Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

IT Security Certificeringen

Pagina: 1 2 3
Acties:

  • Boudewijn
  • Registratie: februari 2004
  • Laatst online: 00:53

Boudewijn

omdat het kan

Ik heb deze week de SANS660 gedaan, iemand interesse in mijn ervaringen? De titel van het ding is "SEC660: Advanced Penetration Testing, Exploit Writing, and Ethical Hacking" .

Tis een 'gewone' SANS training (5 dagen cursus) maar dan volle bak: elke dag van 9 tot 7 knallen en de 6e dag ook nog even diehard een CTF waar je helemaal los kunt gaan met sploits schrijven ed.


Het is vrij specifiek maar daardoor eigenlijk wel een coole training.

  • shadowman12
  • Registratie: maart 2006
  • Laatst online: 20:10
quote:
loyske schreef op vrijdag 11 november 2016 @ 10:43:
[...]


Waar is deze OSCP training? Heb je meer info?
https://www.tstc.nl/train...sting-with-kali-linux-pwk

December zit al vol.

shadowman12 wijzigde deze reactie 11-11-2016 18:55 (4%)

Assumption is the mother of all fuck ups


  • loyske
  • Registratie: januari 2004
  • Laatst online: 12-11 13:28
Yep klopt! Is nu ook digitaal en voorheen op papier!?

  • scorpion303
  • Registratie: juni 2002
  • Niet online
quote:
loyske schreef op dinsdag 21 februari 2017 @ 14:46:
Yep klopt! Is nu ook digitaal en voorheen op papier!?
Super, dank voor de bevestiging!

Vroeger was het inderdaad volledig op papier. :) Dat betekende dat je eventuele foutjes echt goed moest uitgummen en dat je echt heel goed moest oppassen dat je niet per ongeluk 1 vraagje oversloeg en al je honderden antwoorden bij de verkeerde vraagnummers terecht kwamen. Fijn dat ze inmiddels met de tijd zijn meegegaan!

  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

Week of 5 geleden SSCP examen gedaan, was redelijk eenvoudig - uurtje was ik er doorheen. Aangezien ik de eerste hier binnen het bedrijf ben die 1 van de ISC2 certs heeft gehaald, en ook in mijn kennisenkring niemand gecertificeerd is, heb ik de endorsement via ISC2 zelf laten lopen.
Gisteren bevestiging gehad dat werkervaring goed gekeurd is, en dat ik officieel gecertificeerd ben

Your lack of planning is not my emergency


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
quote:
sopsop schreef op vrijdag 24 februari 2017 @ 07:03:
Zorg ervoor dat je ervaring hebt met het meerdere uren achter elkaar met dit onderwerp bezig te zijn, het examen is nogal een uitputtingsslag (corporate English, dubbele ontkenningen, het aantal vragen). Maar met een bootcamp heb je dat risico wel afgedekt.
Ha, daar heb ik wel vertrouwen in. Ik woon en werk in de VS, dus met het Engels zit het snor en verwacht ik geen problemen. Zorgen voor voldoende rust dus!
quote:
SeatRider schreef op vrijdag 24 februari 2017 @ 09:12:
[...]

Heb zelf ook een bootcamp gedaan (Firebrand) en er waren een paar in mijn groep die dachten dat ze door dit concept verder zelf niks meer hoefden te doen. Kansloos dus.

Onderschat het niet. (...) En neem tijd voor jezelf in die week. Ik had het geluk dat ik een mooie locatie (Helvoirt) en mooi weer had, waardoor ik elke dag 2x een stuk kon gaan wandelen door de bossen.
Ik zit aan de kust bij San Diego: ontspannen zal wel lukken. Mijn study attitude is niet de sit back and relax methode: ik erger me eraan als ik fouten maak dus wil zo dicht mogelijk bij de 100% komen. Dank voor de heads-up!
quote:
Liegebeest schreef op vrijdag 24 februari 2017 @ 10:07:
Ik ben het helemaal eens met mijn voorgangers: je moet dat Bootcamp niet gebruiken als "steek een dikke trechter in m'n keel en giet dat hele CISSP er maar in!"! Je moet zorgen dat je't allemaal al hebt gelezen en dat je weet wat je zwakke punten zijn, waar je hiaten zitten. Dan kan je gerichte vragen stellen aan de docent.
Exact wat mijn studie methode is, normaal :)

Ik moet zeggen, juist door de waarschuwingen heb ik er nog meer vertrouwen in gekregen: ik lijk het zeker niet te onderschatten!

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • kaopadkai
  • Registratie: december 2010
  • Laatst online: 05-10-2017
quote:
loyske schreef op dinsdag 24 januari 2017 @ 16:48:
Ben mezelf aan het oriënteren op een nieuwe opleiding mbt security.
Achtergrond is netwerk specialist met enkele Cisco certificeringen, CISSP en basis kennis van Linux.
Zit te kijken naar CEH of OSCP. Welke zouden jullie me aanraden?
Het ligt er een beetje aan wat je wilt gaan doen binnen IT security.
Maar Ik kan je OSCP van harte aanbevelen.

Wat betreft CEH; dit is echt heel basic.
Omdat je al wat ervaring hebt, zou ik gelijk voor OSCP gaan.

De naam 'Certified Ethical Hacker', impliceert dat je met iemand te maken hebt die echt kan hacken.

Maar niets is minder waar... Binnen de security community wordt er aan CEH niet veel waarde gehecht en soms wordt er zelfs een beetje om gelachen.

OSCE | OSCP | CISSP


Acties:
  • +2Henk 'm!

  • Squ1zZy
  • Registratie: april 2011
  • Niet online
quote:
shoombak schreef op maandag 6 maart 2017 @ 20:55:
Ik heb mezelf ook voorgenomen CISSP te halen dit jaar. Het study guide ebook is inmiddels binnen, en die is prima te lezen gelukkig.
Misschien heb je hier wat aan?

YouTube: Simplilearn CISSP
YouTube: CISSP Complete Test Prep & Cheat Sheet

Daarnaast heb ik de volgende boeken gekocht:

CISSP Official Study Guide
CISSP All-In-One Exam

Ook ben ik lid van PluralSight en CBT:

PluralSight CISSP
CBT Nuggets

En heb ik de bundel gekocht van het official guide op de iPhone:

CISSP Study Official App

En natuurlijk de e-careers filmpjes die ik gemeld hebt als lek, maar waar niet op wordt gereageerd:

Lek in website, beheerder negeert het. Hoe hier mee om gaan?

Mocht je informatie nodig hebben DM me maar :)

"Security should be baked in, not sprayed on!"


Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
Afgelopen week de CISSP bootcamp gedaan om daarna, op zaterdag, succesvol het CISSP examen af te leggen.

Ik moet zeggen dat de bootcamp zwaar was (dagelijks van 8 tot 18u, daarna nog 'huiswerk' in de avonduren) maar dat het me zeker goed geholpen heeft om alles duidelijk te krijgen. Diverse proefexamens gedaan met een meer dan voldoende score, maar op het examen blijken de vragen dan toch net effe anders te zijn. Ik denk dat daarin het verschil wordt gemaakt tussen iets kunnen reproduceren of iets snappen: als je de stof snapt maak je het examen goed.

Nu de administratieve afhandeling nog even doen voor de definitieve certificering binnen is.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Squ1zZy
  • Registratie: april 2011
  • Niet online
quote:
Hmmbob schreef op maandag 27 maart 2017 @ 07:13:
Afgelopen week de CISSP bootcamp gedaan om daarna, op zaterdag, succesvol het CISSP examen af te leggen.

Ik moet zeggen dat de bootcamp zwaar was (dagelijks van 8 tot 18u, daarna nog 'huiswerk' in de avonduren) maar dat het me zeker goed geholpen heeft om alles duidelijk te krijgen. Diverse proefexamens gedaan met een meer dan voldoende score, maar op het examen blijken de vragen dan toch net effe anders te zijn. Ik denk dat daarin het verschil wordt gemaakt tussen iets kunnen reproduceren of iets snappen: als je de stof snapt maak je het examen goed.

Nu de administratieve afhandeling nog even doen voor de definitieve certificering binnen is.
Gefeliciteerd! _/-\o_

CISSP is niet makkelijk na mijn idee. Ik ga over 2 weken op examen. Domain 1 (Security and Risk Management) en Domain 4 (Communication and Network Security) moet ik echt nog even leren. Met oefenexamens zit ik steeds rond de 60%.

"Security should be baked in, not sprayed on!"


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

@Kronkol : voor alle ISC2 certificeringen zijn een aantal eisen waaraan voldaan moet worden om de certificering te krijgen:
- Slagen voor het examen
- Aantoonbaar een x aantal jaar werkervaring, 5 in geval CISSP. Aantonen hiervan gaat bij voorkeur middels een beknopt CV, en een verklaring van iemand die reeds in bezit van 1 van de ISC2 certificering is, en kan getuigen dan jij inderdaad over de werkervaring bezit die je claimed. Indien je niemand in je netwerk hebt die dit kan/wil doen, dan kan je je werkervaring direct bij ISC2 indienen, met verklaring van werkgever(s) dat je in die perioden idd daar gewerkt hebt, informatie over functieinhoud, en op welke domeinen van ISC2 dit betrekking heeft

Pas als je werkervaring approved is door ISC2 ben je gecertificeerd, en mag je de titel voeren

hellknight wijzigde deze reactie 30-03-2017 18:24 (6%)

Your lack of planning is not my emergency


  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
Ik krijg zojuist per email de bevestiging dat ik me CISSP mag noemen *O*

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Hmmbob schreef op woensdag 19 april 2017 @ 19:38:
Ik krijg zojuist per email de bevestiging dat ik me CISSP mag noemen *O*


Goed bezig!

In de PWK labs heb ik nu dertien bakken onder de riem. Gaat niet bepaald snel en 2 Mei heb ik m'n eerste examen. We gaan zien hoe ver ik niet ga komen, maar ik ga wel vragen om feedback op alle bonus-docu om zeker te weten dat de tweede keer keer beter gaat.

Liege, liege, liegebeest!


Acties:
  • +3Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Wie is er gaar? Ik is er gaar! /o/

Ik heb m'n OSCP examen achter de rug! Dat ging eigenlijk een heel stuk beter dan verwacht :D

Het liefste was ik gisteren rond 0700-0800 begonnen, maar het vroegste timeslot dat ze je bieden is vanaf 1100. Ik had dus van 1100 gisteren tot zo'n 4 uur geleden de tijd voor het aanvallen van mijn doelwitten. Daar naast had ik van 1100 vanochtend tot morgen 1100 de tijd om mijn testrapport op te stellen en in te leveren. NOU! Het is een hele slag geweest, maar het zit er op. Ik ben uiteindelijk zo'n 21 uur in touw geweest.

M'n taktiek was om op de achtergrond een berg scans af te trappen, zodat ik me bezig kon houden met de bak waar geen scan voor nodig was: de buffer overflow oefening. Rond middernacht had ik in principe genoeg punten binnen om te slagen, dus bedtijd!

Maar helaasch :D Ik kon door de adrenaline de slaap niet vatten! Om 0200 er weer uit gegaan en verder gegaan. Rond 0300 ging ik m'n eindrapport vast opstellen. Om half zeven was die zo'n beetje klaar! Ik heb nog wat tijd gestoken in die laatste privesc, maar niets meer gevonden. Ik was om half negen zo gaar, dat ik't best vond! Ik heb al m'n documentatie verzameld, nog één keer alles goed nagekeken en ingezonden.

Douchen en instorten! Geslapen tot een uur of elf en voel me nu al een stuk beter! :)

Ik had helemaal niet verwacht dat ik zo ver zou komen! Tussen alle verhalen op de OffSec forums, van mensen die helemaal dichtslaan en mijn eigen ervaringen uit het verleden, had ik niet verwacht meer dan één bak te kraken. Maar met wat ik heb bereikt heb ik an sich al genoeg punten om te slagen en ik hoop natuurlijk ook op de 5+5 bonuspunten voor de lab rapporten die ik indien.

De ontvangstbevestiging van OffSec is in elk geval binnen. Nu begint het wachten!

Liegebeest wijzigde deze reactie 03-05-2017 21:32 (18%)

Liege, liege, liegebeest!


Acties:
  • +2Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
GESLAAGD! /o/

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Neuh, het is vooral de geld-drukpersen laten doorlopen :|

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Rukapul
  • Registratie: februari 2000
  • Laatst online: 00:00

Rukapul

Moderator General Chat
quote:
Squ1zZy schreef op vrijdag 7 juli 2017 @ 22:25:
Misschien kan iemand mij helpen met de volgende vraag. Deze staat ook al uit bij ISC2, maar helaas na enkele dagen nog steeds geen reactie:

Wanneer men een CISSP examen aflegt en het examen niet behaald moet men minimaal 30 dagen wachten om het examen opnieuw te kunnen afleggen. Geldt dit voor alle ISC2 examens? Of geldt dit alleen voor CISSP? Kan diegene bijvoorbeeld binnen die 30 dagen een SSCP examen afleggen?
Deze vraag kan beantwoord worden uit de context: exam retake policy. Het gaat dus om hetzelfde examen.

  • Boudewijn
  • Registratie: februari 2004
  • Laatst online: 00:53

Boudewijn

omdat het kan

Ik zou eerder kiezen voor een training waar je hard voor moet werken en waar je dan een wat lastiger certificaatje voor krijgt, dan voor een te makkelijke training. But that's me. Uiteindelijk betaal je er toch zo'n 5-8k voor. Ook al is het vaak geld van de baas, dan nog.

Vwb CISSP: Ik zie CISSPers als mensen die ene beetje van alles weten, waaronder hoe hoog het hek rond je datacenter moet zijn. Het is ook sterk risicomanagement-gebaseerd dus. Van echte techniek weten mensen met CISSP weinig, hoe reverse je een binary? Hoe detecteer je efficient anomalieeen? Dat soort dingen.

Als je algemeen IT-manager, of consultant ofzo wil worden is CISSP best okay, maar vanuit de techniek hecht ik er weinig aan.

  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:01
quote:
Boudewijn schreef op vrijdag 18 augustus 2017 @ 12:00:
Ik zou eerder kiezen voor een training waar je hard voor moet werken en waar je dan een wat lastiger certificaatje voor krijgt, dan voor een te makkelijke training. But that's me. Uiteindelijk betaal je er toch zo'n 5-8k voor. Ook al is het vaak geld van de baas, dan nog.
Je opmerking heeft me inderdaad wel aan het denken gezet. Ik zou het zelf ook zonde vinden als er zoveel geld wordt neergeteld en je er uiteindelijk een 'meh'-gevoel aan overhoudt omdat je al best wel veel wist. Ik zit er nu aan te denken de SEC504 cursus te doen. Iemand toevallig ervaring met deze course?

  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:01
6-11 november de SEC504-training volgen @ Sans Amsterdam. Dan de weken daarna leren voor de GCIH-certificering. Zin in! oOo *O*

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Fox3214 schreef op maandag 20 november 2017 @ 15:20:
Hola!

Twee vragen::

1. Heeft iemand al ervaring met de Cisco CCNA Cyber Ops certificering?


2. Wat zouden jullie voor advies geven aan een network engineer (ca 5/6 jaar ervaring) die wilt switchen naar
security? (Met als omgeving dat je nog wel aan de knoppen zit, maar wel veel invloed kan geven aan het
management/bedrijf).
Ik heb de online cursus gevolgt, wel een leuke cursus. Had helaas niet genoeg tijd om hem af te ronden om examen te doen. Ik heb ook CEH les gehad tijdens mijn HBO-ICT opleiding en daar is het wel mee vergelijkbaar. Ik weet niet of je ook al een keer naar CCNA/CCNP Security hebt gekeken, qua netwerk security is er vaak ook veel te leren. En misschien meer richten op firewalls?

Ik ben net een half jaar afgestudeerd, maar ik heb al CCNA R&S, CCNA Security, LPIC-1 en bezig met het afronden van MSCA. Ik wil mij meer specialiseren richting netwerken en security, mijn werkgever kan geen dure cursussen van GIAC/SANS betalen. Daarom ben ik van plan om de volgende certificaten te gaan halen:

CompTIA Cybersecurity Analyst (CSA+)
CompTIA Penetration Tester (CPT+) is nog niet de beschikbaar
CompTIA Advanced Security Practitioner (CASP)
Daarnaast een stuk beter worden in scripten(Python, Ruby en Bash) en dan later voor eCPPT of OSCP gaan als ik meer ervaring heb.

Comptia zet stevig in op security certificeringen en de examens zijn betaalbaar. Ik ben benieuwd of er al mensen ervaring hebben met CSA+ of CASP.

Zenix wijzigde deze reactie 06-12-2017 22:07 (4%)


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Fox3214 schreef op vrijdag 8 december 2017 @ 15:04:
[...]


Nou!

Ik heb zelf al CCNP R&S, en inderdaad Security certificaten gaan meer over de firewalls. Nu ben ik wel wat tegen gekomen met firewalls (Checkpoint, Palo Alto, Juniper, Cisco, Fortinet en Fortigate. Heb ze bijna allemaal gehad) en ik zie dat in dit terein ook meer spraken komt van Software defined firewalling, het traditionele firewalling gaat helemaal op de schop.

Daarin tegen zie ik dat een CCNA Cyper Ops veel meer focus geeft op SOC/Vulnerabilities en dergelijke situaties.

Zelf heb ik geen ervaring met CompTIA certificaten, schijnt wel goed te zijn denk ik?
Dat is eigenlijk een heel goed profiel om meer richting de security te gaan. Ik ben zelf ook nog van plan om CCNP R&S te gaan doen, maar ik wil eerst nog meer praktische netwerkervaring hebben.

CompTIA had eerst alleen Security+, een entry certificaat, nu ze zien ze dat security booming is komen er meer mid-level certificaten. Het voordeel van CompTIA is dat het vendor-neutral is, maar het is niet zo bekend als SANS/GIAC of ISC2. Dit kan natuurlijk wel veranderen, want het is wel een grote partij.

- CSA+ is net nieuw maar als je zoekt op internet wel redelijk vergelijkbaar met CCNA Cyber Ops en CEH, maar richt zich meer op het analyseren en dus meer defensief(blue team) Het examen is goedkoper dan beiden. Past dus wel goed bij een SOC rol.
- CPT+ komt een beta van in Q1 2018 en richt zich meer op het pentesten (red team) en zal nog meer overeenkomen met CEH dan CSA en is een stuk goedkoper.
- CASP is al een tijdje op de markt en wordt gezien als een goede opstap richting CISSP, want de stof komt redelijk overheen en het is iets makkelijker.

Je moet dus voor jezelf beslissen welke kant wil je opgaan? Waarschijnlijk zit je nu in het blue team, zonder dat je het eigenlijk weet ben je al druk bezig met security in je vakgebied, zoals systeembeheerders en netwerkbeheerders wel vaker doen. Dat is de weg die ik volg. Maar als je in het blue team zit is het ook wel handig om een beetje verstand te hebben van pentesten, zodat je ook beter kan verdedigen.

Zenix wijzigde deze reactie 08-12-2017 15:50 (4%)


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

Afgelopen zaterdag geslaagd voor CISSP examen - oefenexamens bij de boeken waren niet altijd even goed (issues als 2x zelfde antwoord bij een vraag, waarvan er maar 1 goed gerekend wordt, of 2x letterlijk zelfde vraag in 1 oefenexamen |:( ) maar uiteindelijk het echte examen in iets meer dan 2 uur afgerond.
Nu nog even de endorsement regelen.

Your lack of planning is not my emergency


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
hellknight schreef op maandag 11 december 2017 @ 16:41:
Afgelopen zaterdag geslaagd voor CISSP examen
Super! Goed gedaan joh!
quote:
Nu nog even de endorsement regelen.
Als je niemand kan vinden: ik ben bereid om een uur of twee met je te zitten, om je hele CV door te pluizen. Op basis van een goed gesprek kunnen we een heel eind komen.

Liege, liege, liegebeest!


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

quote:
Liegebeest schreef op vrijdag 15 december 2017 @ 19:46:
[...]

Super! Goed gedaan joh!


[...]

Als je niemand kan vinden: ik ben bereid om een uur of twee met je te zitten, om je hele CV door te pluizen. Op basis van een goed gesprek kunnen we een heel eind komen.
bedankt voor het aanbod, maar niet nodig - een van de managers op 1 van onze andere locaties, die ik vaag ken, bleek al CISSP gecertificeerd te zijn, en was bereid me te endorsen

Your lack of planning is not my emergency


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
hellknight schreef op zaterdag 16 december 2017 @ 13:09:
[...]

bedankt voor het aanbod, maar niet nodig - een van de managers op 1 van onze andere locaties, die ik vaag ken, bleek al CISSP gecertificeerd te zijn, en was bereid me te endorsen
Noice! Dubbel-gefeli dan :)

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Interessant, ik was niet op de hoogte van een blue en red team. Zijn er ook situaties dat je in beide fronten zit? Een scenario: Dat je een exploit vindt, en dat je zelf van A tot Z de oplossing er voor toepast?
Je kan het wel raden, niet waar? :)

Purple Teaming

Then again, red/blue/purple heeft niet persé te maken het vinden en verhelp van exploits, maar met de rol van de betrokken personen tov de organisatie in kwestie. Zoals in de link wordt gezegd, houdt men vaak aan dat red een extern ingehuurde aanvaller is, blue de interne verdediger en dat purple meer kan worden gezien als een intern aanvallen team (bijv. onderdeel van je SOC).

Liege, liege, liegebeest!


  • shadowman12
  • Registratie: maart 2006
  • Laatst online: 20:10
quote:
Hmmbob schreef op donderdag 12 oktober 2017 @ 16:45:
Ik ben voor twee medewerkers op zoek naar een goede plek voor security+. Ik heb computrain al gevonden, maar zijn er nog meer aanbieders waar jullie positieve ervaringen mee hebben?

Het standaard curriculum is 5 dagen, kennen jullie ook aanbieders die er meer dagen voor uittrekken?
Master-It vind ik een goede opleider, want kleiner qua omvang en persoonlijker in de benadering dan computrain en global knowledge:
https://www.master-it.nl/...a-security-plus-training/

Assumption is the mother of all fuck ups


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
[b][message=53659081,noline]Iemand met een achtergrond van systeembeheerder die in de wereld van securty wil intreden, welke richting zou die moeten kiezen? Eerst verdiepen in netwerken en dan securty of is er een road map waar we in kunnen kijken :)
Mijn persoonlijke mening, je zei het zelf al: alles is doorspekt met security. Je kan geen systeembeheer meer doen zonder ook security te doen. Dus als je er nog niets mee doet, verbreed dan zo snel mogelijk je huidige kennisgebied met security.

Ben je Unix of Windows beheerder? Ga leren over firewalls, automated builds (Puppet, Salt, Chef, Ansible), over system hardening, automated installs en patching en meer.

Ben je programmeur? Kijk naar secure coding practices, leer over de meest gemaakte fouten in je programmeertalen, leer hoe in het verleden enorm grote fouten zijn gemaakt zodat jij ze niet herhaalt.

Ben je manager? Leer over het uitbreiden van je beleid met security awareness en wat voor veiligheidsmaatregelen relevant zouden zijn voor jouw team(s).

Security kàn een vakgebied apart zijn, maar je hoeft er je werk niet van te maken. Je werk zonder security uitvoeren, dat is echter geen optie wat mij betreft :)

Liege, liege, liegebeest!


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Ik ben bang dat mevrouw Harris geen CISSP boeken meer zal schrijven. :|

Denk dat een boek van 2014 of eerder misschien niet geheel courant meer zal zijn.

EDIT:
Ik lees net dat er in 2015 en '16 postuum nog vernieuwde uitgaves van haar boek zijn verschenen.

Liegebeest wijzigde deze reactie 10-01-2018 17:40 (9%)

Liege, liege, liegebeest!


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

@Liegebeest Ik weet dat Shon Harris overleden is - gelinkte boek is gebaseerd op haar vorige CISSP boeken, bijgewerkt door Fernando Maymi.
@Hmmbob de 1e die je noemt ken ik, deze zat inbegrepen bij het bootcamp van Global Knowledge. In vergelijking met de 2 welke ik noemde vond ik deze kwalitatief tegenvallen.

Your lack of planning is not my emergency


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

@vries750 let wel even op dat de diverse proefexamens nog minder representatief zijn voor het echte examen dan in het verleden - eind vorig jaar is het examen aangepast, en IPV 6 uur voor 250 vragen heb je nu 3 uur voor 100 tot 150 vragen - afhankelijk van hoe goed/slecht je de eerste 100 maakt kan je tot max 50 vragen extra krijgen. Daarnaast wordt het CBK (Common Body of Knowledge, het geheel aan stof dat je geacht wordt te beheersen voor het examen) in April dit jaar aangepast, maar dit zijn vooral wat kleine aanpassingen qua weging van de diverse domeinen, inhoudelijk veranderd er weinig

Your lack of planning is not my emergency


Acties:
  • +9Henk 'm!
  • Pinned

  • Squ1zZy
  • Registratie: april 2011
  • Niet online

CISSP


Certified Information Systems Security Professional (CISSP) is een onafhankelijk informatiebeveiliging certificaat uitgereikt door het International Information System Security Certification Consortium ISC².

Associate


Een ISC² Associate is een alternatief voor het "normale" certificaat-proces. Het is een "instap" voor security specialisten die nog geen jaren werkervaring hebben binnen het vak. Bij het behalen van het examen ben je een zogenaamde ISC² Associate. Je hebt het examen behaald, maar je hebt nog geen certificaat mogen ontvangen. Om het certificaat te mogen ontvangen moet je een endorsement proces door.

Om de titel associate te mogen dragen moet je voldoen aan de volgende punten:

1. Behalen van het CISSP examen.
2. Jaarlijkse bijdrage aan ISC² van $35.
3. Voldoen aan 15 CPE credits op jaarbasis.

Endorsement


Iedereen draagt de titel ISC² Associate na het behalen van het examen. Als je het certificaat wilt ontvangen moet je een zogenaamde endorsement proces door. Dit kan op 2 manieren:

1. Door ISC² zelf.
2. Door een gecertificeerde CISSP-er.

Wanneer het endorsement proces door een gecertificeerde CISSP-er wordt uitgevoerd, verklaard diegene dat hij garandeert dat de endorser voldoet aan de volgende eisen:

1. Ten minste vijf jaar werkervaring in minimaal twee van de acht CISSP-domeinen.
2. Voldoen aan de "Code of Ethics" van ISC².

Mocht je dit willen laten doen via ISC², dan moet er zoveel mogelijk "bewijs" worden aangeleverd via een web-formulier waarna het maximaal 6 weken duurt voordat je het CISSP certificaat mag ontvangen.

Na het endorsement proces mag je de titel CISSP dragen. Om deze titel te behouden moet je wel voldoen aan de volgende punten:

1. Jaarlijkse bijdrage aan ISC² van $85.
2. Voldoen aan 40 CPE credits op jaarbasis.
3. Voldoen aan de "Code of Ethics" van ISC².

Note: Het is mogelijk om met vier jaar werkervaring je CISSP certificaat te behalen. Hiervoor is een bepaald certificaat of opleiding afdoende. Voor een volledige lijst check hier.

Het examen


Note: Het examen is sinds eind 2017 veranderd.

Hieronder de belangrijkste punten over het nieuwe examen:

1. Het examen bevat tussen de 100 en 150 vragen.
2. Er moet minimaal 70 punten worden behaald.
3. Het examen moet binnen 3 uur worden afgelegd.
4. Van te voren weet je niet hoeveel vragen je krijgt.
5. Tijdens het examen zie je alleen bij welke vraag je bent, niet hoeveel vragen je nog moet beantwoorden.
6. Je kunt niet terug als een vraag is eenmaal is beantwoord.
7. Vragen zijn niet meer te markeren als review om deze later terug te bekijken.
8. Inhoud van het examen is al tijden niet veranderd.
9. Wanneer je bent gezakt krijg je het aantal punten te zien en op volgorde hoe je per domein hebt gescoord. Wanneer je bent geslaagd staat er "gefeliciteerd" en that's it.

Het nieuwe examen heeft een interessant "path-to-succes" gekregen. Het zit ongeveer zo:

Je begint met een gemiddelde "moeilijkheids" vraag. Mocht je de eerste vraag goed hebben dan blijf je een beetje op hetzelfde niveau en ben je sneller bij je "einddoel". Mocht je een vraag fout hebben dan krijg je een "makkelijkere" vraag, maar dan moet je ook meer vragen goed beantwoorden voor je bij je einddoel bent.

Hier probeert iemand het uit te leggen.

8 CBK domeinen


Hieronder de 8 domeinen behorende tot de 'Common Body of Knowledge' (CBK):

1. Security and Risk Management.
2. Asset Security.
3. Security Engineering.
4. Communications and Network Security.
5. Identity and Access Management.
6. Security Assessment and Testing.
7. Security Operations.
8. Software Development Security.

Study materiaal


Ik raad aan vooral niet te haasten met CISSP. Er zijn mensen die het examen in een maand hebben behaald, maar naar mijn idee is dat onrealistisch. Zelf heb ik er een half jaar over gedaan...

Boeken:

1. Official (ISC)2 Guide to the CISSP CBK, Fourth Edition

Droge stof en erg moeilijk doorheen te komen, maar wel een aanrader.

2. CISSP All-in-One Exam Guide, Seventh Edition van Shon Harris Fernando Maymi en Fernando Maymi

Must-read naar mijn idee.

3. CISSP (ISC)2 Certified Information Systems Security Professional Official Study Guide van James M. Stewart Mike Chapple en Darril Gibson

Must-read naar mijn idee.

Videos:

1. Cybrary van Kelly Handerhan

Gratis en heel goed uitgelegd. Ook kan je op Cybrary CPE credits verdienen die je later nodig zal hebben.

2. Skillset

Skillset heeft goede videos waarvan enkele op Youtube. Bekijk de Skillset videos eerst op YouTube en bedenk dan of je een account wilt aanschaffen. Het is niet gratis, maar ze geven een 100% garantie op slagen. Mocht je 100% gehaald hebben op de website en je mocht zakken, dan krijg je van Skillset een voucher om het examen opnieuw af te leggen.

Kosten Skillset:

- 1 maand pro: $99 per maand.
- 3 maanden pro: $79 per maand.
- 12 maanden pro: $59 per maand.

Ook hebben ze veel oefenvragen. Ik raad aan VEEL tijd in oefenvragen te steken. Bij elke vraag die je niet kan beantwoorden, of antwoorden die je niets zeggen, googlen! Zorg dat je met zekerheid kan zeggen waarom het juiste antwoord het juiste antwoord is.

Oefenvragen:

1. CISSP Official (ISC)2 Practice Tests van Mike Chapple David Seidl

Zoals ik al zei: Veel oefenvragen. Je leert er het meeste van na mijn idee.

YouTube:

1. Alle CISSP videos

Op YouTube staan veel videos over CISSP, maar ik kan ook aanraden YouTube te gebruiken wanneer je meer af wilt weten van een bepaald onderwerp. Denk aan een netwerkonderdeel. Kan best zijn dat dat kort in een CISSP video wordt uitgelegd, maar als je op dat onderdeel gaat zoeken je zeer goede videos tegen komt.

2. Cheat Sheet

In deze video gaat iemand met een vogelvlucht door het stof heen. Je moet ALLES begrijpen wat in deze video langs komt. Een goede test voor je begint aan het examen.

Tips


1. Neem je tijd. Niet alleen om te leren, maar ook tijdens het examen. Er is tijd genoeg.
2. Lees de vragen desnoods 2x. Sommige vragen zijn best lastig en tricky.
3. Bekijk de vragen met een "managers-pet" op. Ga niet te technisch nadenken over wat wel of niet mogelijk is.
4. Een woordenboek Engels/Nederlands is toegestaan. Neem er één mee.

Mocht je informatie nodig hebben, materiaal of wat dan ook, laat het me maar weten via DM.

Note: Deze post is in ontwikkeling. Ik zal de post aanvullen wanneer ik er tijd voor heb. Heb je aanvullingen, ideeën, klachten? Laat het me weten, dan voeg ik het toe :)

Squ1zZy wijzigde deze reactie 31-01-2018 15:41 (39%)

"Security should be baked in, not sprayed on!"


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
- Je kunt niet terug als een vraag is beantwoord
- Vragen zijn niet meer te markeren als "Review".
Yikes! O_o

Bedankt voor je super-uitgebreide toelichting! Daar kunnen mensen wat mee!

Liege, liege, liegebeest!


  • SeatRider
  • Registratie: november 2003
  • Laatst online: 06-12 16:03

SeatRider

Wait, wut?

quote:
Batiatus schreef op dinsdag 16 januari 2018 @ 11:54:
Na het halen van CISSP en CISM wil ik nu CISA gaan doen. Ik wil sowieso de vragendatabase gaan downloaden, die is erg nuttig geweest voor CISM. Ik heb echter geen echte audit achtergrond, wel brede ervaring in het cybersecurity werkveld.
Wie heeft CISA gehaald en kan goede boeken / online cursussen aanraden?
Heb het CISM boek ooit besteld, een keer open geslagen en daarna ritueel verbrandt. Leest echt voor geen meter weg dat boek.
Ik heb dezelfde ervaring met het CISM boek. Mijn theorie is dat dat komt omdat je CISSP al gedaan hebt, en de helft van de tijd zoiets hebt van "dat heb ik toch net ook al gelezen" en "duh". Ik heb uiteindelijk alleen de examenbundels doorgewerkt, gewoon per vraag kijken als ik het fout had, of ik de "redenatie" kon begrijpen. Daarna zo door het examen gerold, idem met CISA en CRISC.

Nederlands is makkelijker als je denkt


  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

Zojuist bevestiging van ISC2 ontvangen: endorsement/werkervaring is goedgekeurd, ik mag mezelf nu officieel CISSP noemen :)

Your lack of planning is not my emergency


  • Squ1zZy
  • Registratie: april 2011
  • Niet online
quote:
medal schreef op maandag 29 januari 2018 @ 16:53:
[...]


Nice, de rapportage zal wel goed komen als het maar kloppend is en genoeg screenshots bevat.
“We are happy to inform you that you have successfully completed the Penetration Testing with Kali Linux certification exam and have obtained your Offensive Security Certified Professional (OSCP) certification.”

:)

"Security should be baked in, not sprayed on!"


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

CompTIA Pentest+ Beta is ook begonnen: https://certification.comptia.org/certifications/pentest
Ik heb mij ingeschreven, voor 45 euro prima om te proberen. Gezien de objectives komt het over met CEH, maar dan met aantal simulaties en een stuk goedkoper. Ik ga dus ook het CEH materiaal gebruiken ter voorbereiding, ben benieuwd.

Zenix wijzigde deze reactie 31-01-2018 20:43 (12%)


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Zenix schreef op woensdag 31 januari 2018 @ 20:43:
CompTIA Pentest+ Beta is ook begonnen: https://certification.comptia.org/certifications/pentest
Ik heb mij ingeschreven, voor 45 euro prima om te proberen. Gezien de objectives komt het over met CEH, maar dan met aantal simulaties en een stuk goedkoper. Ik ga dus ook het CEH materiaal gebruiken ter voorbereiding, ben benieuwd.
Dat ziet er interessant uit! Misschien moet ik't er toch eens voor de lol op wagen, ondanks dat ik mezelf had beloofd het juist een paar maanden rustig aan te doen. Ben juist net Civ6 aan het leren. :O

EDIT:
Okay, ik heb dan toch ook geboekt, voor 16/04. Als ik de objectives doorlees, dan kan het nog best een uitdagend examen worden!

M'n eerste inschatting zegt dat't voelt als veel interessanter dan CEH! Het examen zal ingaan op legal en zakelijke aspecten van een pen-test, wat elders onderbelicht blijft. Zeg maar de CISSP aanpak, maar dan op pen-testing: je moet van heel veel dingen wat weten, ook aspecten die je in je dagelijks werk misschien niet tegenkomt. Qua techniek gaat't daarentegen weer niet heel erg diep.

Liegebeest wijzigde deze reactie 01-02-2018 18:01 (33%)

Liege, liege, liegebeest!


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op donderdag 1 februari 2018 @ 06:20:
[...]

Dat ziet er interessant uit! Misschien moet ik't er toch eens voor de lol op wagen, ondanks dat ik mezelf had beloofd het juist een paar maanden rustig aan te doen. Ben juist net Civ6 aan het leren. :O

EDIT:
Okay, ik heb dan toch ook geboekt, voor 16/04. Als ik de objectives doorlees, dan kan het nog best een uitdagend examen worden!

M'n eerste inschatting zegt dat't voelt als veel interessanter dan CEH! Het examen zal ingaan op legal en zakelijke aspecten van een pen-test, wat elders onderbelicht blijft. Zeg maar de CISSP aanpak, maar dan op pen-testing: je moet van heel veel dingen wat weten, ook aspecten die je in je dagelijks werk misschien niet tegenkomt. Qua techniek gaat't daarentegen weer niet heel erg diep.
Toevallig ik ook op de 16de :D Ja het lijkt mij ook een betere vervanger voor CEH. Die is gewoon te duur voor een simpel multiple-choice examen. Verder is ook niet iedereen fan van EC-Council. Comptia heeft door dat veel geld te verdienen is in de security examens en daar is dit onder andere een resultaat van. Bij het CySA+ examen van Comptia duren de sims wel een aantal minuten, daardoor heeft het examen naar mijn mening meer waarde. Het is natuurlijk geen advanced level, maar lijkt mij een goede opstap. CASP is wel advanced level en wordt gezien als een technischer versie van CISSP.

Ik bel wel benieuwd wat jij allemaal voor lesstof gaat gebruiken? Zoals ik al aangaf begin ik met CEH, maar dat lijkt gezien de objectives niet echt genoeg te zijn. Er zijn ook een aantal die de examens komende week al gaan doen(op reddit en techexams).

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Ik bel wel benieuwd wat jij allemaal voor lesstof gaat gebruiken?
Ik heb werkelijk geen idee eigenlijk :D Trouwens, jij gaat niet toevallig ook naar Amersfoort?

Ik ga de komende weken eerst nog even lekker genieten van Civ6, waar ik pas net mee ben begonnen. Daarna ga ik boel eens bij elkaar rapen. CEH, CISSP en OSCP heb ik allemaal al gedaan, dus het leeuwendeel van de zaken heb ik al eens gezien. Opfrissen dus vooral. En waar nodig wat uitdiepen, want vooral de legal/business kant van pen-testing heb ik nog niet veel tijd mee doorgebracht :)
quote:
Er zijn ook een aantal die de examens komende week al gaan doen(op reddit en techexams).
Dat ga ik dus sowieso eens goed in de gaten houden! :)

Dit zou m'n allereerste CompTIA examen worden, dus ik heb geen idee hoe hun andere examens zijn. CySA+ en Sec+ (wat hebben die lui uberhaupt met al die plusjes! 8)7 ) heb ik dus ook nooit gedaan. Weet nog niet goed wat ik kan verwachten.

Liegebeest wijzigde deze reactie 01-02-2018 19:35 (30%)

Liege, liege, liegebeest!


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op donderdag 1 februari 2018 @ 19:33:
[...]

Ik heb werkelijk geen idee eigenlijk :D Trouwens, jij gaat niet toevallig ook naar Amersfoort?

Ik ga de komende weken eerst nog even lekker genieten van Civ6, waar ik pas net mee ben begonnen. Daarna ga ik boel eens bij elkaar rapen. CEH, CISSP en OSCP heb ik allemaal al gedaan, dus het leeuwendeel van de zaken heb ik al eens gezien. Opfrissen dus vooral. En waar nodig wat uitdiepen, want vooral de legal/business kant van pen-testing heb ik nog niet veel tijd mee doorgebracht :)


[...]

Dat ga ik dus sowieso eens goed in de gaten houden! :)

Dit zou m'n allereerste CompTIA examen worden, dus ik heb geen idee hoe hun andere examens zijn. CySA+ en Sec+ (wat hebben die lui uberhaupt met al die plusjes! 8)7 ) heb ik dus ook nooit gedaan. Weet nog niet goed wat ik kan verwachten.
Geen Amersfoort, maar Zwolle helaas ;) Ik heb ook geen ervaring met CompTIA examens, CySA(CSA+ eerst) is ook net een jaar op de markt. CompTIA is in Nederland niet zo bekend, maar in de VS populair. Dit komt vooral door de erkenning van de DoD voor bepaalde niveaus, zonder die certificaten kan je een bepaalde banen anders niet krijgen.

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Squ1zZy schreef op donderdag 1 februari 2018 @ 21:58:
Zelf ben ik groot fan van ISC2. Valsspelen is erg lastig
Op het examen misschien, maar nadien is het simpel om met CPE te sjoemelen. Iemand zoals ik, die bijna tien jaar geleden z'n CISSP haalde, kan in de tussentijd dus eigenlijk niets hebben gedaan behalve jokken over CPE en elk jaar geld lappen.

Dat staat me sowieso het meeste tegen van toko's als ISC2 en ECC: de jaarlijkse bedragen. Okay, USD85 per jaar val je je geen breuk aan, maar ik heb ook niet het idee dat de gemeenschap buiten N-Amerika er veel beter van wordt.
quote:
Hetzelfde geldt voor OSCP. Iedereen kan OSCP halen wanneer de juiste persoon naast diegene zit en mee kan klikken. Er is totaal geen toezicht. Tuurlijk snap ik dat dit niet de bedoeling is, maar als je ergens voor geleerd hebt en zeker wilt zijn dat je slaagt, dan vraag ik me af hoevaak dit gedaan wordt.
Heb ik eigenlijk nooit bij stil gestaan, maar nu je het zegt is het niet onmogelijk dat't gebeurt. Helemaal als je sommige vragen op de OffSec forums ziet: basiskennis netwerktrouble-shooting, voor iemand die een pen-test diploma wil halen? Net als jij ben ik benieuwd hoe vaak er fraude plaatsvindt, hoewel ik ook de indruk heb dat het leeuwendeel van de mensen die voor deze titel gaan haar vooral kennen omdat ze al in het vak zitten. Misschien is in dit geval de beperkte bekendheid dus een bonus ;)
quote:
CISSP wordt bij de technische bedrijven als "HR papiertje" gezien. Ze geven aan dat het goed op je CV staat, maar echt veel heb je er niet aan. Ik ben het hier niet mee eens.
Meningen verschillen :) Persoonlijk ben ik blij dat ik m'n CISSP heb gehaald, omdat het inderdaad een "formaliteit" is voor HR. Tijdens m'n leergang heb ik ook best wat nieuwe dingen geleerd en het is vooral bewustwording van de grotere wereld dat er bij mij is gekweekt. Maar zo zie ik het dus: een papiertje dat jouw blik op de security wereld verruimd.
quote:
Wat is dan de top qua certificeringen?
  • SANS certificaten staan hoog in aanzien, maar ze zijn superduur om te doen en ook daar moet je elk jaar lidmaatschap lappen.
  • CEH is voor veel HR ook een verplicht vlaggetje, maar door veel mensen in het vak wordt het niet beschouwd als iets dat wat waard is: het is meer een safari door Beeksebergen. "Kijkt u links dan ziet u een passwordcrack, en rechts verderop staat een netwerksniffer."
  • OSCP wordt binnen het vak wel erkend als iets dat zeker wat waard is: je moet je bewijzen. En als je hebt ge-cheat, dan val je er bij het sollicitatiegesprek ook echt wel doorheen. Je CV moet natuurlijk ook het een en ander bewijzen.
quote:
Hoe staat CompTIA in de markt?
Zoals een ander al zei is het hier in EUR minder bekend; ken je 'm vooral van hun instapexamens. In Amerika schijnen ze hoog in aanzien te staan ivm erkenning door de overheid.

Voor mij is de vraag ook wel een beetje: wat wil je er mee bewijzen? Als je alleen maar nieuwe papiertjes kan binnensnorren en voor de rest weinig tot niets doet met de verworven kennis, dan prikt men daar dus gauw doorheen. Alleen maar papiertjes scoren bewijst weinig.

Liege, liege, liegebeest!


  • Squ1zZy
  • Registratie: april 2011
  • Niet online
Begin January ben ik geslaagd voor een ISC2 examen. Ik ontving hierbij een email waar het volgende in stond:
quote:
Congratulations! It gives me great pleasure to inform you that you have passed the (ISC)² credential examination and are now an Associate of (ISC)².

You may not claim CPE credits for activities that occurred prior to your Associate cycle start date.
Het ging mij om de laatste zin. Ze spreken over een "cycle start date". Ik lees dit meer dat je je CPE credits mag claimen nadat je associate bent. Klinkt best logisch…

Nu heb ik CPE credits "geclaimd" op de 29e van January wat ongeveer 3 weken is na het behalen van mijn associate status. Deze werden echter niet geaccepteerd. De "cycle start date" begint blijkbaar in een nieuwe maand. In mijn geval dus 1 February.

Uiteraard was ik het er niet mee eens en heb een ellenlange email gestuurd waarom ik het er niet mee eens ben en dat het niet duidelijk is.

Nu krijg ik de volgende email terug:
quote:
Thank you for contacting us. I do apologise for the confusion around your Associate cycle and you are quite correct in that the follow-up emails to confirm further details of your cycle are not being sent correctly. We will adjust this procedure as soon as possible.
 
I will absolutely add those CPEs for you so that you can claim them successfully for this cycle.
*O*

"Security should be baked in, not sprayed on!"


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Squ1zZy schreef op donderdag 1 februari 2018 @ 21:58:
Ik ben wel benieuwd naar jullie ideeën over certificeringen, door wie deze wordt uitgegeven, hoe ze worden ontvangen op de markt etc.

Zelf ben ik groot fan van ISC2. Valsspelen is erg lastig (jammer genoeg was het eerst een open-boek examen) omdat er geen oefenvragen te downloaden zijn die op het examen worden gesteld en er is toezicht in de zin van een examencentrum).

In mijn carrière ben ik geslaagd voor 41 Microsoft examens en die hebben totaal geen waarde omdat iedereen kan slagen voor Microsoft examens.

Hetzelfde geldt voor OSCP. Iedereen kan OSCP halen wanneer de juiste persoon naast diegene zit en mee kan klikken. Er is totaal geen toezicht. Tuurlijk snap ik dat dit niet de bedoeling is, maar als je ergens voor geleerd hebt en zeker wilt zijn dat je slaagt, dan vraag ik me af hoevaak dit gedaan wordt.

CISSP wordt bij de technische bedrijven als "HR papiertje" gezien. Ze geven aan dat het goed op je CV staat, maar echt veel heb je er niet aan. Ik ben het hier niet mee eens.

Nemen jullie deze overwegingen mee in welk examen je wilt behalen? Wat is dan de top qua certificeringen? Hoe staat CompTIA in de markt?
Ik werk nog niet eens jaar op HBO niveau in de ICT. Mijn doel is ook niet om certificaten te halen, maar mijn kennis te verdiepen en te verbreden, zodat ik uiteindelijk een bepaalde positie kan krijgen in de security. Door dit met certificaten te doen heb je een gestructureerd leerpad met duidelijke doelen(objectives) en door het examen in te plannen ook een stok achter de deur. Als ik geen examen op de planning heb staan ga ik gewoon minder leren :P Ik neem het niet direct mee hoe ik een instantie in de markt staat, EC-Council staat beter aangeschreven in Nederland door de naam CEH, maar daarom ga ik geen examen doen. Het gaat tenslotte om de kennis die je kan opdoen.

CISSP staat in de toekomst wel op de planning, maar voor mij heeft die kennis op dit punt in mijn carriere weinig nut. Ik zal er op dit moment niks mee doen, Associate hoeft ook niet voor mij. Ik denk dat een examen pas nuttig is als je er wat mee kan en het ook kan plaatsen. Ik heb er overigens wel een beeld van CISSP, omdat ik het ook een keer als vak heb gehad tijdens HBO-ICT, maar dat was meer op hoofdlijnen.

OSCP is natuurlijk een fantastisch examen en is ook een doel op termijn. Maar dit geld ook voor bijvoorbeeld eCPPT.

GIAC/SANS/ISC2 zijn allemaal multiple-choice, maar de multiple-choice examens zijn wel van een bepaald niveau, heel breed of gewoon erg lastig met het kiezen van het 'beste antwoord'

CompTIA heeft security examens voor foundation, mid level en advanced. Voordeel tegenover alleen multiple-choice examens is dat er ook sim vragen inzitten. Op alle niveaus krijg je sims, dus ook het CASP examen, wat bij de DoD op hetzelfde niveau staat als CISSP. CompTIA examens zijn hierdoor iets technischer van aard dan bijvoorbeeld ISC2, maar toch nog breed genoeg.
Verder maakt CompTIA de examens samen met experts: https://certification.com...ps/pentest-experts-needed Mensen met OSCP hebben meegedacht aan dit betreffende examen, waardoor ik denk dat het niveau wel redelijk zal zijn. Het grote voordeel van CompTIA is dat het een security examen heeft op elk niveau en dat het examen op niveau hoger ook goed aansluit.

Daarnaast zijn veel examens maar een bepaald aantal jaren geldig en moet je of een certificaat van hoger niveau halen of op een bepaalde manier CEU/CPE halen. Dit is bij ISC2 en CompTIA en nog wel een aantal anderen het geval. Ondanks dat dit grotendeels multiple-choice examens zijn wordt je wel gedwongen om met je kennis bij te blijven, waardoor de waarde van het examen ook hoger kan worden. Ik heb bijvoorbeeld ook CCNA R&S en volgend jaar loopt die af waardoor ik CCNA Cyber Ops ga doen, dat is dan weer een goede opfrisser. Als je dan een aantal examens hebt die je moet vernieuwen blijf je bezig met leren. Uiteindelijk een zeer goed verdienmodel voor die bedrijven :+

Top examens hangt uiteindelijk af van het doel. Als je kijkt naar pentesting is dan is OSCP/OSCE/eCPPT.
Maar kijk je meer breed of mangement in de security zit je meer aan de CISSP, CISM, CISA etc.
Daarnaast is het top examen ook afhankelijk van het niveau wat je nastreeft. Voor iemand die net begint kan CompTIA Security+ een top examen zijn, omdat diegene hierdoor een beeld krijgt van de security wereld en hierdoor weet wat hij hierna gaat doen.
quote:
shaowoo schreef op vrijdag 2 februari 2018 @ 10:18:
leuke forum topic :) ..ik was aan zoeken in hoeverre ccsp in Nederland bekend was en kwam hier terecht. Twijfelde, vanwege de examen fee van 555 Euro, of ik de examen zou doen. Voor CISSP vond ik het waard.

Als ik de CCSP examen haal, overweeg ik de CSX (van ISACA) practitioner (daarvan heb ik de foundation al gehaalt) of ISSAP te doen. Ze zijn inderdaad totaal verschillend, hands on versus methodieken.
Zeker doen, 555 euro lijkt veel, maar is niet duur in vergelijking met ander security certificaten.

Zenix wijzigde deze reactie 02-02-2018 11:39 (6%)


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Squ1zZy schreef op vrijdag 2 februari 2018 @ 09:51:
P.s. Woon je in de buurt van A'foort toevallig?
Laten we zeggen: binnen een straal van een half uur rijden :) Pour quoi?

Als't om de examen locatie gaat waar ik het over had: ik had ook weer naar GlobKnow in Q-Port@020 kunnen gaan, maar die locatie heb ik nu twee keer gezien; hij is niet fantastisch. Die in Amersfoort ligt in een mooie buurt, bij een oud klooster! Daar wil ik wel even gaan wandelen! :*)

Liegebeest wijzigde deze reactie 02-02-2018 19:24 (40%)

Liege, liege, liegebeest!


  • photofreak
  • Registratie: augustus 2009
  • Laatst online: 05-12 23:10
quote:
CasGas schreef op donderdag 22 februari 2018 @ 11:53:
Ik wil mij zelf ook verder verdiepen in de security wereld en ik zat te denken om te beginnen met een Ethical Hacker training/curus om de basics goed te begrijpen, maar wel met een examen er aan geplakt.

Nu had ik deze wel gevonden:
https://www.eccouncil.org...ified-ethical-hacker-ceh/

Iemand daar ervaring mee of dat een goede is om mee te beginnen, of moet ik ergens anders starten?

Het gaat mij voornamelijk om het technische aspect, dus het daadwerkelijk uitvoeren.
OSCP is ook een optie. Of CEH iets voor je is hangt af van je niveau. Of hoe @Liegebeest het ooit formuleerde:
quote:
Liegebeest schreef op vrijdag 21 oktober 2016 @ 19:30:
[...]

Een collega had me al gewaarschuwd toen ik me voor CEH opgaf: de term die je gebruikt ("veterstrikdiploma") vind ik achteraf erg goed gekozen. CEH is een leuk traject voor mensen die net komen kijken, of voor managers die moeten bewijzen dat ze ook eens hebben geroken aan security.

Ik ben blij dat ik 't als avond-traject heb kunnen doen, zodat ik geen billable hours ben misgelopen. En dat we't met enige korting hebben doen. Op die manier is't geen weg gegooid geld geweest.

Op naar de live PWK/OSCP training in December! Dat wordt leuk.

  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:01
Ik heb vandaag mijn GCIH-titel behaald. 83% gescoord op het examen. Kreeg toch wel weer wat lastige vragen die ik niet had verwacht.

Toch mooi kunnen afsluiten met nog 5 minuten op de klok.. Zo'n zitting van 4 uur word je trouwens ook wel lekker gaar van, holy shit :')

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Van harte, goed werk joh!

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Taine0
  • Registratie: februari 2017
  • Laatst online: 02-12 07:59
quote:
CasGas schreef op donderdag 22 februari 2018 @ 11:53:
Ik wil mij zelf ook verder verdiepen in de security wereld en ik zat te denken om te beginnen met een Ethical Hacker training/curus om de basics goed te begrijpen, maar wel met een examen er aan geplakt.

Nu had ik deze wel gevonden:
https://www.eccouncil.org...ified-ethical-hacker-ceh/

Iemand daar ervaring mee of dat een goede is om mee te beginnen, of moet ik ergens anders starten?

Het gaat mij voornamelijk om het technische aspect, dus het daadwerkelijk uitvoeren.
Geen CEH doen, meteen OSCP. Rest is toch bagger.

  • sopsop
  • Registratie: januari 2002
  • Laatst online: 06-12 13:16

sopsop

[v] [;,,;] [v]

quote:
sopsop schreef op woensdag 22 februari 2017 @ 15:24:
Na mijn CISSP en CEH certificeringen ben ik sinds vorige week begonnen met CSSLP. Aangezien ik aardig wat overlap met CISSP zag in de domeinen, heb ik besloten om dit op te pakken d.m.v. zelfstudie. Ik heb hiervoor het CSSLP CBK gekocht, maar ook het CSSLP all in one (Exam Guide) boek. Dat CBK doe ik niet meer open overigens, net zoals bij CISSP is dat erg vermoeiend om te lezen.

Daarnaast heb ik voor de echte kennis nog het boek 'Threat modeling - desiging for security' van Adam Shostack gekocht. Zo op de eerste blikken een veel praktischer boek dan de CSSLP boeken.
Het heeft een jaar geduurd, maar ik heb mijn CSSLP gehaald. Het examen echt op de kop af een jaar nadat ik de boeken heb aangeschaft :) Uiteindelijk ben ik door drukke werkzaamheden pas in januari echt begonnen met studeren en 14 februari het examen gehaald en vorige week bericht gekregen dat de endorsement goedgekeurd is.

Examen is goed te doen, ook met zelfstudie. Ik denk wel dat mijn CISSP-traject dit een stuk makkelijker heeft gemaakt, ook al is dat alweer een tijdje geleden. Maar het blijft veel en taaie kost.

Acties:
  • +1Henk 'm!

  • medal
  • Registratie: februari 2010
  • Laatst online: 25-11 15:03
quote:
Liegebeest schreef op zondag 1 april 2018 @ 13:02:
De CTF was erg geslaagd :)

Maar, interessante vraag: heeft één van jullie toevallig al een leuke, Nederlandstalige wordlist voor password cracks? Hoeft nog niet eens een rainbow table te zijn, maar gewoon een lijst van veelvoorkomende Nederlandse wachtwoorden enz. Want tja, een rockyou.txt of zo'n adobe-1024 lijst is niet alleen erg groot, maar bevat ook geen dingen als Welkom01, Maandag2018, enz.
Niet persee Nederlands, maar ik gebruik regelmatig een lijst van :
https://github.com/danielmiessler/SecLists

Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Zo! Examen gehad, even snarf&barf van m'n eigen site zonder te vertalen:
quote:
Being a non-native english speaker I was given an extension, tackling 110 questions in 220 minutes (instead of 165). That was certainly doable: I got up from my seat with two hours gone. Overall I can say that my impression of the exam is favorable! While one or two specific topics may have stolen the limelight, I can say that my exam covered a diverse array of subjects. The "simulation" questions as they call them were, ehh, okay. They're not what I would call actual simulations, they're more like interactive screens, but I do feel they added something to the experience.

Yeah! Not bad at all! I would heartily endorse this certification track instead of EC Council's CEH. The latter may have better brand-recognition in EMEA, but CompTIA is still known as a respectable organization.
Gehaald? Ik heb geen idee. Het exam was breed, erg breed, en dat is goed! _/-\o_ Kwamen dingen voorbij waar ik misschien één keer wat mee heb gedaan, of nooit, dus soms naar beste inschatting moeten prikken in de opties. En dat is dus een goed teken van het examen! Want hoewel ik vorig jaar voor m'n OSCP ben geslaagd, ben ik nog steeds een newbie! Ik ben helemaal geen pen-tester, ik ben een IT consultant / Jack-of-all-trades, die ook security assessments doet.

Al met al, heeft CompTIA een goede indruk achtergelaten! Ik ben absoluut gesterkt in mijn voornemen om ook Network+ bij hen te doen, om m'n netwerkkennis op te vijzelen.

Liegebeest wijzigde deze reactie 16-04-2018 13:21 (54%)

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op maandag 16 april 2018 @ 13:09:
Zo! Examen gehad, even snarf&barf van m'n eigen site zonder te vertalen:


[...]


Gehaald? Ik heb geen idee. Het exam was breed, erg breed, en dat is goed! _/-\o_ Kwamen dingen voorbij waar ik misschien één keer wat mee heb gedaan, of nooit, dus soms naar beste inschatting moeten prikken in de opties. En dat is dus een goed teken van het examen! Want hoewel ik vorig jaar voor m'n OSCP ben geslaagd, ben ik nog steeds een newbie! Ik ben helemaal geen pen-tester, ik ben een IT consultant / Jack-of-all-trades, die ook security assessments doet.

Al met al, heeft CompTIA een goede indruk achtergelaten! Ik ben absoluut gesterkt in mijn voornemen om ook Network+ bij hen te doen, om m'n netwerkkennis op te vijzelen.
Ja klopt heel erg breed. Ik heb weinig python kennis/ervaring en ook geen ervaring met web applicaties testen, dus dat was veel gokken... Ik was ongeveer 45min van tevoren klaar.

Ik heb mij dus voorbereid met CEH materiaal en wat dingen opzoeken vanuit alle onderwerpen, maar dat was zeker niet voldoende. Ik sluit mij dus aan bij jou opmerkingen. Het is een stuk beter dan CEH. Het is veel specifieker en gaat een stuk dieper en is breder. Het is niet voldoende om alleen de ''tools'' te kennen.

Overigens zou ik geen Network+ doen, dat is echt een ander niveau dan dit examen. Ik zou dan eerder CCNA R&S doen, JNCIA-Junos of CCNA Cyber ops(stukje netwerken) Misschien nog wel leuker is om WCNA te doen, daarbij leer je ook veel over netwerken.

Zenix wijzigde deze reactie 16-04-2018 17:30 (7%)


Acties:
  • +1Henk 'm!

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op dinsdag 17 april 2018 @ 18:39:
Net ingeschreven voor de DAMTA (Defense Against Modern Targeted Attacks) training van CQure en Outflank. Ziet er uit als een leuke training om bij te blijven! Zullen wat bekende onderwerpen bijzitten, maar genoeg nieuwe stof om het interessant te houden. Plus 24CPEtjes natuurlijk :)

-> https://www.cqure.nl/even...targeted-attacks-training

Heb al één collega die meegaat, kijken of de ander ook meedoet. Wordt gezellig!

EDIT:
Whoa, ik had je opmerking over Network+ nog niet eens gezien! :F Bedankt voor de tips! Daar kan ik zeker wat mee! Weet alleen niet wat je bedoelt met "dat is echt een ander niveau". Bedoel je: A) veel moeilijker, B) veel makkelijker, C) hele andere koek, zonder security, D) iets anders?

Ik zoek een cert die me een stok achter de deur geeft om even een goede fundering te leggen qua netwerkkennis; ik heb nu nagenoeg niets. TCP/IP enz is natuurlijk geen raadsel voor me, maar moderne dingen als netwerkvirtualisatie, VRF en BGP heb ik geen kaas van gegeten. Daar wil ik meer over leren.
Lager qua niveau dan CCNA R&S bijvoorbeeld.
BGP zit op CCNP niveau bij Cisco, dat krijg je sowieso niet bij Network+ of CCNA R&S. Dingen zoals VRRP, OSPF, STP komen bij CCNA R&S ook naar voren, maar gaat meestal wat dieper. Ook al is het Cisco, de kennis is toepasbaar bij meerdere fabrikanten.

Leuke training. Ik heb Check Point CCSA op de planning staan voor juni.

Zenix wijzigde deze reactie 17-04-2018 21:10 (8%)


  • azerty
  • Registratie: maart 2009
  • Laatst online: 06-12 13:30

azerty

McFly

quote:
medal schreef op donderdag 19 april 2018 @ 00:12:
[...]


Waarom niet direct voor OSCP ?
Dat staat als volgende op de lijst :+ Training is betaald door werkgever, en omdat OSCP minder duur is kan ik die eventueel zelf bekostigen later dit jaar.

  • Grim
  • Registratie: september 2010
  • Laatst online: 06-12 21:03
quote:
HackTheBox is ook nog eentje mocht je die niet kennen.

https://www.hackthebox.eu/

Steam: Grim


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Root-me.org heb ik ook laatst ontdekt. Zijn geen VMs voor bij je thuis, maar er zijn wel een paar die je remote aan mag vallen.

Liege, liege, liegebeest!


Acties:
  • +2Henk 'm!

  • sh4d0wman
  • Registratie: april 2002
  • Nu online

sh4d0wman

Long live the King!

Topicstarter
Al die vuln vm's enzo zijn leuk maar vergeet niet om ook tegen echte applicaties te testen. Bij een VM weet je dat er ergens een lek zit.

Begin bijvoorbeeld met een applicatie van exploit-db en de bijbehorende exploit. Ga daarna op zoek naar eenzelfde soort bug in een willekeurige applicatie.

Bijkomend voordeel is dat je CVE's op je cv kan zetten of een bug bounty binnen harken. Je leert dan ook gelijk bug triage (wat is de impact? root cause?), rapportage en wellicht mitigation. d:)b

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


Acties:
  • +5Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Voor de liefhebbers, eLearnSecurity bieden tijdelijk hun entry-level pentesting training gratis aan.

Zie -> https://www.elearnsecurity.com/landing/free-pts-course

Liege, liege, liegebeest!


Acties:
  • +2Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Zit nu de webinar van eLearnSec te kijken over v5 van hun PTP training. Ziet er uit als een interessante aanvulling op OSCP, in zoverre dat er ook veel met Powershell wordt gewerkt.

https://www.facebook.com/.../videos/1619576854764136/

Hun labs zien er niet gek uit! Ze zijn niet gedeeld, maar voor jou specifiek. De hele lijst met onderwerpen ziet er goed uit.

EDIT:
Boeoeoe... Het nieuwe Powershell hoofdstuk zit alleen in de duurste variant. :X

EDIT:
De gratis PTS is er weer -> https://www.elearnsecurity.com/freepts

En er is een dikke kortingscode voor de PTSv5: PTP-D4A (30% korting plus een "gratis" upgrade naar de duurdere variant). Inwilligen op https://www.elearnsecurity.com/ptp. Geldig tm 31/05

Liegebeest wijzigde deze reactie 22-05-2018 19:59 (52%)

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op dinsdag 22 mei 2018 @ 19:45:
Zit nu de webinar van eLearnSec te kijken over v5 van hun PTP training. Ziet er uit als een interessante aanvulling op OSCP, in zoverre dat er ook veel met Powershell wordt gewerkt.

https://www.facebook.com/.../videos/1619576854764136/

Hun labs zien er niet gek uit! Ze zijn niet gedeeld, maar voor jou specifiek. De hele lijst met onderwerpen ziet er goed uit.

EDIT:
Boeoeoe... Het nieuwe Powershell hoofdstuk zit alleen in de duurste variant. :X
Haha, was net op tijd voor de kortingscode >:)

Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
Interesse altijd ;)

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +2Henk 'm!

  • sh4d0wman
  • Registratie: april 2002
  • Nu online

sh4d0wman

Long live the King!

Topicstarter
Seco lijkt iets Nederlands / Europees dus daar zou ik minder snel voor gaan dan een internationale partij b.v. Comptia met Security+. CISSP kun je ook zonder werkervaring behalen alleen ben je dan "Associate" uit mijn hoofd.

Ik weet niet welke kennis je precies hebt en zoekt. Meestal wordt je geen CISO zonder een bepaalde basis kennis / vers vanuit de schoolbanken. Het is geen beschermde titel dus bij elk bedrijf kan de invulling anders zijn, dat maakt het moeilijk om hier advies te geven.

Security+ is een beetje de kleine broer van CISSP. Eventueel kun je CISSP aanvullen met Comptia CASP, CISM of juist iets technisch maar om die keuze te maken moet je eerst ervaring in je functie en team leden opdoen denk ik.

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


Acties:
  • +1Henk 'm!

  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:01
quote:
basje050 schreef op dinsdag 5 juni 2018 @ 13:26:
Beste Tweakers,

Ik mag binnenkort de functie van CISO bekleden maar wil graag extra relevante kennis opdoen wat betreft IT security. Ik zie alleen door de bomen het bos niet meer. Ik wil uiteindelijk sowieso mijn CISSP (ISC2) behalen. Momenteel is dat nog geen optie, daar ik niet genoeg werkervaring heb.

Ik moet dus een cursus/opleiding vinden die mij vaardigheden aanleert waardoor ik mijn functie beter kan uitoefenen. Zelf heb ik gekeken op Firebrand en Security Academy (SECO). Echter vraag ik mij af hoe men in de IT wereld kijkt naar certificering via Security Academy (SECO https://www.seco-institute.org/)

Is er iemand die mij misschien wil adviseren?
Gefeliciteerd met je aanstelling!

Ik zou zeggen: kijk eens naar CISSP, CISM en misschien ook een SANS-training? Ik zie SANS altijd wel een beetje als het paradepaardje op het gebied van (technische) IT-certificering. Ze bieden ook cursussen aan voor management. (https://www.sans.org/courses/management)

@liegebeest: lijkt oprecht wel interessant, ook al zit ik zelf wat meer in de techniek :)

Acties:
  • +1Henk 'm!

  • hellknight
  • Registratie: januari 2003
  • Laatst online: 07-12 13:22

hellknight

Medieval Nerd

@basje050 kijk ook eens naar SSCP - het kleine broertje van CISSP.
Hiervoor is slechts 1 jaar ervaring nodig, hetgeen bijna altijd wel haalbaar is als je bijv een systeembeheer achtige functie gehad hebt.

Your lack of planning is not my emergency


Acties:
  • +4Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Brainscrewer schreef op dinsdag 5 juni 2018 @ 15:47:
[...]
@liegebeest: lijkt oprecht wel interessant, ook al zit ik zelf wat meer in de techniek :)
Bedoel je m'n tech talk, of iets anders? De tech talk is een en al techniek, beginnend bij encryptie, via asymmetrie, signing, enz, naar certificaten en wat die dan eigenlijk betekenen, waarna we BAM! doorgaan naar de hele infrastructuur die daar bij komt kijken. Het begint zo klein en simpel :o

@basje050 ook bij deze felicitaties! Het is heel wat om je CISO van een instelling te mogen noemen, die C maakt deel uit van de C-suite... Oftewel, the big honchos. Maar let op! Zoals je bij CISSP zal gaan leren hoort daar ook een bepaalde mate aan verantwoordelijkheid en ook aansprakelijkheid bij! Het zal wel iets afhangen van hoe het binnen het bedrijf vorm wordt gegeven, maar de CISO-rol is wel even wat meer dan "security architect". Iets met "noten" en "hakblok".

Dat gezegd hebbende kan ik het alleen maar eens zijn met mijn voorgangers!
  • CISSP kan je nu al aan werken. Na het slagen voor het examen ben je een "associate" en wordt je pas CISSP na de nodige werkervaring. De kennis die je opdoet bij de studie is enorm waardevol in een CISO-rol: breed, heel breed, op alle vlakken van een IT-organisatie.
  • SANS werd aangehaald. Meerdere keren per jaar trekken ze door Europa met hun dure cursussen. Duur, maar ook waardevol. Ze hebben meerdere tracks die gericht zijn op management-rollen.
Daar naast... als CISO wordt je doorgaans geacht om juist niet technisch, maar op beleidsvlak bezig te zijn. Dus ga niet voor zaken als een pen-test examen, of dikke hardening studies. Dat moet je overlaten aan je techneuten. De CISO moet beleid kunnen schrijven en stellen, de grote lijnen uitzetten waar de techneuten de implementatie van kunnen doen. Security awareness creëren en onderhouden bij het hele bedrijf. Enzovoort. Een spannende taak! Ik wens je veel plezier en veel succes!

Liegebeest wijzigde deze reactie 05-06-2018 20:14 (60%)

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • basje050
  • Registratie: september 2011
  • Laatst online: 04-12 16:26
Bedankt voor alle felicitaties!

Als CISO zal ik mij inderdaad meer bezig gaan houden met het beleid schrijven en eisen stellen. De technische kant laat ik over aan het technische personeel. Ik zal ook bezig zijn met security awareness. Pentesten gebeurd maandelijks door een externe partij.

Ik ga beginnen met het behalen van mijn Associate of (ISC)², en ga kijken naar SSCP en Comptia Security+.

Bedankt voor de adviezen!

Acties:
  • +2Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 23:08

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

@basje050 Dat zijn meer taken voor een Information Security Manager in mijn ogen, maar dat maakt niet uit, success in je nieuwe functie d:)b

Tips, als je een beleid moet gaan schrijven, kijk eens naar ISFS (Information Security Foundations) wat een behoorlijke portie inzicht geeft in wat er allemaal in een Security Policy moet staan (zij volgend daarin de ISO/IEC 27002:2013 als leidraad.) Zeker interessant als je net nieuw bent in de wereld van Information Security (management)

CISM voor als je wat meer informatie wilt hebben over wie nu waarvoor verantwoordelijk is en hoe het bedrijf ingericht zou moeten zijn in hierarchie. (een CISO die onder de CIO valt is bijvoorbeeld niet aan te raden)

CISSP voor iets meer inhoudelijk (technisch) en een verdieping ISSMP (voor management)

Wil je meer inhoudelijk, de verdieping ISSEP en of ISSAP (respectievelijk engineering and architecture)

Meer dan genoeg in ieder geval. :)

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • +2Henk 'm!

  • Equator
  • Registratie: april 2001
  • Laatst online: 23:08

Equator

Admin Internet & Netwerken

Bowmore & Laphroaig fan

Geen ervaring mee, maar let op dat een "Gecertificeerd Security Manager" niets zegt. Het is geen algemeen geaccepteerd certificeringsproces, maar meer een opeenstapeling van een aantal trajecten.

ISFS (ISO27000 deel) is een prima. Zie mijn post hierboven.

CISM kan je de opleiding volgen en examen doen, maar daadwerkelijk gecertificeerd worden houdt in dat je CV gecontroleerd wordt ofdat je wel voldoende ervaring hebt (min 5 jaar). Dus houdt rekening met alleen examen.

Vragen/opmerkingen
Privacy is something you can sell, but you can't buy back!


Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
basje050 schreef op maandag 18 juni 2018 @ 13:08:
Iemand hier die ervaringen heeft met de IT Management Group (ITMG)?
Ik ken ze niet, nee.

Hun LinkedIn profiel suggereert 55 medewerkers, waarvan een groot deel extern ingeleende trainers zijn. Op zich niet abnormaal: ITGilde leent ook vaak genoeg hun docenten uit.

Hun eigen nieuws-pagina gaat terug tot zeker in 2011, wat de suggestie wekt dat ze al een aardige tijd meegaan. Op zich prettig dat ze er één hebben: hun referenties-pagina leest positief weg (hoewel je natuurlijk kan cherry-picken).

De vormgeving van hun site ben ik niet echt over te spreken, maar dat is meer een persoonlijk ding :) Om de één of andere reden ben ik daar best gevoelig voor.

Op Springest krijgen ze goede reviews. Ik ken de naam Springest oa van BNR, maar weet niet hoe betrouwbaar ze zijn. 529 reviews voor ITMG lijkt me wat hoog; ik heb geen idee hoeveel van de reviews echt echt zijn. Ik bedoel, TSTC waar ik hele goede ervaringen mee heb en die ik als betrouwbaar ken hebben welgeteld 2 reviews. 2 vs 500+. Hmmm :| EDIT: misschien zijn ze gewoon slim en runnen zij hun post-training enquetes via Springest; dat zou natuurlijk het eea verklaren. TSTC doen dat met een A4tje, on-site.

Equator maakt goede punten; kan ik me alleen maar achter scharen.

Droog beschouwd is €6700 euro voor twee weken stampen en een aantal examens geen slechte prijs. Ik ben echter bang dat je niet persé moet rekenen op geslaagde examens, omdat je werkelijk twee weken lang een trechter in de keel krijgt om alles naar binnen te gieten. Je maakt een betere, zelfs goede, kans wanneer je voorafgaand aan het traject alle betrokken materie al eens hebt doorgenomen zodat je de trainers uit kan horen met gerichte vragen; zo deed ik m'n CISSP bootcamp ook. Let wel, niet alle inhoud is van een "hoog" niveau: Agile foundations klinkt een beetje vergelijkbaar met PSM-1, wat een examen is dat ik in de trein naar m'n werk heb gedaan :D

Liegebeest wijzigde deze reactie 20-06-2018 21:54 (28%)

Liege, liege, liegebeest!


  • ShadowBumble
  • Registratie: juni 2001
  • Laatst online: 07-12 09:59

ShadowBumble

Professioneel Prutser

"Allow me to shatter your delusions of grandeur."


Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
quote:
Hmmbob schreef op woensdag 23 mei 2018 @ 12:52:
Ik mag over een maandje aanschuiven bij een inhouse CEH training. Ben benieuwd.
En met succes afgerond!

Week bestond uit een bootcamp gegeven door een instructeur van TSTC op een van onze bedrijfslocaties. Wat mij tegen viel is dat er heel erg op "schakelopties" van alle verschillende tooltjes getoetst wordt, en niet zozeer op concepten, dreigingen, aanvalsplannen en gecompliceerde aanvallen. Ik ben ook blij dat ik met ruim voldoende bagage aan de training en het examen begon, anders was (enkel) de bootcamp niet voldoende geweest voor mij om het examen te halen.

Toch een leuke ervaring en een leuke certificering erbij!

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +2Henk 'm!

  • SeatRider
  • Registratie: november 2003
  • Laatst online: 06-12 16:03

SeatRider

Wait, wut?

quote:
basje050 schreef op maandag 18 juni 2018 @ 13:08:
Hallo allemaal,

Iemand hier die ervaringen heeft met de IT Management Group (ITMG)?
Ik ga waarschijnlijk starten met deze opleiding: https://www.itmg.nl/training/gecertificeerd-securitymanager/
Ik heb geen hoge pet op van deze club. Ik ken hun IS foundations materiaal en dat is bar slecht. Je leert meer als je gewoon de ISO 27001 norm download en leest.

Verder zegt deze certificering met overigens niks. Ik zou je echt willen aanraden een CISSP boek te kopen, dat door te lezen en dan een cursus/bootcamp te doen. En dan een paar jaar associate zijn totdat je genoeg werkervaring hebt.

Weet je trouwens echt zeker dat je niet genoeg werkervaring hebt? Hoeft niet in het security-veld te zijn he.

Nederlands is makkelijker als je denkt


Acties:
  • +1Henk 'm!

  • basje050
  • Registratie: september 2011
  • Laatst online: 04-12 16:26
-

basje050 wijzigde deze reactie 02-08-2018 12:14 (99%)
Reden: Privacy


Acties:
  • +1Henk 'm!

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

Ik zou niks van EC-Council gaan doen, maar eerst Comptia Security+(basis) en daarna eJPT en daarna eCCPT.

Comptia geeft een goede basis(later kan je pentest+ ook doen) eLearnsecurity is meer hands-on ook beter dan CEH.

Acties:
  • +2Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
Doordat je aangeeft dat je nog nooit een IT-gerelateerde opleiding hebt gedaan, zou ik zeer zeker nog niet beginnen aan CEH. Een paar posts hierboven geef ik nog aan dat ik die alleen gehaald heb omdat ik een volle rugzak aan bagage (HBO ICT, CISSP) meenam naar dat examen - enkel de training zou niet genoeg zijn geweest.

Security+ is dan inderdaad een prima tussenstap om een hele brede basis aangeleerd te krijgen voor je verdere stappen zet.

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Tom Paris
  • Registratie: september 2001
  • Laatst online: 06-12 22:28
quote:
basje050 schreef op zaterdag 23 juni 2018 @ 16:28:
Vanuit mijn werk werd ik door managers gevraagd voor de CISO functie. Echter bedoelden zij iets totaal anders met deze functie(managers hè, haha ;)). Ik moet namelijk de beveiliging van (andere)bedrijven testen en rapporteren hoe deze verbetert kan worden. Pentesting met een stukje advies dus. Gelukkig heb ik hier al wel een beetje ervaring mee.
Dit klinkt meer als supplier management, SLA's, DPA's, contracten, etc. Ik zou dan ook zeker CISA overwegen, omdat je dan naast het technische ook wat leert over audit, risicomanagement, rapportage, etc.

Veuillez agréer, Madame, Monsieur, l'expression de mes sentiments distingués.


Acties:
  • +2Henk 'm!

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Hmmbob schreef op zaterdag 23 juni 2018 @ 17:53:
Doordat je aangeeft dat je nog nooit een IT-gerelateerde opleiding hebt gedaan, zou ik zeer zeker nog niet beginnen aan CEH. Een paar posts hierboven geef ik nog aan dat ik die alleen gehaald heb omdat ik een volle rugzak aan bagage (HBO ICT, CISSP) meenam naar dat examen - enkel de training zou niet genoeg zijn geweest.

Security+ is dan inderdaad een prima tussenstap om een hele brede basis aangeleerd te krijgen voor je verdere stappen zet.
Idd sowieso beginnen met Security+. Het is ook mogelijk om binnen Comptia te blijven, omdat alles goed op elkaar aansluit. Dat zou ik ook preferen boven EC-Council, maar eLearnsecurity is meer hands-on ook qua examen, daarom heeft dit mijn voorkeur.

Als je bij Comptia zou blijven is Cysa+ goed om te doen. https://certification.com...ons/cybersecurity-analyst en daarna eventueel pentest+ als die uit beta is. Liegebeest en ik hebben beta gedaan en dat is qua niveau hoger dan CEH.

Zenix wijzigde deze reactie 23-06-2018 21:10 (4%)


Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Linksom of rechtsom lijkt het mij heel belangrijk om volledig vast te stellen wat de verwachtingen zijn die jouw bedrijf van je heeft. Voor je ergens plannen of contracten tekent of opleidingen afneemt.

Als je eerst heel duidelijk op een rijtje krijgt wat zij van jou willen en op welke termijnen, dan kunnen wij desgewenst adviseren welke opleidingsbehoeften he hebt. Punt is, we hebben allemaal zo onze voorkeuren, maar op het moment is er geen duidelijk doel om op te schieten.

Stel dus met je werkgever een meerjaren plan op, een strategie, voor jouw rol binnen het bedrijf.
quote:
Pentesting met een stukje advies dus.
Pentesting heeft ALTIJD een stuk advies. Het doel van een pentest is niet om de muren aan gort te schieten en te tonen hoe goed jij als hacker bent. Daar heb je CTFs voor. Bij een pentest kijk je ook weer sterk naar de behoeften van de klant, naar hun huidige situatie en naar hun (leer)wensen.

============

Intussen heb ik een Zaterdag met veel huishoudelijk werk achter de rug. En wat doe ik 'savonds? Ik probeer m'n test-PKI zo ver te krijgen dat SCEP en NDES op AD gebruikt kunnen worden om auto-magisch certificaten uit te delen aan Linux boxen. Ik ben bang dat ik dat binnenkort in't echt aan de praat moet krijgen, dus ik kan me maar beter voorbereiden!

Liegebeest wijzigde deze reactie 23-06-2018 21:27 (39%)

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • sh4d0wman
  • Registratie: april 2002
  • Nu online

sh4d0wman

Long live the King!

Topicstarter
@Liegebeest
Mja, als je het ooit gehaald hebt en nog van plan bent een paar keer te switchen van werkgever dan zou ik inderdaad de contributie betalen. Heb je echter al leuke werkervaring en/of een reeks CVE's / presentaties of tools op je naam staan dan zou ik het laten verlopen. Als HR daar niet doorheen kan prikken dan moet je toch al gaan twijfelen aan het kennisniveau.

Afgelopen week RE & Exploit Dev op Udemy gevolgd. Dat was goed te doen en ondanks dat het redelijk basic is toch weer wat nieuws geleerd. Nu door Zen Garden - Windows Exploit Development aan het werken. Dit is iets vlotter en minder droog dan Corelan.

Loopt hier nog iemand rond met OSCE? Ik vind het lastig een inschatting te maken van benodigde kennis.

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


Acties:
  • +2Henk 'm!

  • medal
  • Registratie: februari 2010
  • Laatst online: 25-11 15:03
quote:
Emperor_ schreef op woensdag 4 juli 2018 @ 19:38:
[...]


Ik wil ook OSCP gaan doen van Offensive Security omdat deze meer hands-on / praktijk gericht is en twijfel daarbij of CEH daar nog een aanvulling op gaat zijn aangezien dit meer theoretisch is. Is het een goede aanvulling op elkaar? Of staat OSCP sterker dan CEH?
Aanvulling zou ik het niet echt willen noemen, de meeste kennis die je bij CEH tot je neemt zijn bepaalde begrippen en tools met de daar bijbehorende flags waarvan je de helft waarschijnlijk nooit gaat gebruiken.

CEH is eigenlijk vooral alleen leuk om door het HR filter te komen zodra je in gesprek komt met een technische persoon is CEH niet veel meer waard, OSCP krijg je dan weer wel iets van respect voor terug.

OSCE ben ik onlangs aan begonnen, kan alleen nog niet aangeven hoeveel kennis daarvoor nodig is doe het ernaast rustig aan.

Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
quote:
Emperor_ schreef op woensdag 4 juli 2018 @ 19:38:
[...]
Is het een goede aanvulling op elkaar? Of staat OSCP sterker dan CEH?
Wat Medal zei, ja.

CEH is intro-niveau, voor het bewustzijn van bepaalde mogelijke aanvallen. OSCP is basisniveau pen-testing, met een vereiste van heel veel doorzettingsvermogen.

Liege, liege, liegebeest!


Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
quote:
Liegebeest schreef op maandag 9 juli 2018 @ 17:18:
Voordeel voor ons Nederlanders is klein, want onze overheid kijkt niet naar de DOD-8570. Het is voor ons dus meer een kwestie van "voor de lol".
Sommige delen van de overheid wel hoor. Had anders mijn CISSP niet hoeven halen O-)

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Hmmbob
  • Registratie: september 2001
  • Laatst online: 22:33
quote:
Brainscrewer schreef op dinsdag 10 juli 2018 @ 08:56:
[...]


Dat komt dan omdat je veel gebruikt maakt van Amerikaanse resources en zo dus ook aan hun standaarden moet voldoen?
:Y

Maar goed, daardoor was CISSP ineens een functievereiste en dus een functieopleiding voor me, en dus betaald door de baas 8)

Hmmbob wijzigde deze reactie 10-07-2018 09:32 (20%)

"Regard your soldiers as your children, and they will follow you into the deepest valleys;
look on them as your own beloved sons, and they will stand by you even unto death." - Sun Tzu, The Art of War


Acties:
  • +1Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Geen security-certificaat, maar aangezien we de laatste tijd toch zo veel met beta's doen:

https://www.reddit.com/r/...0004_announcement_thread/

In de herfst komt er een beta van Linux+ aan. Wederom $50 voor twee uur plezier :)

Liege, liege, liegebeest!


Acties:
  • +2Henk 'm!

  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
W00t! /o/

Geslaagd voor de PenTest+ met 821/900. Dat had ik echt niet verwacht.

Liege, liege, liegebeest!


  • kodak
  • Registratie: augustus 2001
  • Laatst online: 02-12 13:20
quote:
Liegebeest schreef op dinsdag 31 juli 2018 @ 21:47:
W00t! /o/

Geslaagd voor de PenTest+ met 821/900. Dat had ik echt niet verwacht.
Gefeliciteerd. Maar vertel eens, waarom lag je verwachting en de uitslag volgens jou zo ver uit elkaar?

  • ShadowBumble
  • Registratie: juni 2001
  • Laatst online: 07-12 09:59

ShadowBumble

Professioneel Prutser

quote:
Liegebeest schreef op woensdag 1 augustus 2018 @ 11:16:
[...]

Voorop gesteld: OSCP is echt even andere koek!
Thanks, maar daar ben ik mij zeker van bewust :) Ik heb graag uitdagingen om doelen te halen.
quote:
Liegebeest schreef op woensdag 1 augustus 2018 @ 11:16:
Mijn ervaringen met Pentest+ had ik hier al eens gedeeld. Heb t ook op m’n blog beschreven -> https://www.kilala.nl/index.php?id=2423
Top eens lezen thanks !

"Allow me to shatter your delusions of grandeur."


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op dinsdag 31 juli 2018 @ 21:47:
W00t! /o/

Geslaagd voor de PenTest+ met 821/900. Dat had ik echt niet verwacht.
Gefeliciteerd!

Ik heb hem niet gehaald, maar dat had ik ook verwacht. Toch was het wel waard, omdat hierdoor wel meer inzicht heb gekregen in wat mijn zwakke punten zijn. Nu staat CCSA R80 op de planning en daarna Linux+ beta :)

Zenix wijzigde deze reactie 03-08-2018 12:46 (7%)


  • ShadowBumble
  • Registratie: juni 2001
  • Laatst online: 07-12 09:59

ShadowBumble

Professioneel Prutser

@Liegebeest en daarom wil ik hem dus ook gaan halen, na dit jaar, dit jaar staat vol in de focus van de adviserende en business kant van Security (CISSP, CCSP CISM in Augustus) volgende jaar dus dan focus op OSCP.

Ook ik heb al de afweging gemaakt dat desnoods ik hem zelf doe.

"Allow me to shatter your delusions of grandeur."


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
Voor de liefhebbers die op vakantie nog iets te lezen willen hebben, of die nog CPE in te vullen hebben.

https://www.humblebundle.com/books/cybersecurity-wiley-books

Voor minimaal $15 krijg je veertien InfoSec boeken plus een DVD. Woot! /o/

Liege, liege, liegebeest!


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Liegebeest schreef op vrijdag 3 augustus 2018 @ 13:16:
[...]

In dat opzicht was het inderdaad een fantastische besteding van $50: kijken hoe jijzelf er voor staat op bepaalde kennisgebieden. Voor Linux+ sta ik inderdaad ook te trappelen :) Maar ik moet vooral m'n RedHat spullen niet vergeten; daar moet ik volgend jaar weer eentje van doen, om te zorgen dat de rest niet verloopt.
Klopt. Zeker waardevol.

Gezien je Linux kennis en certificaten zou dat geen probleem voor je moeten zijn 8) In mijn dagelijks werk doe ik weinig met Linux, persoonlijk vind ik dat wel jammer. Daarom is het wel goed om voor mij, dan zit ik er ook weer meer in.

Mijn planning voor de komende tijd:
- Check Point CCSA R80
- Comptia Linux+
- Wireshark cursus volgen. Gebruik het wel, maar je kan er zoveel meer mee.
- Automating the boring stuff with Python / Learn Python the hard way
- CCNA Cyber Ops(verlengen van mijn CCNA Security en CCNA R&S)
- Ondertussen meer verdiepen in Aruba ClearPass 802.1x met een eventueel cursus en certificaat.

Ik zit op dit moment meer in de netwerk security hoek/security engineering. Deze kennis is ook goed toepasbaar als ik ooit de switch wil maken naar bijvoorbeeld pentesten.

Zenix wijzigde deze reactie 04-08-2018 19:41 (4%)


  • Yarisken
  • Registratie: augustus 2010
  • Laatst online: 01:00
quote:
Liegebeest schreef op zaterdag 4 augustus 2018 @ 12:55:
Helemaal niet?! Dat is als je een Monthly Bundle neemt, maar dat zijn games.

En dan nog kan je ook de Monthly Bundle na de eerste maand weer opzeggen: zo ben ik goedkoop aan Civilization 6 gekomen :) MB start, MB stop.

Maar deze InfoSec boeken zijn een losstaande, eenmalige aankoop.
Tis gelukt zonder die subscriptie. Ik deed iets stoms. Thx voor de link en je effort in dit topic. Het is heel geapprecieerd.

  • sh4d0wman
  • Registratie: april 2002
  • Nu online

sh4d0wman

Long live the King!

Topicstarter
quote:
ShadowBumble schreef op maandag 6 augustus 2018 @ 10:44:
[...]
- Penetration Testing: a Hands on introduction to Hacking
- The Hacker playbook 2
- The Hacker playbook 3

Deze werden mij aangeraden om ook in die volgorde te lezen.
Ik heb recent THPv3 gelezen en wel weer wat wijzer geworden. Wil je specifiek voor OSCP kennis opdoen bekijk dan ook wat OSCP reviews op het web. Een groot deel lijkt te focussen op goede enumeratie en documentatie.

Bedenk ook hoe je in de praktijk wil oefenen voordat je het OSCP lab in kan. B.v. vulnhub VMs in VMWare/VirtualBox of gebruik van exploit-db vulnerable software.

Hier nog een paar vids met wat recentere web-app testing kennis maar ik geloof niet dat daar veel van terug komt in OSCP. Een nuttig trucje uit onderstaande voor OSCP is mindmapping van je target. Dan kun je bijhouden wat je wil testen/getest hebt en andere nuttige zaken (credentials....). Dit geeft iets betere structuur dan een gewone txt file:
YouTube: Bug Bounty Hunting Methodology v2 - Jason Haddix from Bugcrowd's...

YouTube: LevelUp 0x02 - Bug Bounty Hunter Methodology v3

Most of all: happy hacking & try harder >:) :P

sh4d0wman wijzigde deze reactie 21-08-2018 07:24 (8%)

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • Liegebeest
  • Registratie: februari 2002
  • Laatst online: 18:21
TSTC is een goede partij en hun CEH trainer Rudie een leuke vent. Als instapper in het wereldje kan je slechtere keuzes maken :)

En @Zenix , nog niet... wist niet dat ie was gestart, ben nu nog op vakantie... #RemindMe 3days

Liege, liege, liegebeest!


  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Seroczynski schreef op maandag 27 augustus 2018 @ 13:37:
Hallo, ik kom dit topic taggen! :) Heb vorige week van onze externe pentester het advies gekregen om eens te kijken naar de CEH van TSTC. Omdat ik na meer dan tien jaar websites bouwen wel eens toe ben aan iets fris, en CEH mij wel erg interessant lijkt, heb ik dit maar direct aangevraagd bij mijn leidinggevende. Hoop dat die daar ook wat in ziet :)
Wat voor ervaring heb je al binnen de security? Waar wil je naar toe? CEH is wel duur om te doen als beginnner en het geld mijn inziens niet waard, daarom doe ik hem ook niet.
quote:
hellknight schreef op dinsdag 28 augustus 2018 @ 14:05:
Ik heb bij mijn leidinggevende aanvraag voor SANS SEC401 cursus + examen ingediend. Security afgelopen jaren er een beetje bij gedaan, en dan voornamelijk applicatie- en database beveiliging, maar nu sinds kort officieel verantwoordelijk voor alle security zaken binnen IT Operations.
SSCP en CISSP afgelopen 1.5 jaar op eigen kosten gedaan, maar met SEC401 wordt dat wel erg duur - hopen dat ik het er doorheen krijg
Haha. Ik zou dat gezicht wel willen zien van die leidinggevende als die de kosten ziet :P Jammer dat je SSCP en CISSP niet vergoed kreeg, die zijn niet bepaald kostbaar. Mijn werkgever zou ook niet zo snel een cursus en examen van 10k betalen, maar een cursus van 3k kan dan weer wel.

@Liegebeest Geniet van je vakantie, maar wel gelijk ingeschijven, straks kan het niet meer ;)

Zenix wijzigde deze reactie 28-08-2018 17:59 (31%)


  • Seroczynski
  • Registratie: september 2004
  • Laatst online: 22:19
quote:
Zenix schreef op dinsdag 28 augustus 2018 @ 17:57:
[...]

Wat voor ervaring heb je al binnen de security? Waar wil je naar toe? CEH is wel duur om te doen als beginnner en het geld mijn inziens niet waard, daarom doe ik hem ook niet.
Ik ben sinds 2007 actief in de webdevelopment en zit nu sinds anderhalf jaar bij een andere werkgever. Wij hebben een externe pentester maar zouden graag iemand binnen het bedrijf hebben die langzaam maar zeker mee kan met onze pentester. Ik zal dus niet 100% van de verantwoordelijkheid van de security op me nemen (haha, alsjeblieft niet), maar moet me er wel in gaan verdiepen.

Basiskennis m.b.t. een website beveiligen is er wel, maar hoe je via een image toegang kan verschaffen tot de server of hoe je via het scannen van het netwerk op zoek kan gaan naar een zwakke server heb ik geen kaas van gegeten. D.m.v. CEH wil ik de fundering leggen. Als mijn werkgever de kosten op zich wil nemen, hoef ik daar verder niet bij stil te staan ;)

Steam profiel :: Nintendo Switch FC: SW-5887-5950-9290 :: PSN/XBL: Seroczynski


  • Brainscrewer
  • Registratie: juli 2009
  • Laatst online: 19:01
quote:
hellknight schreef op woensdag 29 augustus 2018 @ 08:47:
[...]

Hij weet de kosten, die heb ik direct aangegeven. Desnoods betaal ik zelf een deel bij. Ik heb het met opzet op tijd aangevraagd (wil de cursus in Jan '19 doen), zodat er nog tijd is om zaken te regelen.
Je kan ook altijd nog jezelf kunnen opgeven voor het Work Study Program als Facilitator. Dan moet je assisteren met het klaarzetten van de zalen, infra etc. en kost maar een fractie van de SANS course zelf.

  • Zenix
  • Registratie: maart 2004
  • Laatst online: 00:57

Zenix

BOE!

quote:
Seroczynski schreef op woensdag 29 augustus 2018 @ 08:52:
[...]

Ik ben sinds 2007 actief in de webdevelopment en zit nu sinds anderhalf jaar bij een andere werkgever. Wij hebben een externe pentester maar zouden graag iemand binnen het bedrijf hebben die langzaam maar zeker mee kan met onze pentester. Ik zal dus niet 100% van de verantwoordelijkheid van de security op me nemen (haha, alsjeblieft niet), maar moet me er wel in gaan verdiepen.

Basiskennis m.b.t. een website beveiligen is er wel, maar hoe je via een image toegang kan verschaffen tot de server of hoe je via het scannen van het netwerk op zoek kan gaan naar een zwakke server heb ik geen kaas van gegeten. D.m.v. CEH wil ik de fundering leggen. Als mijn werkgever de kosten op zich wil nemen, hoef ik daar verder niet bij stil te staan ;)
Ik zou ook Comptia Security+ overwegen als basis. Vervolgens eLearnsecurity eJPT en eCCPT daarna, veel beter dan CEH en praktischer.

CEH staat niet goed bekend in infosec community, maar veel mensen halen het certificaat wel, puur vanwege het feit dat goed op CV staat.
Pagina: 1 2 3


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True