Technische opleiding Cyber Security

maandag 7 maart 2022 11:27

Acties:

0 Henk 'm!

Topicstarter

Goedendag Tweakers,

Momenteel ben ik op zoek naar een opleiding op het gebied van Cyber Security die ik graag in deeltijd naast mijn werk zou willen doen.

Mijn achtergrond is een universitaire bachelor in informatica en een master in Data Science. Mijn doel is om me te specialiseren in de technologische aspecten van cyber security. Wat me echter opvalt is dat veel van dit soort opleidingen/cursussen veel meer richten op organisationele, sociale en maatschappelijke aspecten van cyber security. Vaak hebben deze opleidingen geen eisen m.b.t. voorkennis op het gebied van IT of programmeerervaring. Dan weet je eigenlijk al dat je wat betreft de techniek totaal niet de diepte in gaat. (Maar wellicht is dit een incorrecte assumptie).

Kort gezegd, mijn doel is om meer te leren op het gebied van cyber security vanuit een technisch aspect, het liefst voortbordurend op mijn informaticakennis. Ik ben heel benieuwd of een van jullie hier ervaringen mee heeft, of iemand wellicht tips wil delen!

P.S. Een opleiding die compatibel is met het STAP-budget is helemaal mooi meegenomen!

maandag 7 maart 2022 11:48

Acties:

0 Henk 'm!

Rukapul

Met je bachelor en master heb je al een zeer grondige basis. Mijn inschatting is dat je niet zomaar een opleiding gaat vinden die echt veel waarde gaat bieden in de breedte. Andere koek is het wanneer je de diepte in gaat in een specifiek domein (crypto, security protocollen, etc.).

De vraag is dus wat je precies zoekt.

Je kunt ook eens kijken naar de security masters die universiteiten aanbieden ter inspiratie.

maandag 7 maart 2022 12:13

Acties:

+3 Henk 'm!

Shivs

Cyber Security is in mijn optiek ook niet een vak dat een techneut uitvoert, je hebt uiteraard wel techneuten die werken in Cyber, maar het is vooral een organisatorisch iets. De techneuten zijn de techneuten die al werken voor een bedrijf. Het is uiterst inefficiënt om bijvoorbeeld een stuk software te schrijven en daarna aan iemand anders te geven om het technische cyber aspect te laten doen. Je wilt dit in je proces van het schrijven van software opnemen. Om dat soort proces gerelateerde zaken te regelen heb je dus een cyber afdeling of functie in een bedrijf.

Als je graag toch alleen technisch iets wilt doen met security dan is pentesting of redteaming misschien iets waar je naar moet kijken. In effect komt het neer op dat je de skills van een ontwikkelaar nodig hebt en die dan toepast in een andere context, cyber security. Of hier echter echt opleidingen voor zijn weet ik niet. Misschien dat je meer in de cursus hoek moet zoeken.

maandag 7 maart 2022 14:54

Acties:

0 Henk 'm!

Orangelights23

Kun je aangeven waar je precies naar op zoek bent? Zijn het echt technische rollen als Security Engineer en Analist of meer de pentest kant op? Als het het eerste is, dan heb je vanuit je achtergrond al een goede basis en is het een kwestie van werkervaring en certificaten. Vaak groei je daarin vanuit je huidige rol, of door als junior te beginnen.

De wereld staat te springen om technische rollen, dus het zou niet moeilijk moeten zijn om een werkgever te vinden waar je een paar certificaten haalt en je een goede kennis opbouwt.

dinsdag 8 maart 2022 12:03

Acties:

0 Henk 'm!

Jan van Galen

Topicstarter

Dank @Rukapul @Shivs @Orangelights23 voor jullie reacties. Ik waardeer het enorm.

Ik heb het doorgenomen, en o.b.v. jullie feedback zijn een aantal zaken dit ik voor mezelf heb opgeschreven.

Ten eerste denk ik dat ik nog steeds een beperkt beeld heb van cyber security. Tijdens mijn informatica opleiding heb ik geen specifieke vakken gevolgd in dit vakgebied. De vakken die dit wel behandelden waren nog vrij theoretisch (denk aan cryptografie).
Ik besef me dat ik nog vrij weinig weet over het veld van cyber security, en welke specialisaties hierin mogelijk zijn. Vanuit dat inzicht is het wellicht verstandig om een wat meer algemenere (korte) course te volgen om me te kunnen oriënteren op deze specialisaties. Ik ben op dit moment namelijk nog niet in staat om met zekerheid antwoord te kunnen geven op wat voor (technische) rol ik in de toekomst zou willen vervullen.
De reden dat ik me vooral wil richten op de technische kant is enerzijds omdat ik de theoretische informaticakennis al heb waarmee ik me kan onderscheiden, en anderzijds omdat mijn assumptie is dat ik de technische kennis/ervaring nodig heb om later ook op managementniveau hier wat zinnigs over te kunnen zeggen.

Uit dit topic (https://www.security.nl/p...eginnen+met+certificering), weliswaar uit 2017, worden de volgende (korte) opleidingen/certificeringen genoemd:

CISSP (Certified Information Systems Security Professional), breed, maar weinig diepgang
OSCP (Offensive Security Certified Proffesional), gespecialiseerd, technisch

Rukapul schreef op maandag 7 maart 2022 @ 11:48:
Met je bachelor en master heb je al een zeer grondige basis. Mijn inschatting is dat je niet zomaar een opleiding gaat vinden die echt veel waarde gaat bieden in de breedte. Andere koek is het wanneer je de diepte in gaat in een specifiek domein (crypto, security protocollen, etc.).

De vraag is dus wat je precies zoekt.

Je kunt ook eens kijken naar de security masters die universiteiten aanbieden ter inspiratie.

Dat is een goede vraag. Ik kan eerlijk gezegd nog niet een goed antwoord geven op de vraag wat voor specifieke functie of subspecilisatie ik me op zou willen richten. Ik weet wel het me meer trekt om "met m'n voeten in de cybermodder te staan" in plaats van een beleidsmatige functie.

Ik heb inderdaad ook gekeken naar universitaire masters die zich hier in specialiseren. Zo biedt Leiden een interessante master vanuit een politiek/maatschappelijk aspect, en biedt de UvA een zeer technische master in security and network engineering. Die laatste lijkt mij zeer interessant, alleen kan ik me niet nog een master veroorloven. Mogelijk bestaan er kortere alternatieven?

Shivs schreef op maandag 7 maart 2022 @ 12:13:
Cyber Security is in mijn optiek ook niet een vak dat een techneut uitvoert, je hebt uiteraard wel techneuten die werken in Cyber, maar het is vooral een organisatorisch iets. De techneuten zijn de techneuten die al werken voor een bedrijf. Het is uiterst inefficiënt om bijvoorbeeld een stuk software te schrijven en daarna aan iemand anders te geven om het technische cyber aspect te laten doen. Je wilt dit in je proces van het schrijven van software opnemen. Om dat soort proces gerelateerde zaken te regelen heb je dus een cyber afdeling of functie in een bedrijf.

Als je graag toch alleen technisch iets wilt doen met security dan is pentesting of redteaming misschien iets waar je naar moet kijken. In effect komt het neer op dat je de skills van een ontwikkelaar nodig hebt en die dan toepast in een andere context, cyber security. Of hier echter echt opleidingen voor zijn weet ik niet. Misschien dat je meer in de cursus hoek moet zoeken.

Interessant punt. Als ik je goed begrijp is cyber security meer een beleidsmatig onderwerp dan een technisch onderwerp. Ik zou echter de link met de technologie willen begrijpen vanuit mijn informatica-achtergrond.

Orangelights23 schreef op maandag 7 maart 2022 @ 14:54:
Kun je aangeven waar je precies naar op zoek bent? Zijn het echt technische rollen als Security Engineer en Analist of meer de pentest kant op? Als het het eerste is, dan heb je vanuit je achtergrond al een goede basis en is het een kwestie van werkervaring en certificaten. Vaak groei je daarin vanuit je huidige rol, of door als junior te beginnen.

De wereld staat te springen om technische rollen, dus het zou niet moeilijk moeten zijn om een werkgever te vinden waar je een paar certificaten haalt en je een goede kennis opbouwt.

Het is inderdaad vooral het eerste (security engineer/analist) waar ik me op zou willen richten. Zijn er specifieke leertrajecten/certificaten die je zou aan kunnen bevelen?

dinsdag 8 maart 2022 12:13

Acties:

0 Henk 'm!

Shivs

Het is zeker tweeledig hoor, maar het deel dat je op een opleiding leert is vaak het organisatorische deel. Vooral omdat het daar begint, zonder goede organisatie van je security is het als een ketting met een zwakke schakel. Je doet alles zo goed mogelijk als engineers of ontwikkelaars, maar één iemand of één tool die je gebruikt laat een steekje vallen en je hebt een zwakke schakel. Vandaag de organisatie rondom security.

Als je echt het technische deel heel goed wilt begrijpen en daar iets mee gaan doen dan denk ik dat je moet zoeken naar dingen als cryptografie, netwerktechnologie, software ontwikkeling en pentesten. Je kan hier heel veel in doen, maar de meeste zijn gegoten in de trainingen en certificeringen die je nu vindt. CISSP en aanverwante certificeringen zijn goed. Ze worden aan veel in de markt gevraagd. Je zou kunnen beginnen met de CEH training, dat is Certified Ethical Hacker. Vanuit daar kan je dan een pad uitstippelen wat je verder wilt.

dinsdag 8 maart 2022 16:57

Acties:

0 Henk 'm!

Mealatus030

Uit dit topic (https://www.security.nl/p...eginnen+met+certificering), weliswaar uit 2017, worden de volgende (korte) opleidingen/certificeringen genoemd:
CISSP (Certified Information Systems Security Professional), breed, maar weinig diepgang
OSCP (Offensive Security Certified Proffesional), gespecialiseerd, technisch

Prima keuzes beide. Omdat je eerder aangaf dat je vooral geïnteresseerd bent in techniek is OSCP een prima cert om voor te gaan. Ben je daar mee uit geleerd? Neen. Maar dat ben je, met name in dit vak, nooit.

Mocht je nog vragen hebben over de cybersecurity markt in Nederland, let me know(DM bij voorkeur). Ik wil niet zeggen dat ik alles weet, maar ik draai wel al ffies mee.

"Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say" -- Edward Snowden

dinsdag 8 maart 2022 20:37

Acties:

0 Henk 'm!

Rukapul

Shivs schreef op maandag 7 maart 2022 @ 12:13:
Cyber Security is in mijn optiek ook niet een vak dat een techneut uitvoert, je hebt uiteraard wel techneuten die werken in Cyber, maar het is vooral een organisatorisch iets. De techneuten zijn de techneuten die al werken voor een bedrijf. Het is uiterst inefficiënt om bijvoorbeeld een stuk software te schrijven en daarna aan iemand anders te geven om het technische cyber aspect te laten doen. Je wilt dit in je proces van het schrijven van software opnemen. Om dat soort proces gerelateerde zaken te regelen heb je dus een cyber afdeling of functie in een bedrijf.

Dit is wel erg zwart-wit gesteld. Security is net zo goed technisch van aard en een gevestigd expertisegebied.

Zeker voor techneuten die voor het eerst een bepaalde security oplossing selecteren, implementeren, etc. praten ze hopelijk eerst met iemand die kennis en ervaring heeft. Techneuten die samenwerken met beide hun expertisegebied!

Kijk je echter naar deze banenmarkt dan is de markt voor 'scheppende' technische security functies (bv security architect / engineer / researcher / cryptographer) vele malen kleiner dan de compliance, etc. functies.

[ Voor 4% gewijzigd door Rukapul op 08-03-2022 22:18 ]

dinsdag 8 maart 2022 22:17

Acties:

0 Henk 'm!

Shivs

Ik ben het met je eens hoor dat het wat zwart-wit gesteld is. Toch zie je dat inderdaad de organisatorische rollen vaak het overwicht hebben. Dat wil niet zeggen dat een goede techneut niets te zoeken heeft in de security hoek, maar het is wel veel lastiger om daar een opleiding voor te vinden.

dinsdag 8 maart 2022 22:20

Acties:

+1 Henk 'm!

Zenix

BOE!

Dit topic is ook wel relevant voor jou, komen veel verschillende soorten certificeringen na voren uit verschillende disciplines van security inclusief ervaringen:
IT Security Certificeringen

Shivs schreef op maandag 7 maart 2022 @ 12:13:
Cyber Security is in mijn optiek ook niet een vak dat een techneut uitvoert, je hebt uiteraard wel techneuten die werken in Cyber, maar het is vooral een organisatorisch iets.

Ik werk in een grote enterprise, waarbij je een afdeling hebt die het beleid uitzet qua security (op basis van regelgeving en normeringen). Maar daarna is het voornamelijk een groot technisch en complex feest.

De afdelingen die we hebben:
- Information security (beleid en security awareness)
- SOC (doen ook een stukje beleid uitvoeren, maar daarnaast blue, red en purple team)
- PKI (certificaten en alles)
- Security tooling (denk aan SIEM en PAM)
En dan heb je nog afdelingen die bijvoorbeeld Netwerken, Windows en Linux doen, waarbij een aantal medewerkers binnen de afdeling volledig bezig zijn met de security van die platformen.

Ik denk dat je hoeveelheid techneuten onderschat die vereist zijn om security uit te voeren. De techneuten zijn uiteindelijk degene die de systemen bedenken, ontwerpen, implementeren en beheren op basis van het beleid.

Ik ben netwerk engineer, maar ik hou mij bezig met de security van het netwerk, denk hierbij aan de firewalls, network access control, web applicatie firewalls, VPN's, scannen van malware binnen het netwerk verkeer etc.

In de grotere organisaties kan iemand zoals de TS dus ook helemaal technisch los gaan en echt de diepte in gaan. In kleinere organisaties is security meestal iets wat achteraf gedaan moet worden.

OSCP is sowieso de beste keus om mee te beginnen, gezien je achtergrond moet dat wel te doen zijn.

[ Voor 83% gewijzigd door Zenix op 08-03-2022 22:56 ]

dinsdag 8 maart 2022 22:23

Acties:

+1 Henk 'm!

Prx

Er zijn genoeg certificeringen die een technische insteek hebben en je daarmee kunnen helpen. Ik kan je echter ook verzekeren dat jij met je uni papiertje zo aan de slag kunt bij menig organisatie en dan in die rol kunt groeien, waarbij die certificeringen dus onderdeel uitmaken van die groei en je daar dus zelf geen kosten hoeft te maken, hoogstens een (stevige) investering in tijd.

Zo doen wij het bij ons in ieder geval wel. Zelf draai ik al 12 jaar mee in het wereldje, ooit als Penetratietester en nu gebruik ik mijn technische know-how veel meer vanuit een rol als Security Architect, na veel oplossingen te hebben ontworpen/geïmplementeerd vanuit een Solution Designer/Architect rol.

Wil er ook best eens telefonisch met je over sparren, doe niets anders met de young professionals die bij ons beginnen. Kan niet elk detail/aspect publiek delen, helaas, maar ook in een DM kan ik wel wat meer detail geven.

[ Voor 3% gewijzigd door Prx op 08-03-2022 22:24 ]

woensdag 9 maart 2022 15:05

Acties:

0 Henk 'm!

S.McDuck

@Jan van Galen
Ik denk dat de belangrijkste stap is kijken wat je nou echt wilt. De vraag die je stelt is een beetje gelijk aan: Ik wil de IT in. Devoloper, systeembeheerder, projectleider, helpdesk, (C)ISO het valt allemaal onder het kopje IT maar is best wel verschillend

Er zijn zoveel verschillende functies op verschillende plekken dat je goed moet kijken waar je verder in wil gaan. Wil je in een SOC als analyst, Of als (ethische) hacker juist gaten en mogelijkheden vinden, of wil je als techneut aan de knoppen zitten en firewalls beheren of routers configureren, als Security Officer met beleid of meer tichting architect? Zoals je ziet is er in security ook zat keuze en onderscheid om te zeggen ik wil cyber security in. Je kan zelfs als consultant of sales persoon aan de slag.

Zodra je deze weet kan je ook wat meer kijken naar gerichte opleidingen. CISSP (een blinde vlek voor veel mensen) is leuk maar zonde van je tijd en geld als je er niks aan hebt. Het is zo iets als een MS Azure cursus volgens als je graphic designer wordt

[ Voor 0% gewijzigd door S.McDuck op 09-03-2022 15:06 . Reden: dyslexie typo's ]

woensdag 9 maart 2022 15:56

Acties:

0 Henk 'm!

urf

Voor wat inspiratie kan je ook eens elders op het forum kijken: IT Security Certificeringen

Hoop ervaringen van mede-tweakers met security certificeringen en bijbehorende opleidingen. Alles valt of staat natuurlijk wel met weten welke kant je op wilt.

Edit: was al gepost zie ik nu, even overheen gelezen, spuit 11...

[ Voor 10% gewijzigd door urf op 09-03-2022 15:57 ]

Vraag

Alle reacties