter intern te communiceren met ons c-level/hoger product management. Dus ik zag er wel het voordeel in om voor CISSP te kiezen.

Nu de endorsement nog door. Heb een van onze interne security mensen bereid gevonden om de endorsement af te geven. Die kent mij ook al 6 jaar. Bij mijn vorige werkgever ook iemand bereidt gevonden om als supervisor contact te staan (was nog even een uitdaging, gezien ik er al 6,5 jaar weg ben en een hoop van mijn managers ook verdwenen zijn bij Centric ;) )

Hoe uitgebreid moet de uitleg zijn van de endorsement? Ik heb het nu redelijk samengevat gehouden wat ik gedaan heb, welke domeinen het onder valt.


Voor degenen die nog van plan zijn te gaan blokken voor CISSP. Mijn advies: neem Linkedin Learning en volg de training van Mike Chapple en zoek op youtube de 'samenvatting' CISSP exam cram van Pete Zerger (inside cloud and security). Daarnaast raad ik het officiele studieboek aan en ik had ook heel veel aan de 'how to think as a manager for the CISSP exam' (vind je vast wel ergens op internet). Ik had ook toegang tot de officiele elearning van ISC2, maar die zou ik echt links laten liggen. Die is echt ontzettend slecht, zowel in de presentatie, slides als stof die ze je geven. Als ik dat vergelijk met hun CC elearning, dan is die van CISSP echt stappen achteruit.

Signature here?


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Van harte gefeliciteerd met je harde werk! Kudos en dikke duim!

Liege, liege, liegebeest!


  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
@SunnieNL Gefeliciteerd! Een vraagje, als je beter wilt communiceren met het management, waarom heb je niet voor CISM gekozen? CISSP is juist wat technischer van aard en gaat over van alles en nog wat, terwijl CISM heel duidelijk gaat over bedrijfsdoelstellingen, strategie, wanneer we erbij betrekken, enzovoorts.

Aan alle anderen, nu NIS2 gepubliceerd is en indien werkzaam bij een organisatie dat binnen de reikwijdte valt, hoe gaan jullie hiermee om? De richtlijnen zijn duidelijk, maar overstijgen bijvoorbeeld zeker niet het niveau van ISO27K1. Meningen/visie?

  • SunnieNL
  • Registratie: Maart 2002
  • Laatst online: 22:04
Orangelights23 schreef op woensdag 28 december 2022 @ 19:34:
@SunnieNL Gefeliciteerd! Een vraagje, als je beter wilt communiceren met het management, waarom heb je niet voor CISM gekozen? CISSP is juist wat technischer van aard en gaat over van alles en nog wat, terwijl CISM heel duidelijk gaat over bedrijfsdoelstellingen, strategie, wanneer we erbij betrekken, enzovoorts.
Ik vond zelf dat CISSP beter aansloot bij mijn werk (sales engineer). Mijn werkwereld ligt tussen technisch en management en CISSP hinkt daar ook tussen, met een meer denkrichting naar management. Had het idee dat ik daar meer aan had gezien ik met alle partijen praat (alleen dan met een andere focus tijdens het gesprek).
Daarnaast denk ik niet dat ik de 5 jaar ervaring in de domeinen van Cism heb, terwijl ik die al wel had in cissp (gezien ik in het verleden veel meer op technisch vlak zat).

Signature here?


  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
SunnieNL schreef op woensdag 28 december 2022 @ 21:45:
[...]


Ik vond zelf dat CISSP beter aansloot bij mijn werk (sales engineer). Mijn werkwereld ligt tussen technisch en management en CISSP hinkt daar ook tussen, met een meer denkrichting naar management. Had het idee dat ik daar meer aan had gezien ik met alle partijen praat (alleen dan met een andere focus tijdens het gesprek).
Daarnaast denk ik niet dat ik de 5 jaar ervaring in de domeinen van Cism heb, terwijl ik die al wel had in cissp (gezien ik in het verleden veel meer op technisch vlak zat).
Helder, logisch. Ik zie veel mensen CISSP halen omdat ze ‘manager of CISO willen worden’, maar daar is dat certificaat helemaal niet geschikt voor. Dat is meer operationeel/tactisch en CISM is meer tactisch/strategisch. Hoe dan ook zijn het allebei goede certificaten om te hebben, ondanks dat het ouderwets stampen op zijn Amerikaans is :P

  • Metzie
  • Registratie: April 2000
  • Laatst online: 23-01 20:24

Metzie

Nyaano !

Orangelights23 schreef op woensdag 28 december 2022 @ 19:34:

Aan alle anderen, nu NIS2 gepubliceerd is en indien werkzaam bij een organisatie dat binnen de reikwijdte valt, hoe gaan jullie hiermee om? De richtlijnen zijn duidelijk, maar overstijgen bijvoorbeeld zeker niet het niveau van ISO27K1. Meningen/visie?
Ja, ik werk in de drinkwater sector en wij vallen nu ook al onder de WBNI en straks onder NIS-2. De wet zegt niet veel meer dan stel je scope vast, breng je risico's in kaart, neem voldoende maatregelen en leg alles vast in je ISMS.. Interessant is wel dat de wet bepaalde maatregelen "verplicht" stelt maar mijn inziens is dat ook gewoon comply or explain. (dus als je goede reden hebt om af te wijken dan mag dat, mits onderbouwd in je ISMS)

Interessant is wel dat er verplichte cybersecurity training voor het hoger management en board of directors verplicht is evenals dat de directeur / bestuurdvoorzitter hoofdelijk aansprakelijk is voor cybersecurity. Dus dat geeft wel een extra stimulans voor bedrijven om het wel serieus te nemen.

Als je meer wilt weten de FERM (Haven ISAC) heeft een aantal sessies over de NIS-2 publiek op internet gepubliceerd.

[Voor 7% gewijzigd door Metzie op 29-12-2022 09:49]

http://www.totalprogress.nl Computer reparatie en webdesign
I just hate it when the computer does what I tell it to do and not what I mean for it to do.


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Wel security, geen certificering... maar wilde het toch delen met "mijn matties". :D
My colleague and I have often wondered about people leaving their laptops unattended and unlocked. We've found them in offices, in restaurants and even lavatories! 🫣

This inspired me to do a co-op with my daughter, who took my character design for the #pentest fairy and put her own twist on it. We now have a stack of vinyl stickers (safely removable!) which you can slap on any abandoned hardware. ⚠️

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Orangelights23 schreef op woensdag 28 december 2022 @ 19:34:
Aan alle anderen, nu NIS2 gepubliceerd is en indien werkzaam bij een organisatie dat binnen de reikwijdte valt, hoe gaan jullie hiermee om? De richtlijnen zijn duidelijk, maar overstijgen bijvoorbeeld zeker niet het niveau van ISO27K1. Meningen/visie?
Whelp, ik moet geloof ik het een en ander bij gaan lezen. :'(

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Metzie schreef op donderdag 29 december 2022 @ 07:39:
[...]
Als je meer wilt weten de FERM (Haven ISAC) heeft een aantal sessies over de NIS-2 publiek op internet gepubliceerd.
Held. _/-\o_

Op mijn ToDo lijst.

Liege, liege, liegebeest!


  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Metzie schreef op donderdag 29 december 2022 @ 07:39:
[...]
Interessant is wel dat er verplichte cybersecurity training voor het hoger management en board of directors verplicht is evenals dat de directeur / bestuurdvoorzitter hoofdelijk aansprakelijk is voor cybersecurity. Dus dat geeft wel een extra stimulans voor bedrijven om het wel serieus te nemen.
Hoofdelijke aansprakelijkheid is echt een game changer. Op financieel gebied heb je dat ook, volgens mij na het Enron schandaal. En als bestuurders ergens allergisch voor zijn is het persoonlijke aansprakelijkheid.

Simpel iets, die bestuurder koos tot nu toe liever voor niet patchen als het de business geld kost en zal nu kiezen om wel te patchen omdat het anders uit zijn eigen broekzak komt als het mis gaat

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 25-01 16:41
Orangelights23 schreef op woensdag 28 december 2022 @ 21:56:
[...]


Helder, logisch. Ik zie veel mensen CISSP halen omdat ze ‘manager of CISO willen worden’, maar daar is dat certificaat helemaal niet geschikt voor. Dat is meer operationeel/tactisch en CISM is meer tactisch/strategisch. Hoe dan ook zijn het allebei goede certificaten om te hebben, ondanks dat het ouderwets stampen op zijn Amerikaans is :P
Ik zie het een beetje zo. Een business persoon / manager die CISO wil worden, heeft veel aan CISSP omdat het op een goed niveau alle cyber security aspecten raakt, waaronder de technische.

Voor een techneut met cyber security ervaring die CISO wil worden, is CISM veel beter. Uit de techniek en meer hoe je Cyber Security moet aansturen.

  • Orangelights23
  • Registratie: Maart 2014
  • Laatst online: 20:33
oak3 schreef op donderdag 29 december 2022 @ 20:22:
[...]


Ik zie het een beetje zo. Een business persoon / manager die CISO wil worden, heeft veel aan CISSP omdat het op een goed niveau alle cyber security aspecten raakt, waaronder de technische.

Voor een techneut met cyber security ervaring die CISO wil worden, is CISM veel beter. Uit de techniek en meer hoe je Cyber Security moet aansturen.
Ik snap je gedachtegang. Ik ben zelf CISO bij een bedrijf met 2000 mensen waarbij we veel te maken hebben met governance. Voor de techniek heb ik mijn mensen, in deze organisatie wordt van de CISO verwacht dat diegene cyber security volledig afstemt op de business en daar past CISM weer veel beter bij. Hoe dan ook, beide certificaten bieden een goede basis.

  • NLKornolio
  • Registratie: Februari 2010
  • Laatst online: 20:17

NLKornolio

BF3/BF4: NLKornolio

*knip* dit lijkt geen vraag maar puur referral-spam. Nu al gezakt voor het examen ;)

[Voor 97% gewijzigd door F_J_K op 03-01-2023 08:39]

BAV nodig, via deze link verdienen jij en ik 50,-Insify referral


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

oak3 schreef op donderdag 29 december 2022 @ 20:17:
[...]

En als bestuurders ergens allergisch voor zijn is het persoonlijke aansprakelijkheid.
En helaas een boel managers net zo.

Daarom verloopt bij een boel bedrijven nog steeds de ISO implementatie / naleving zo traag als dikke stront door een trechter. Stel je voor dat je ineens moet werken / zorgen dat zaken op orde zijn :+ /rant


Dat gezegd hebbende, voor een ieder die zich wil verdiepen in web application security, kan ik Web Academy van Portswigger van harte aanbevelen. https://portswigger.net/web-security

Ben nu er nu een paar weken mee bezig en ben ongeveer op 60% van de stof.

Pros:
- Graties!
- Gaat een stuk verder dan de OSWA (WEB-200 van Offsec) op moment van schrijven
- Eigen instances
- Leerpad met opbouwende moeilijkheidsgraad
- Ruime instructies over hoe je moet voorbereiden op het examen
- Geen sneaky verwachtingen (als je OSCP hebt gedaan weet je wat ik bedoel)

Cons:
- Sommige stukjes uitleg zijn niet optimaal. Dit kun je echter wel aanvullen door filmpjes op YouTube te kijken etc.
- Voor het examen heb je een BurpSuite licentie nodig. Ook hier valt een mouw aan te passen door een trial aan te vragen voor het examen.

[Voor 48% gewijzigd door Jaqenhghar op 03-01-2023 09:55]


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Ik ben al tijden fan van AntiSyphon's security trainingen. Ze hebben binnenkort een online summit, gevolgd door twee dagen van hun goede + goedkope trainingen.

https://www.antisyphontra...23-most-offensive-summit/

Ik doe dit jaar mee met de 1-daagse API hacking training.

Liege, liege, liegebeest!


  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Liegebeest schreef op vrijdag 6 januari 2023 @ 20:46:
Ik ben al tijden fan van AntiSyphon's security trainingen. Ze hebben binnenkort een online summit, gevolgd door twee dagen van hun goede + goedkope trainingen.

https://www.antisyphontra...23-most-offensive-summit/

Ik doe dit jaar mee met de 1-daagse API hacking training.
API hacking staat hier nog op het lijstje.
Kan wel het boek van Corey J. Ball aanbevelen: Hacking API’s. (Ben daar ongeveer halverwege mee, het is een heel fijn boek, maar toen kwam ik er achter dat mijn web app hacking skills toch nog een flink gat had, vandaar Portswigger Academy. )

Hij heeft ook sinds een paar maanden een online course over dat zelfde onderwerp, gratis. Maar daar kan ik nog geen oordeel over vellen.

[Voor 12% gewijzigd door Jaqenhghar op 06-01-2023 22:32]


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Jaqenhghar schreef op vrijdag 6 januari 2023 @ 22:27:
[...]
API hacking staat hier nog op het lijstje.
Kan wel het boek van Corey J. Ball aanbevelen: Hacking API’s.
Ik dacht even dat mijn training van dezelfde persoon was, maar nee. Dat is Cory Sabol. :D

Liege, liege, liegebeest!


  • xehexehex
  • Registratie: Februari 2017
  • Laatst online: 24-01 15:39
Liegebeest schreef op vrijdag 6 januari 2023 @ 20:46:
Ik ben al tijden fan van AntiSyphon's security trainingen. Ze hebben binnenkort een online summit, gevolgd door twee dagen van hun goede + goedkope trainingen.

https://www.antisyphontra...23-most-offensive-summit/

Ik doe dit jaar mee met de 1-daagse API hacking training.
Grappig, ken ze niet echt. Zit leuk spul tussen

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Harde lessen, van Lesley Carhart (@HacksForPancakes).

https://tisiphone.net/202...-cybersecurity-mentoring/

Nu ik de 44 aantik, met bijna 25 jaar carrière achter de rug, is't toch een goed idee om nog eens goed na te denken of ik nog wel goed bezig ben. Want toegegeven, ik heb de afgelopen jaren redelijk heen-en-weer gezwabberd wat betreft studies.

Ja, mijn rol als generalist, of als T/M-shaped engineer heeft me bij mijn klanten tot nu toe erg goed geholpen en ze hebben veel aan me gehad. Maar, is dit iets dat een lang leven is beschoren? Moet ik, naarmate ik ouder wordt, toch iets meer gaan specialiseren? Ik ben namelijk nergens echt specialist in. Lastig! Ik ga d'r eens goed over nadenken.

[Voor 3% gewijzigd door Liegebeest op 10-01-2023 20:05]

Liege, liege, liegebeest!


  • xehexehex
  • Registratie: Februari 2017
  • Laatst online: 24-01 15:39
Same, maar toch besloten wat meer generalistisch mijn ervaring en kennis op te blijven doen. Wellicht wat meer aandacht naar zaken die persoonlijk (meer) interessant zijn/vinden. Maar who am I :)

  • Jaqenhghar
  • Registratie: Augustus 2014
  • Laatst online: 20:04

Jaqenhghar

Valar morghulis

Liegebeest schreef op dinsdag 10 januari 2023 @ 20:04:
Harde lessen, van Lesley Carhart (@HacksForPancakes).

https://tisiphone.net/202...-cybersecurity-mentoring/

Nu ik de 44 aantik, met bijna 25 jaar carrière achter de rug, is't toch een goed idee om nog eens goed na te denken of ik nog wel goed bezig ben. Want toegegeven, ik heb de afgelopen jaren redelijk heen-en-weer gezwabberd wat betreft studies.

Ja, mijn rol als generalist, of als T/M-shaped engineer heeft me bij mijn klanten tot nu toe erg goed geholpen en ze hebben veel aan me gehad. Maar, is dit iets dat een lang leven is beschoren? Moet ik, naarmate ik ouder wordt, toch iets meer gaan specialiseren? Ik ben namelijk nergens echt specialist in. Lastig! Ik ga d'r eens goed over nadenken.
Grappig, ik denk juist de andere kant op. Specialisatie is leuk, maar op echt lange termijn is het misschien handig om wat breder ingezet te kunnen worden :+

en wat @xehexehex zegt: je moet het wel leuk vinden natuurlijk.

[Voor 3% gewijzigd door Jaqenhghar op 12-01-2023 08:44]


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Oh ik bedoel ook niet dat ik het roer omgooi, maar eerder dat ik weer eens een uurtje boek om te navelstaren. :)

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Ik heb gisteren veertien uur besteed and het CTMP examen (cert. threat modelling professional) van PDSO. Hier m'n ervaringen met het examen en de cursus.

https://www.kilala.nl/index.php?id=2570

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Ik ben de laatste tijd weer meer met zaken bezig die echt de Nederlandse overheid en security eisen raken.

Heeft iemand hier ervaring met deze training?

https://ib-p.nl/cursus-applicatiebeheer-en-de-bio/

Of... als je een andere cursus kan aanbevelen over de BIO (opvolger BIG/BIR/etc) dan hoor ik het graag. Ik vond 1200€ voor twee dagen wat gortig, maar hoor het graag als deze het echt waard is.

Ik zie dat er via Global Knowledge (voor mij meer vertrouwd) voor het zelfde geld een vergelijkbare cursus is, waar blijkbaar ook een examen aan hangt: CBP - Certified BIO Professional. Dat klinkt al interessanter.

Toegegeven, als ik de blog van die IB-P lui verder uitpluis, heb ik wel het idee dat ze weten waar ze het over hebben. Het snijdt hout en ik kan me in hun boodschappen vinden.

Maar toch: ervaringen?

[Voor 34% gewijzigd door Liegebeest op 18-01-2023 14:51]

Liege, liege, liegebeest!


  • NLKornolio
  • Registratie: Februari 2010
  • Laatst online: 20:17

NLKornolio

BF3/BF4: NLKornolio

Liegebeest schreef op woensdag 18 januari 2023 @ 14:02:
Ik ben de laatste tijd weer meer met zaken bezig die echt de Nederlandse overheid en security eisen raken.

Heeft iemand hier ervaring met deze training?

https://ib-p.nl/cursus-applicatiebeheer-en-de-bio/

Of... als je een andere cursus kan aanbevelen over de BIO (opvolger BIG/BIR/etc) dan hoor ik het graag. Ik vond 1200€ voor twee dagen wat gortig, maar hoor het graag als deze het echt waard is.

Ik zie dat er via Global Knowledge (voor mij meer vertrouwd) voor het zelfde geld een vergelijkbare cursus is, waar blijkbaar ook een examen aan hangt: CBP - Certified BIO Professional. Dat klinkt al interessanter.

Toegegeven, als ik de blog van die IB-P lui verder uitpluis, heb ik wel het idee dat ze weten waar ze het over hebben. Het snijdt hout en ik kan me in hun boodschappen vinden.

Maar toch: ervaringen?
Wortell/ms komt met nis2 workshop in februari.

BAV nodig, via deze link verdienen jij en ik 50,-Insify referral


  • Mmore
  • Registratie: Oktober 2006
  • Laatst online: 22:06
@Liegebeest; werk zelf veel met de BIO. Als je al aardig in 27001/2 zit dan ben je er al 90%. Je kan de BIO verder gewoon downloaden en een keer goed doornemen. Ik zou er persoonlijk niet voor op training gaan, dat geld kan je beter in een ISO lead auditor/implementer cursus steken imho - zo goed als dezelfde inhoud maar veel breder geaccepteerd in de markt. Mocht je overheidsspecifieke opdrachten gaan doen en je CV oid moeten verkopen dan kan je altijd voor de recruiters achter een line item met je 2700x cert ("BIO bij de overheid") zetten :P

AMD Ryzen 7 5800X | Gigabyte Aorus X570 ELITE | Ballistix Elite 4x8GB @3600Mhz CL16 | Samsung 950 Pro 256GB & Samsung 850 EVO 1TB | AMD Radeon 6800 XT Midnight Black | LG UltraGear 34GN850 | Pixel 3A


  • Scoro
  • Registratie: December 2012
  • Laatst online: 22:07
Mmore schreef op woensdag 18 januari 2023 @ 19:57:
@Liegebeest; werk zelf veel met de BIO. Als je al aardig in 27001/2 zit dan ben je er al 90%. Je kan de BIO verder gewoon downloaden en een keer goed doornemen. Ik zou er persoonlijk niet voor op training gaan, dat geld kan je beter in een ISO lead auditor/implementer cursus steken imho - zo goed als dezelfde inhoud maar veel breder geaccepteerd in de markt. Mocht je overheidsspecifieke opdrachten gaan doen en je CV oid moeten verkopen dan kan je altijd voor de recruiters achter een line item met je 2700x cert ("BIO bij de overheid") zetten :P
Dit dus.

Tevens heeft de ISO 27xxx een update gehad welke nog verwerkt moet worden in de BIO.
En dat.. gaat niet snel want een concept is pas eind dit jaar te verwachten.
Zie ook https://www.rijksoverheid...ersie-iso-27002-op-de-bio
en
https://www.bio-overheid....4zv-aan-isoiec-270022022/
zie tekst: "De nieuwe versie van de BIO (2.0) zal medio 2023 worden opgeleverd waarna het bestuurlijk besluitvormingsproces wordt opgestart."

Maar binnen overheidsorganisaties is men natuurlijk wel aan het kijken wat er aan komt.
Dus ISO 27xx 2022 training is het komende jaar zelfs meer waard. }:O

Nu ik toch reageer.
Vorige week het examen gedaan voor ISACA's Certified in the Governance of Enterprise IT (CGEIT) en ook gehaald. 8)

De waarde van meerdere certs halen is natuurlijk minder. Maar gefocused leren vanwege een doel, het examen is toch extra motivatie. Heb echt geen zin in een herexamen :P

CGEIT was interessant qua stof om te reflecteren waar het bij organisaties waar ik zat beter kon. Maar het is een dun boek met veel verwijzingen naar bestaande modellen.

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Ik heb nog nul ervaring met ISO 27k en eigenlijk verdomd weinig interesse er in. :D Ik ben vooral op zoek naar "ff snel" uitdokteren wat de basics zijn van de invloed op Nederlandse overheden.

Maar, duly noted: ik ga niet op cursus maar pak de officiële docu er bij, plus het CBIOP cursusboek. Dan kom ik er wel. :)

Bedankt!

Liege, liege, liegebeest!


  • slashdev
  • Registratie: Juli 2007
  • Laatst online: 21:59
Liegebeest schreef op woensdag 18 januari 2023 @ 20:38:
Ik heb nog nul ervaring met ISO 27k en eigenlijk verdomd weinig interesse er in. :D Ik ben vooral op zoek naar "ff snel" uitdokteren wat de basics zijn van de invloed op Nederlandse overheden.
Ik kan je dit boek aanraden

PSN ID= initsix, steamid = slashdev


  • Scoro
  • Registratie: December 2012
  • Laatst online: 22:07
De invloed die het meestal heeft is "compliant" zijn aan de BIO maar "in control" zijn is weer iets heel anders.
Je zou eens moeten kijken naar de rapporten van de AR en ADR op: https://www.rekenkamer.nl...ntwoordingsonderzoek-2021
Volgens mij scoort meer dan de helft van alle ministeries een onvoldoende op informatiebeveiliging door een onvolkomenheid.

Zie bijvoorbeeld:
Bij BZK https://www.rekenkamer.nl...volkomenheden-website.jpg
en
IenW https://www.rekenkamer.nl...volkomenheden-website.jpg

Effectieve informatiebeveiliging is het dus niet. Maar dat ligt meer aan de organisaties dan aan de BIO norm zelf. Hoewel die zijn nadelen heeft.

Mocht je defensie nog interessant vinden kijk dan is naar de ABDO:
https://www.defensie.nl/d...ta-s/2020/02/04/abdo-2019

  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Is dat wat, zelfs als 27k me eigenlijk echt niet interesseert? :D

Verder snap ik jullie punten en ben ik het ook met jullie eens: compliance != security, plus BIO << ISO27.

Liege, liege, liegebeest!


  • Metzie
  • Registratie: April 2000
  • Laatst online: 23-01 20:24

Metzie

Nyaano !

Liegebeest schreef op donderdag 19 januari 2023 @ 22:31:
[...]

Is dat wat, zelfs als 27k me eigenlijk echt niet interesseert? :D
Ik heb het boek (uiteraard), het beschrijft in redelijk normaal Nederlands een wijze waarop je invulling kan geven aan de 93 Annex-A controls uit de 27001.

Inderdaad compliance is niet gelijkwaardig aan security, maar het is de de-facto standaard om de "basis" van je security in te richten. Herinner people, process en technology. Als je geen HR maatregelen hebt zoals screening of functiescheiding dan kan je nog zoveel technische maatregelen hebben maar dan heb je bepaalde risico's wellicht onvoldoende afgedekt.

Het ligt er uiteindelijk aan welke kant jij jezelf wilt ontwikkelen, als je breder wilt gaan dan de techniek en meer op governance, risk en compliance dan is dit een van de handvaten (naast bijvoorbeeld de NIST cyber security framework en CIS Controls)

http://www.totalprogress.nl Computer reparatie en webdesign
I just hate it when the computer does what I tell it to do and not what I mean for it to do.


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Metzie schreef op vrijdag 20 januari 2023 @ 00:01:
[...]
Het ligt er uiteindelijk aan welke kant jij jezelf wilt ontwikkelen, als je breder wilt gaan dan de techniek en meer op governance, risk en compliance dan is dit een van de handvaten (naast bijvoorbeeld de NIST cyber security framework en CIS Controls)
Ik wil squarely in de techniek blijven, maar zeker nu ik weer bij overheid door de gangen struin zal het lonen om in elk geval mee te kunnen praten over BIO/BNN123 enz. Vandaar dat ik op die CBIOP uitkwam: het is net het toplaagje dat ik denk nodig te hebben. Hierna ga ik gewoon door met threat modelling en dingen als OpenShift.

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Met deze voel ik me lichtelijk getild.

https://www.bol.com/nl/nl...verheid/9300000017836272/

Het is letterlijk een gebonden Powerpoint: elke pagina een slide, met daar onder de notities. :|

Had ik de beschrijving beter moeten lezen:
In de Certified BIO Professional courseware is opgenomen:
• Trainer presentatie handout
• Proefexamen vragen
• Praktijkopdrachten
• Examen voorbereidingsgids
Maar ach, dan hoef ik de cursus niet meer te doen. :P

EDIT:
Okay, dat boek gaat terug.

De beloofde proefexamen vragen staan er niet in, de inleiding gaat niet over BIO maar over BISL en het is dus letterlijk slides uit de training. Echt zijn geld niet waard.

EDIT 2:
Ook het examen lijkt eigen zelf-bouw van die Van Haren lui te zijn; geen erkenning vanuit de overheid. Dus ik ga maar minder koppig zijn en op zijn minst eens kijken naar ISO27k foundations en de BIO eens goed doorlezen.

[Voor 67% gewijzigd door Liegebeest op 22-01-2023 18:15]

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: Februari 2002
  • Laatst online: 22:07
Helemaal gemist trouwens, maar:
Scoro schreef op woensdag 18 januari 2023 @ 20:35:
[...]
Vorige week het examen gedaan voor ISACA's Certified in the Governance of Enterprise IT (CGEIT) en ook gehaald. 8)
Van harte gefeli! Goed werk!

En de afkorting is hier in NL natuurlijk ook gewoon tof. :D

Ik hoor d'r graag meer over! Welke boeken/materialen/oefenvragen je hebt gebruikt en vooral of je vindt dat de stof en het cert iets bijdragen aan jouw ontwikkeling.

[Voor 18% gewijzigd door Liegebeest op 22-01-2023 18:36]

Liege, liege, liegebeest!


  • paella
  • Registratie: Juni 2001
  • Laatst online: 22:01
Voor zover niet al bekend: de SANS SEC504 course en het GCIH Incident Handler examen zijn gewoon echt leuk. :-D

Had maar liefst 99% score, weet ook precies welke is fout had. Niet vergelijkbaar qua moeilijkheid, maar ik raak wel steeds meer geïnteresseerd om naar OSCP toe te werken... :)

No production networks were harmed during this posting


  • Scoro
  • Registratie: December 2012
  • Laatst online: 22:07
Liegebeest schreef op zondag 22 januari 2023 @ 18:18:
Helemaal gemist trouwens, maar:


[...]

Van harte gefeli! Goed werk!
En de afkorting is hier in NL natuurlijk ook gewoon tof. :D

Ik hoor d'r graag meer over! Welke boeken/materialen/oefenvragen je hebt gebruikt en vooral of je vindt dat de stof en het cert iets bijdragen aan jouw ontwikkeling.
De afkorting is inderdaad }:O

Bij ISACA's examen gebruik ik altijd de officiële stof van ISACA zelf. Van het boek en dan de digitale vragenset die ze aanbieden. Erg duur, vooral die laatste want 150 dollar voor 1 jaar toegang.. Maar goed mijn baas vergoed dat. En het is een erg fijne tool om dagelijks paar vragen te oefenen. Want anders is de stof erg droog.

Verder zoals eerder vermeld verminderd de waarde van meervoudige certificeringen (voor de buitenwereld) i.r.t. tot praktijk of sector ervaring. En komt daarbij dat ik niet nog een certificeringsorganisatie erbij wil hebben naast ISACA / ISC2 / IAPP. Al genoeg kosten en CPE registratie ongein.

Maar aangaande ontwikkeling. In mijn optiek is Security een kwaliteitsaspect voor het doel van de organisatie. En je steunt voor de volwassenheid op andere kwaliteitsaspecten. Voor een IT organisatie zou dat ITIL kunnen zijn. Met als doel/gevolg inzicht in wat we hebben door een goed gevuld CMDB. Of correcte doorvoering van changes en registratie van incidenten.

Security naar een hoger volwassenheid brengen zonder andere kwaliteitsaspecten mee te nemen gaat niet werken.
Want eigenlijk is Security puur awareness, techniek en governance.
  • Techniek
  • Wat een continue proces is van updates/patchen/mitigatie/response. Indien de cyclus goed staat is dit weinig nieuws. Wat nu veilig is is morgen onveilig. Wat nu high-tech is binnenkort verouderd.
  • Awareness
  • Wat eigenlijk de risk cultuur is van de organisatie. Is veel breder dan de hedendaagse klik-niet-hier-op training. En kost jaren om dit goed op te pakken.
  • Governance
  • Welke overblijft en antwoord geeft over hoe security is ingericht in de organisatie. Is het IT security of Business Security. Werk je aan compliance of risk-based
CGEIT geeft een antwoord over hoe je governance zou moeten inrichten door IT goed aan de business te koppelen. En in dat model volgt security als sub-onderdeel ook.

Eigenlijk is dat de TLDR:
Voor effectieve security moet je eerst bouwen aan een effectieve organisatie.

  • Brainscrewer
  • Registratie: Juli 2009
  • Laatst online: 26-01 09:08
Vandaag de tweede dag SANS FOR572 *O*

  • slashdev
  • Registratie: Juli 2007
  • Laatst online: 21:59
Beetje offtopic; over studeren met flashcards

PSN ID= initsix, steamid = slashdev

Pagina: 1 ... 22 23 24 Laatste


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee