IT Security Certificeringen

Collega van me ook, wij beiden op onze eerste poging. Ik heb zes maanden gestudeerd en een week lang een review klas gehad. Hij heeft drie maanden voor z'n SSCP gestudeerd en daarna op de bonnefooi z'n CISSP ook gedaan. En nog gehaald ook!

Nu Whizzer nog!

[ Voor 87% gewijzigd door Liegebeest op 15-12-2010 05:31 ]

Over een kleine maand mag ik een CISSP bootcamp gaan doen: maandag beginnen, zaterdag examen. Voorlopig heb ik nog wat te lezen...

Nog gouden tips?

Hmmbob schreef op woensdag 19 april 2017 @ 19:38:
Ik krijg zojuist per email de bevestiging dat ik me CISSP mag noemen

Goed bezig!

In de PWK labs heb ik nu dertien bakken onder de riem. Gaat niet bepaald snel en 2 Mei heb ik m'n eerste examen. We gaan zien hoe ver ik niet ga komen, maar ik ga wel vragen om feedback op alle bonus-docu om zeker te weten dat de tweede keer keer beter gaat.

Zo!! Het is me een maandje wel!

Ik heb mijn eerste drie MongoU trainingen (M001 Basics, M103 Clustering, M201 Performance) met succes afgerond. Ik ben heel erg te spreken over hoe die lui hun trainingen aanpakken! Fijne mix van videos met uitleg, labs om te oefenen en een examentje om het af te sluiten. In totaal was dit goed voor 24CPE

D'r zat een week rust tussen en nu ben ik begonnen aan M220P (Python and MongoDB) and M301 (Security). Ook beiden weer erg interessant!

Sprekend van 24CPE: deze week ben ik naar de driedaagse "TRANSITS 1" cursus geweest bij SURF in Utrecht.

-> https://www.surf.nl/diens...ramma-transits/index.html

Op zich een best interessante training, voor mensen die bij een CERT/CSIRT werken, of er eentje moeten gaan beginnen binnen hun organisatie. Voor mij was veel van de stof al best bekend, maar toch was het de moeite waard! Wat je leert sluit overigens best netjes aan bij dat CFR-310 examen wat ik een paar weken geleden deed. Mocht je een DoD-approved certificaat willen behalen met voorbereiding.

Voor mij als niet-SURF-lid was het €1000 voor drie dagen (vs €200 als ik van een onderwijsinstelling was). Drie dagen netwerken, ideeën uitwisselen, kennis bijspijkeren en uitstekende broodjes. En dus nog eens 24CPE er bij. Plus nieuwe contacten gelegd, omdat ik deze training mogelijk bij mijn huidige klant wil gaan geven (wat een mogelijkheid is!).

Volgende week dinsdag is het eindelijk tijd voor m'n techtalk over PKI, bij ITGilde... Heb er zin in!



Flauwe titelslide, maar hey Het is eens niet voor betalende klanten!

[ Voor 5% gewijzigd door Liegebeest op 16-11-2018 21:24 ]

Hmmbob schreef op maandag 14 januari 2019 @ 09:33:
*kuch*
[...]

Gast, ik was pas om 1930 thuis



Mijn eigen kamertje Veertien personen, van over de hele wereld, voor SEC566. Drie Belgen, een paar Britten, een Italiaan, een dame uit Saudië en een dame uit Australië die tegenwoordig in Kroatië werkt.



En props voor het Mariott! De hele dag staat er in de "woonkamer" een brainfood bar Ja aan de andere kant staan er karamellen, chocola enz, maar aan mijn favoriete kant noten en gedroogde zuidvruchten.

Metzie schreef op maandag 14 januari 2019 @ 09:03:
[...]


Gaaf! Hoe heb je het geregeld met je werkgever? Is dit onderdeel van je studiebudget of moet je vrije dagen opnemen? Welke training / examen ga je zelf proberen te volgen?

1) "Hey Dick, ik heb een toffe cursus waar ik heen ga!" "Veel plezier! Stuur de rekening maar!"

2) Mijn studiebudget is alleen gelimiteerd door het geld dat ik binnenbreng. Van mijn inkomsten gaan alle vaste lasten af en daarna m'n declaraties zoals cursussen. Wat er overblijft gaat 50/50 naar ons beiden.

3) Telt gewoon als werktijd, alleen niet declarabel.

4) SEC566 dus: "Implementing and auditing the Critical Security Controls - Indepth"

[ Voor 35% gewijzigd door Liegebeest op 15-01-2019 20:35 ]

Goed!



Eindelijk is die index klaar! Pffft, wat een werk. Heb meteen m'n eerste proef-examen gedaan: twee slordigheidsfouten en een paar echte fouten, geëindigd met 90% als eindscore. Later deze week, of komend weekend het tweede proefje en dan volgende week 't echte examen! Woei!

Dat lijken mij deze https://www.staples.nl/po...&m=0&isSubscription=False

[ Voor 39% gewijzigd door Hmmbob op 19-02-2019 09:09 ]

Heb al heel wat interessante sprekers aangehoord. Bevalt me prima!

[ Voor 54% gewijzigd door Hmmbob op 16-04-2019 10:53 ]

Misschien hebben jullie deze al gezien, maar dit is wel een aardig overzicht van welke certificeringen waar thuis horen:


Bron: https://www.reddit.com/r/...ssion_chart_2020/f8t8ueh/

Batiatus schreef op maandag 3 februari 2020 @ 15:41:
[...]


Idee erbij is dat een organisatie graag haar algemene cybersecurity beter wil inregelen. Door middel van bijvoorbeeld een risicoanalyse conform IRAM2 en op basis van de resultaten daarvan een roadmap maken voor x aantal jaar waarin nieuwe of aanvullende security maatregelen moeten worden gerealiseerd. Dat kan dan inderdaad op basis van ISO27001/2, maar die norm zegt weinig over de invulling van de maatregelen. Meer dat je ze moet inregelen.

Compleet met je eens dat het ervaring een belangrijke factor is in deze. Daarom focus ik me nu vooral op opdrachten waarin risicoassessments aan ten grondslag liggen. Daar leer ik veel van kan vaak ook helpen prioriteiten te stellen aan bepaalde zaken.
Ik weet echt niet of er dus ook trainingen zijn die een bijdrage kunnen leveren aan de gedachte bij het opstellen van zo'n roadmap.

Ah okay het gaat dus echt om de te implementeren maatregelen die eventueel uit een audit komen, dit kan in technische vorm of soms administratieve vorm, hier is echt niet een specifieke opleiding voor of certificaat. Beginnen bij CISSP is het juiste startpunt dan, “a mile wide and an inch deep” is niet voor niets het motto van CISSP. Heel veel onderwerpen die toepasbaar zijn op de verschillende maatregelen. CISM is meer georiënteerd op het opzetten van een Security programma en de governance hierop.

Daarnaast zal je behoorlijk wat achtergrond op moeten doen in risico management, je zal op de hoogte moeten zijn van de vele stijlen project/programma management en technologie (zowel vendor specifiek als vendor onafhankelijk) omdat deze allemaal directe impact hebben op je roadmap.

Aanraders die je daarnaast kan doen is CCSP (de cloud variant van CISSP) en misschien nog wat SANS ( Aanbevolen) courses maar dan heb je het grootste gedeelte van "vendor onafhankelijk" wel gehad. Alle aanraders zijn natuurlijk zonder kennis van je achtergrond.

Bekijk dit overview ook eens goed, en ga je ervaring/huidige certificering hierin eens plotten om te kijken hoever je kan komen .

In navolging van de bovenstaande discussie heb ik inmiddels antwoord gekregen vanuit ISC2



Lijkt mij dus opzich duidelijk, de max is dus voor zover ik begrijp 40 CPE per completed (self)study. Dit is onlangs dus gewijzigd ( April 2020 ).

RL600 schreef op dinsdag 15 december 2020 @ 16:51:
[...]


Dit kan ik interpreteren dat als een vacature van bijv. 10 jaar werkervaring heeft en je hebt een paar certificaten dat dat bij elkaar bijv. 4 jaar aan werkervaring is (geschat) en dat je dan slechts nog 6 jaar moet aantonen?

Ha, nee nee nee... Als een vacature 10 jaar ervaring vraagt, dan doet een cert daar niets mee. Je moet op je CV dan de verwachtte dienstjaren hebben staan.

Wat die ander bedoelde, was dat je een CISSP pas kan krijgen als je vijf jaar ervaring hebt in de security wereld. Het doet geen aftrek aan voorwaarden, het dubbelt ze.

EDIT: #Spuitelf... Wat @Metzie zei.

RL600 schreef op dinsdag 15 december 2020 @ 18:21:
@Metzie Ja goed punt, ben daar eigenlijk nog best over aan het nadenken.

We gaan hier wat off-topic, maar om daarop in te gaan. Red-team denk ik niet zo snel. Hoe moet ik precies het verschil zien tussen blue-team en risk management?

Het zit in de naam.

Risk management... je bent heel veel met designs, politiek en papierwerk bezig. Audits, controles, zeker weten dat iedereen doet wat ie moet doen.

Blue teamen? Dat is technisch werk, op bijv. een SOC of andere "verdedigingslinie"

Je kan in InfoSec (laat staan in de hele IT) zo ongelooflijk veel kanten op! Als tip, ga voor jezelf eens nadenken wat voor werk je de komende 2 jaar zou willen doen. Daarna, waar je jezelf over 3-4 jaar ziet. Wil je met de vingers aan de knoppen blijven zitten en vooral diep technisch bezig zijn? Of wil je van de knoppen afblijven en bedrijven/mensen helpen hun werk te doen?

EDIT:

Even een voorbeeld... ik zit nu... pfffff 20 jaar in het vak, iets meer... Te veel Begonnen als Unix-beheerder, waar je natuurlijk tegen operationele security aankomt. Zo'n dertien jaar geleden ben ik me hard op security in gaan zetten, beginnen in IAM en daarna steeds meer naar security engineering (ontwerpen, bouwen) en operations (operationele security, pen-testen). Kijk je naar de beroemde RoadMap die werd aangehaald, dan zijn mijn certs all over the place Zie al die rode kadertjes hier onder (slecht gekozen kleur, rechts zie je ze bijna niet).



Dat is niet persé goed, slecht, of whatever. Het geeft je een beeld van wat je door alle jaren heen eens tegen kan gaan komen.

[ Voor 66% gewijzigd door Liegebeest op 15-12-2020 20:13 ]

Gast. Laat me je zeggen dat je dit soort shiz niet wilt zien wanneer je 11.5 uur in je examen van 12 uren zit.



Ik begon om 0600 met het CDP examen: Certified DevSecOps Professional. Twaalf uren lang praktijk-examen, om DevSecOps / Security In DevOps te bouwen met Gitlab.

Heel tof, heel uitdagend, leuker dan de lesstof zelf. Maar mijn hemel, wat ben ik blij dat ik het meeste werk lokaal deed op m'n laptop en dat ik alle code dus lokaal had gekloond. Minder dan een uur voor de deadline crashte de lab omgeving en werd heel Gitlab re-provisioned: alles weg.

Op Cybrary zijn er enkele nieuwe gratis cursussen over MITRE ATT&CK. Geen examen of iets dergelijks. Wel een certificate of completion en wat CPE punten indien je die zoekt.

https://app.cybrary.it/br...ication%7Cmitre-engenuity

[ Voor 21% gewijzigd door Grim op 08-04-2021 12:27 ]

Whelp, het ziet er naar uit dat dit echt gaat gebeuren.



Ik ben door CompTIA's CIN gevraagd om in Oktober hun TTT (train the trainer) te doen voor PT0-002, de nieuwe Pentest+. Spannend! Stress! En leuk!

Zo de vakantie is voorbij en ik ben weer een sverder aan het kijken voor een volgende Microsoft Learning track. Dus zojuist SC-300 aangezwengeld en hiervoor moet je wat acties uitvoeren in een bestaande Azure portal.
Hier kun je dan een gratis Azure-account voor aanmaken. Dat heb ik ooit al eens gedaan op mijn gmail.com account en u krijg ik de melding:


Helaas dus niet meer "gratis" mogelijk voor dit emailadres. Nu zou het me niet eens zoveel uitmaken om dan maar Pay-as-you-go te gaan gebruiken, maar ik kan niet helemaal inschatten of dit door gebruik te maken van zo'n Learn traject om af en toe wat te doen in je Azure portal flink in de papieren kan gaan lopen want dat is dan niet de bedoeling.

Heeft iemand hier ervaring mee en tips voor?

Alleen op maandag schat ik zo in

Als ik via PearsonVue het CISSP examen wil aanvragen krijg ik de volgende vraag:



Ligt het aan mij dat ik het bizar vind dat ze dit uberhaupt vragen?

Shinji schreef op vrijdag 10 december 2021 @ 13:40:
Als ik via PearsonVue het CISSP examen wil aanvragen krijg ik de volgende vraag:

[Afbeelding]

Ligt het aan mij dat ik het bizar vind dat ze dit uberhaupt vragen?

In het kader van bizar...



Wat gaan ze met deze foto en biometrische data doen? Hoe lang wordt het bewaard? Heb ik een mogelijkheid om dit te laten deleten? Of wordt de soep niet zo heet gegeten en is dit niet van toepassing in Nederland? Iemand ervaring hiermee?

CompTIA heeft deze certificering roadmap opgesteld waarbij de nadruk op hun eigen producten ligt, maar daar concurrerende certificaten tegenover zetten. Voor een algemene indruk van het relevante speelveld een prima overzicht, al is het vast incompleet. Er zwerven verschillende versies online, dit is de 2022 versie. Hier kan je hem in als PDF met tekst en uitleg vinden.

Terzijde, ik ben voor mijn leerlingen aan het kijken naar een goede invulling als introductie level certificaat voor cyber-security als werkveld.

Ze deden tot voor kort MTA Security van Microsoft, maar die gaat wegvallen. Ik heb d'r zelf een stuk of vier gevonden nu.



Persoonlijk valt het ISACA ding voor mij af. De organisatie is best goed, maar ik vind hun certs en AMFs echt geldklopperij.

GIAC is fantastisch, maar echt gods-onmogelijk duur.

CompTIA heeft een heel mooi curriculum, een goed examen, misschien is de stof zelfs te groot, maar CompTIA is niet zo bekend in EUW.

En het ELCC, daar lees je over in mijn vorige post: de objectives zijn mooi, het examen is "bleh".

Kunnen jullie me nog meer suggesties geven? Ik duik zelf Paul Jerimy's overzicht nog even in.

EDIT:
Als aanvulling, Mile2 weiger ik mee te werken na eerdere ervaringen met het bedrijf.

[ Voor 13% gewijzigd door Liegebeest op 29-06-2022 14:31 ]

Wel security, geen certificering... maar wilde het toch delen met "mijn matties".

My colleague and I have often wondered about people leaving their laptops unattended and unlocked. We've found them in offices, in restaurants and even lavatories! 🫣

This inspired me to do a co-op with my daughter, who took my character design for the #pentest fairy and put her own twist on it. We now have a stack of vinyl stickers (safely removable!) which you can slap on any abandoned hardware. ⚠️

Liegebeest schreef op zondag 26 februari 2023 @ 12:27:
Voor hen die met ISO27001 enz bezig zijn geweest, ik zie net dat er vanuit de EU een specifieke FOSS ISMS wordt gepromoot -> https://joinup.ec.europa..../verinice-isms-tool/about

Ik had nog niet gehoord van Verinice. Één van jullie hier al eens naar gekeken?

EDIT:
Het Github project. https://github.com/SerNet/verinice

Ja het is FOSS, maar je moet Java-ervaring hebben om de boel te bouwen en te runnen. Fair enough.

Liegebeest schreef op woensdag 7 juni 2023 @ 21:20:
Tja, als je als bedrijf je (cyber) security serieus wilt nemen ontkom je er niet aan om ook theoretisch bezig te gaan. Want dit:


[...]


verhaal

Dit dus.
Om de BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) van het business proces te beschermen, die dus per proces kan verschelen, pas je maatregelen toe. En reeks generieke maar bijvoorbeeld bij hoge beschikbaarheid het dubbel uitvoeren van de omgeving als maatregel.

Zoals Liegebeest uitlegt is dat een layered defense. Meerdere lagen beveiliging voordat je bij de kern komt
Pak je een model erbij die dat goed weergeeft komt je uit bij de NIST CSF:

Zie https://www.nist.gov/cyberframework
Het is een mooi model, dat ook goed aangeeft dat je moet werken aan respond en recover capabilites omdat je geheid een keer geraakt worden. Of Detect omdat je dat eigenlijk al bent maar nog niet weet. (Statelijke actoren en Zero Day's..)

En om de cirkel rond te maken.. dubbele grap .. komt er een update van het CSF framework aan met een laagje erbij, tromgeroffel: GOVERN. Hierin zit het eigenaarschap en bewustwording van management in opgenomen, welke iets is wat de kernproblematiek is van Kornolio's verhaal

Liegebeest schreef op zaterdag 24 september 2022 @ 19:39:
Bah, nou vind ikt' extra jammer dat ik't heb gemist Maar, ik ben heel blij dat't voor jullie een goede dag was!

Voor de liefhebbers van Seccon: Registratie voor Editie 2023 staat open:
https://web.cvent.com/eve...b8f9-a6db58d291f3/summary

Programma:

BytePhantomX schreef op dinsdag 19 december 2023 @ 13:32:
[...]


De CISSP oefen vragen app? Die van ISC2 is zo te zien nog steeds gratis.

De app is gratis, de vragen niet (in-app purchase).

Maar het staat denk ik wat raar omschreven.

BytePhantomX schreef op donderdag 28 december 2023 @ 09:34:
[...]


Ik heb een hard copy en in mijn herinnering was die ongeveer 1000 pagina's. Dat is dan wel de officiële CBK. Waarschijnlijk heb je iets anders gedownload.

Dit is de cover ?

Michelli schreef op zaterdag 13 januari 2024 @ 14:18:
[...]

Uit nieuwsgierigheid: waarom heb je voor PDSO gekozen in plaats van de gratis cursussen van APIsec?

Zo! Gisteren mijn CASP examen gedaan en dat was nog even spannend, want ik had in mijn hoofd dat ik zou beginnen om 0800, maar om 0645 rolde het mailtje met de challenges binnen. Doh! Een uur in de tijd vergist!

Het was leuk om dit examen te doen, zes uur hands-on hacken. D'r zitten wel een "maar"-tje aan.

Die "maar" is dit: ze zeggen het zelf al tijdens hun training en in de documentatie die je krijgt: als je alle labs in de training goed doet en goed notities maakt, kan je daar goed gebruik van maken in het examen. In het examen zit geen verdiepingsslag.

Dat was voor CDP (Certified DevSecOps Professional) ook zo, maar daar weken ze meer af van wat je tijdens de cursus had gezien. Bij CDP was het examen dan ook twaalf uur en niet maar zes uur. Ik snap ook wel waarom ze deze aanpak hebben gekozen voor CASP: "eventjes" vijf verschillende APIs pentesten doe je niet in zes uurtjes.

De moeilijkheidsgraad in dit examen zit hem vooral in tijdsmanagement: zes uur de tijd voor vijf challenges. Je moet 80 van de 100 punten halen en in mijn geval was de puntenverdeling 20-20-15-25-20. Je moet dus picky zijn in hoe je te werk gaat en vooral je best doen om alle punten van de rubric te voldoen.

Dat gezegd hebbende:



De opdrachtomschrijvingen zijn helder en compleet. Net als de lijst met vereisten over rapportagen. Ze maken heel duidelijk waarop je wordt gescoord. Dat is echt super netjes.

Het team van PDSO is super-responsief. Support tijdens de training en het examen verlopen via MatterMost en er is eigenlijk altijd wel iemand van het team online. Als er iets misgaat met de lab infrastructuur duiken ze er meteen bovenop en is het vaak snel verholpen.

Sprekend van MatterMost, wat me wel tegenvalt is dat ze community-vorming niet echt aanmoedigen. Hebben ze een server met meer dan 2500 leerlingen, wordt er nergens aangemoedigd om samen te praten of te overleggen. Het is er doodstil. En als er eens een vraag komt van een leerling over de inhoud van de training, dan wordt er meteen gezegd "kom, we overleggen even in jouw private channel" in plaats van dat er een publieke discussie wordt gehouden. Dat vind ik raar.

Dan is er nog één ding dat ik zie als groot struikelblok voor de industriële acceptatie van het examen: validatie.

Op geen enkel moment voor, tijdens of na het examen is mijn identiteit geverifieerd. Er is ook geen proctoring, session recording, of wat dan ook. Elk ander persoon had mijn examen kunnen nemen of het rapport kunnen schrijven. Dat maakt de certificering automatisch bijna niets waard voor werkgevers, omdat je zelf nog een bullshit-detector moet hebben voor die kandidaten die er voor kiezen te liegen en vals te spelen.

===

Over de cursus zelf: ik heb toch weer een paar nieuwe dingen geleerd! Dat is leuk.

Ik had alleen graag gezien dat de cursus en de labs op sommige punten net wat dieper waren ingegaan. Zo waren de uitleg over OPA (Open Policy Agent) en OIDC/OAuth best goed en diepgaand, maar het raakte net niet het praktische vlak. Voor die laatste twee werd heel netjes de verschillende authN/authZ flows besproken en voor die eerste waren er voorbeelden van policy code, allemaal prachtig.

Maar waar het me aan ontbrak was de "maar HOE dan?!". Oftewel: als je dit in je code wilt verwerken, HOE dan? Er waren zelfs een paar slides met code waarop stond "< here you would perform authorization hecks >"

Dus naast de training heb ik zeker 8 uur aan deep-dive gedaan op OIDC en OAuth en nog eens 4-6 uur op OPA.

[ Voor 14% gewijzigd door Liegebeest op 21-01-2024 10:51 ]

ChUcKiE schreef op donderdag 22 mei 2025 @ 13:20:
[...]


Klinkt misschien vreemd, maar een "allesomvattende" cursus, waarin het volledige risicomanagement proces doorlopen wordt. Dus Vanaf Business Impact Analyse -> Bedreigingen Kwetsbaarheden analyse -> Bepalen beveiligingsmaatregelen en restrisico's -> Goedkeuren en accepteren restrisico's.
Uitgangspunt is dat ik het proces zelf mag uitvoeren in onze organisatie. Ik kan er weinig van delegeren.

NIST SP800-31 rev 1. Dit is echt super taaie kost, maar zo ontzettend waardevol. Het is in ieder geval voor mij de leidraad voor het uitvoeren van risk assessments in het cybersecurity vakgebied. https://csrc.nist.gov/pubs/sp/800/30/r1/final. Als je een beetje er doorheen komt en het toepasbaar maakt voor jouw organisatie, dan is het ontzettend praktisch en gestructureerd en veel beter dan een generieke kans x impact aanpak. In dit plaatje zit die generieke kans x impact ook, alleen dan verwerkt in het blokje 'adverse impact'.



Ik zou echter niet weten waar dit in een cursus verwerkt is en dan ook nog in het Nederlands.

(Ben overigens benieuwd naar andere of ze deze kennen, gebruiken of wat van vinden)

[ Voor 9% gewijzigd door BytePhantomX op 22-05-2025 16:32 ]