Routekaart Cybersecurity pentester - KWIV 4.1.3
Ben jij een (aankomende) pentester? Dan is dit de plek om jezelf te ontwikkelen. Met deze routekaart kun je voor jezelf het beste ontwikkeltraject uitstippelen. De leeractiviteiten van de I-Routekaart Cybersecurity pentester zijn ingedeeld in vijf kennisgebieden. Daarbij is er onderscheid tussen leeractiviteiten voor starters (fundament) en ervaren professionals (verdiepend of verbredend).
| Specifiek voor de rol | Alle leeractiviteiten die van belang kunnen zijn voor ontwikkeling in de rol, onderverdeeld in fundament, verdiepend en verbredend. |
| Werken binnen de Rijksoverheid | Leeractiviteiten en andere content die belangrijk zijn om optimaal te functioneren binnen de Rijksoverheid. |
| Gerelateerde vakgebieden | Welke vakgebieden zijn gerelateerd aan de rol van pentester? Hier vind je ook algemene IV/ICT-leeractiviteiten als ITIL, DevOps en Agile. |
| Competenties en vaardigheden | Wat heb je zoal nodig op het gebied van competenties en vaardigheden voor de rol van pentester? |
| Transversale aspecten | Zeven transversale aspecten die ook belangrijk zijn voor de rol van pentesters. |
Leeractiviteiten specifiek voor de rol van cybersecurity pentester
Leeractiviteiten voor het fundament
|
Naam |
Omschrijving | Type |
|---|---|---|
| Certified Information Systems Security Professonal CISSP | Deze CISSP-training combineert beleid en techniek, en is daarom zowel technisch als tactisch of strategisch. | Training |
| Implementing and Administering Cisco Solutions (CCNA) | This course covers configuring network components such as switches, routers, and Wireless LAN Controllers, managing security threats. | Training |
| Certified Cloud Security Professional CCSP | Je krijgt inzicht in cloud architectuur, de impact op risk management, business continuity, identity management en legal compliance. | Training |
| Packet Analysis with Wireshark Analyzer | An introduction into the features, functions and the usage of the Wireshark Analyser during which you will learn methods and techniques about monitoring and analysis of their networks from the packet level. | Training |
| Certified Ethical Hacker (CEH) | Je leert in deze training (v11) de beveiliging van een organisatie door de ogen van een hacker te bekijken en daarop te testen. | Training |
| Certified Baseline Informatiebeveiliging Overheid (BIO) | Training gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO), het verplichte normenkader voor alle Nederlandse overheidsinstellingen. | Training |
| BIO - Thema applicatie- ontwikkeling |
De BlO-richtlijnen voor het ontwikkelen en onderhouden van een applicatie. |
Website |
| ICT-beveiligingsrichtlijnen voor mobiele apps | Richtlijnen om apps en gebruikers te beschermen tegen diverse aanvallen. | Website |
| Certified Powershell Hacker / Pentester |
Veel organisaties hebben een Active Directory - infrastructuur. Met Powershell kun je lekken ontdekken op het gebied van authenticate en autorisatie voor beheer van apparaten en objecten. |
Artikel |
| The Common Vulnerability Scoring System (CVSS) | The Common Vulnerability Scoring System (CVSS) provides a way to capture the principal characteristics of a vulnerability and produces a numerical score reflecting its severity. | Website |
| Nationaal CrisisCentrum (NCC) | Het NCC ondersteunt de besluitvorming bij een (dreigende) crisis. Het NCC maakt onderdeel uit van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). | Website |
| Microsoft Security Operations Analyst (SC-200) | Je leert hoe je bedreigingen zo snel mogelijk kunt analyseren en verhelpen met Microsoft Azure Sentinel, Azure Defender en Microsoft 365 Defender. | Training |
| GPEN Pentesting | Je krijgt inzicht in het hele proces van de penetratietest aan de hand van diverse methodieken, legal aspecten, tools en werkwijzen. | Training |
| Webtechnieken | Kennis van de techniek achter een website (HTML, CSS, Javascript) en protocollen kan helpen bij het opsporen en onderzoeken van websites. In deze training leer je deze technieken. | Training |
| Kali Linux - penetratietesten |
Kali Linux is an open-source, Debian-based Linux distribution geared towards various information security tasks, such as Penetration Testing, Security Research, Computer Forensics and Reverse Engineering. |
Website |
| ICS/SCADA beveiliging | Industrial Control Systems/Supervisory Control And Data Acquisition gaat over de beveiliging van de Nederlandse kritieke infrastructuur, zoals geautomatiseerde sluizen, alarmeringssystemen etc. | Training |
|
Naam |
Omschrijving | Type |
|---|---|---|
| Cybersecurity woordenboek | ln het vakgebied van (cyber)security komen er vaak nieuwe woorden bij. Daarom is er een speciaal woordenboek om verwarring te voorkomen. | E-boek |
| Kubernetes versus Docker | Het is niet of-of: hoe werken deze container- technologieën samen? | Website |
| Nationaal Cyber Security Center | Nieuws, expertblogs en ontwikkelingen van het NCSC. | Organisatie |
| DO180 - Red Hat OpenShift I: Containers & Kubernetes | Helps you build core knowledge in managing containers through hands-on experience with containers, Kubernetes, and the Red Hat® OpenShift® Container Platform. | Training |
| NCSC I Expertblogs | Relevante en actuele informatie in de vorm van korte blogs over informatiebeveiliging vanuit het Nationaal Cyber Security Centrum (NCSC). | Website |
| Checklist beveiliging van ICS/SCADA | Checklist om te bepalen of je ICS/SCADA- en gebouwbeheersystemen afdoende zijn beveiligd. Inclusief maatregelen tegen de meest voorkomende kwetsbaarheden en adviezen hoe je beveiligingsproblemen kunt aanpakken en voorkomen. | Website |
| Python & Bash for Pentesters | Kennis van Python en Bash is nuttig als je serieus wilt pentesten en een stap verder wilt gaan dan de standaard tooling dan wel taken makkelijk wilt automatiseren. | Training |
| What is Security Orchestration and Automation? | SOAR (Security Orchestration, Automation and Response) stelt organisaties in staat om beveiligingswerkzaamheden op drie belangrijke gebieden te stroomlijnen: meldingen verzamelen, reageren op deze meldingen en (deels) geautomatiseerd afhandelen. | Video |
| Voyager DarkWeb Intelligence Training | Je leert hoe je zonder afbreukrisico in DarkNet, DarkNet Markets en Telegram-bronnen naar data- en criminaliteitrelevante informatie kunt zoeken. | Training |
| 3e cyberoefening voor overheid | Tijdens de derde overheidsbrede cyberoefening die het ministerie van BZK organiseert, krijgt sociaal werkbedrijf Bison te maken met een ransomware aanval. Het publiek thuis (ruim 320 deelnemers) adviseert het crisisteam. Van 'Waar is het crisishandboek?' tot 'Bestel maar alvast Chinees'. | Website |
| Cl/CD explained | Automation is a core principle for achieving DevOps success and Cl/CD is a critical component. Cl/CD comprises of continuous integration and continuous delivery or continuous deployment. | Website |
|
Naam |
Omschrijving | Type |
|---|---|---|
| Certified SOC Analyst CSA | Een CSA monitort en detecteert mogelijke bedreigingen voor de beveiliging van een organisatie en belangrijke data. Daarbij sorteert hij waarschuwingen (alerts) op prioriteit en risico en schaalt hij deze indien nodig op. | Training |
| OSINT Basis | Je leert de basisvaardigheden om een goed onderzoek op het internet uit te voeren. Geaccrediteerd door het SPEN. | Training |
| Certified Threat Intelligence Analyst CTIA | Je leert een IT-omgeving of kwetsbare informatie op een gestructureerde manier te analyseren en vervolgens te beveiligen. | Training |
| NAC - Trainingen Crisisbeheersing | Opleidingen en trainingen voor crisisprofessionals en teams van de nationale crisisstructuur van de Rijksoverheid, aangeboden door de Nationale Academie voor Crisisbeheersing. | Training |
| Information Systems Security Architecture CISSP-ISSAP | CISSP-ISSAP-certificering voor de ontwikkeling, het design en de analyse van een organisatiebreed securityplan. | Training |
| ISO/IEC 27032 Lead Cybersecurity Manager | Na deze training ben je in staat om een organisatie te ondersteunen bij het implementeren en beheren van een cybersecurity-programma op basis van ISO / IEC 27032 en NIST Cybersecurity-raamwerk. | Training |
Overige kennisgebieden
Bekijk het overzicht van leeractiviteiten en andere content die belangrijk zijn om optimaal te functioneren binnen de Rijksoverheid.
Gerelateerde vakgebieden staan direct in samenhang met de dienstverlening in de keten of uitvoering van de rol. Vaak zijn pentesters daarom ook gedeeltelijk belast met – of betrokken bij andere rollen. Kennis hiervan is belangrijk om optimaal te kunnen samenwerken met collega’s op andere plekken in de IV/ICT-keten.
De volgende vakgebieden zijn gerelateerd aan de rol van pentester:
- Applicatieontwikkeling
- Testmanagement
- Systeemontwikkeling
- Netwerkontwikkeling
- Data engineering
- Systeembeheer
- Serverbeheer
- Netwerkbeheer
- Databasebeheer
- Securitymanagement
Algemene IV/ICT-kennisgebieden
Er zijn ook kennisgebieden die voor alle IV/ICT-rollen van belang zijn. Voor een goede samenwerking binnen een IV/ICT-organisatie is het noodzakelijk dat iedere professional op hoofdlijnen bekend is met deze algemene kennisgebieden. Dit omdat er vaak meerdere rollen betrokken zijn bij de levering van diensten. Daarbij zijn een eenduidige taal en werkwijze cruciaal.
In deze sectie vind je een overzicht van leeractiviteiten en content om je algemene vaardigheden te ontwikkelen, bijvoorbeeld op het gebied van advies, communicatie en governance.
Dit zijn aspecten die voor alle IV/ICT-rollen belangrijk zijn. Met deze zeven transversale aspecten behoor je altijd rekening te houden in je werk:
Bekijk deze video’s om een goed beeld te krijgen van de aspecten en hoe ze van invloed zijn op jouw werkzaamheden.
Overige
De indeling van de I-Routekaarten is mede gebaseerd op de IV/ICT-profielen zoals in het KWIV omschreven. Het KWIV is een Rijksbrede tool en een aanvullend hulpmiddel op het Functiegebouw Rijk.
In deze video’s zie je hoe het KWIV werkt. Op elke routekaart vind je het KWIV-profiel voor de betreffende functie.
Hieronder het KWIV-profiel voor cybersecurity pentester:
| Competentienaam | Competentieomschrijving | Niveau |
|---|---|---|
| A.06 Ontwerp van applicaties | De verantwoordelijkheid nemen voor eigen acties en die van anderen om te garanderen dat de applicatie op een correcte manier is geïntegreerd in een complexe omgeving en voldoet aan de behoeften van gebruikers / klanten. | 3 |
| B.01 Applicatieontwikkeling | Het creatief ontwikkelen van applicaties en het kiezen van de geschikte technische opties; het rekening houden met andere ontwikkelingsactiviteiten; het optimaliseren van applicatieontwikkeling, -beheer en –prestaties door het gebruik van architectuur en het hergebruik van bewezen oplossingen. | 3 |
| B.02 Systeemintegratie | Verantwoordelijk zijn voor eigen acties en die van anderen in het integratieproces, het naleven van de toepasbare normen en wijzigingsprocedures om de integriteit te bewaren van de gehele functionaliteit en betrouwbaarheid. | 3 |
| B.03 Testen | Het gebruik maken van specifieke kennis om complexe testprogramma’s uit te (laten) voeren, het borgen dat tests en testresultaten gedocumenteerd zijn om als input te dienen voor proceseigenaren zoals designers, gebruikers of beheerders en verantwoordelijk voor het naleven van testprocedures en voor een gedocumenteerde audittrail. | 3 |
| B.06 Systeembouw | Het borgen van de interoperabiliteit van systeemcomponenten, het inzetten van zeer uiteenlopende specialistische kennis om een compleet systeem te vervaardigen waarbij rekening gehouden is met de beperkingen die een systeem met zich mee brengt en dat voldoet aan de verwachtingen van de klant. | 3 |
| C.04 Probleemmanagement | Het gebruik maken van specialistische en diepgaande kennis van de IV-infrastructuur en het probleemmanagementproces om onderbrekingen in de dienstverlening met een minimale impact op te lossen; het vermogen om rationele beslissingen te nemen in een omgeving waar de emoties hoog kunnen oplopen zodat de juiste acties worden ondernomen om de impact op de klantomgeving te minimaliseren; het snel kunnen identificeren van falende componenten en alternatieven voorstellen, zoals repareren, vervangen/of her configureren. | 3 |
| D.10 Informatie- en kennismanagement | Het analyseren van bedrijfsprocessen en bijbehorende informatie-eisen en het daarmee voorzien in de meest geschikte informatiestructuur. | 3 |
| E.03 Risicomanagement | Het in staat zijn de juiste acties te ondernemen om de veiligheid te borgen en risicoblootstelling te vermijden, evalueert, managet en garandeert de validering van uitzonderingen, voert audits uit op IV-processen en -omgeving. | 3 |
| E.08 Informatiebeveiligingsmanagement | Het evalueren van indicatoren en maatregelen op het gebied van security management en bepalen/of ze aan de normen voldoen; het onderzoeken van inbreuken op de beveiliging en het nemen van correctiemaatregelen. | 3 |
| A.01 Afstemming informatiesysteem en bedrijfsstrategie | Het organiseren en borgen van de bouw en implementatie van innovatieve IV oplossingen op de lange termijn. | 4 |
| A.07 Monitoren technologische ontwikkelingen | Het gebruik maken van uiteenlopende specialistische kennis van nieuwe en opkomende technologieën, gekoppeld aan diepgaande kennis van de organisatie, om toekomstgerichte oplossingen te voorzien en te verwoorden; het leveren van begeleiding en advies aan het managementteam om de strategie te kunnen bepalen. | 4 |
| D.01 Strategieontwikkeling informatiebeveiliging | Het gebruik maken van specifieke kennis en van externe standaarden en best practices. | 4 |
| D.10 Informatie- en kennismanagement | De juiste informatiestructuur integreren in de organisatieomgeving. | 4 |
| E.03 Risicomanagement | Het organiseren en borgen van het definiëren en toepasbaar maken van beleid voor risicobeheer door rekening te houden met alle mogelijke beperkingen, waaronder technische, economische en politieke kwesties en daarbij taken te delegeren. | 4 |
| E.08 Informatiebeveiligingsmanagement | Het organiseren en borgen dat de integriteit, vertrouwelijkheid en beschikbaarheid van gegevens zijn opgeslagen in de Informatiesystemen en dat ze voldoen aan alle wettelijke vereisten. | 4 |
| E.09 IT-governance | Het organiseren en borgen van governancestrategie voor informatiesystemen door relevante processen over de gehele IV-infrastructuur te communiceren, uit te dragen en te beheersen. | 4 |