Wat je moet weten over het ECIH examen

Het EC-Council Certified Incident Handler (ECIH) examen bestaat uit 100 meerkeuzevragen die je binnen 3 uur dient te beantwoorden en je legt het af via het EC-Council Exam Portal. De exacte slaaggrens is niet één vast percentage. EC-Council werkt met verschillende examenvormen en per examenvorm wordt een slaagscore (ook wel cut score genoemd) vastgesteld. In officiële uitleg wordt genoemd dat cut scores per examenvorm kunnen verschillen, met een bandbreedte die kan lopen van 60 tot 85 procent. EC-Council beschrijft ook dat de slaagscore van jouw specifieke examenvorm vooraf zichtbaar is in de instructies in de exam portal voordat je start.

Wat wordt er dan precies in het ECIH examen getoetst? De officiële ECIH Exam Blueprint laat negen domeinen zien die samen de incident response lifecycle afdekken. Hierin zie je onderwerpen terug, zoals het incident response- en handling-proces, first response, malware-incidenten, e mailbeveiligingsincidenten, netwerkincidenten, webapplicatie-incidenten, cloudincidenten, insider threats en endpointincidenten. De ECIH Exam Blueprint wordt ook echt gebruikt als studiestuurmiddel: je ziet per domein een weging en dat helpt jou om verstandig tijd te verdelen. Bijvoorbeeld: e mailbeveiligingsincidenten en netwerkincidenten wegen elk 12 procent, terwijl cloudbeveiligingsincidenten 10 procent wegen.

In veel van die domeinen komt steeds dezelfde rode draad terug: volgorde, bewijsketen en communicatie. Je ziet dat ook in bekende incident response-modellen, zoals dat van de National Institute of Standards and Technology (NIST), waarin incident response als een cyclus wordt neergezet met voorbereiding, detectie en analyse, containment plus eradication en recovery en daarna post incident activiteit. Als je deze cyclus door kunt lopen zonder te stoppen, zul je merken dat een groot deel van de ECIH examenvragen precies daar om draait.

Tips & Tricks voor het leren voor het ECIH examen

Hier zijn enkele tips om jou te helpen voorbereiden op het Certified Incident Handler (ECIH) examen:

Oefen met een vast scenario

Begin met routine in plaats van een verzameling losse technieken. Kies één standaard scenario en oefen dat herhaaldelijk totdat de stappen automatisch gaan. Hierbij kun je denken aan de volgende dingen:

• Een phishingmail met een verdachte bijlage;
• een endpoint dat plotseling 100 procent CPU gebruikt;
• een webapplicatie die onverwacht afwijkende requests ontvangt.

Door steeds hetzelfde soort scenario te oefenen, ontwikkel je een vaste werkwijze. Loop vervolgens hardop door de belangrijkste stappen van incident handling:

• Validatie.
• Triage.
• Escalatie.
• Containment.
• Bewijs veiligstellen.
• Herstel.
• Geleerde lessen.

Dit lijkt misschien eenvoudig, maar het is juist een krachtige leermethode. Je traint hiermee actief ophalen uit jouw geheugen. Onderzoek laat zien dat deze manier van oefenen het geheugen beter versterkt dan alleen herlezen.

Oefen gespreid in plaats van alles in één keer

Maak jouw ECIH examenvoorbereiding nog effectiever door gespreid te oefenen. Onderzoek naar het spacing effect laat zien dat leren in meerdere korte sessies vaak betere resultaten oplevert dan alles in één lange studieperiode.

Praktisch betekent dit bijvoorbeeld acht keer 25 minuten gestructureerd oefenen in plaats van één keer drie uur intensief studeren. Door jouw studie te spreiden blijft kennis beter hangen en voorkom je mentale overbelasting.

Leer niet alleen over hulpmiddelen, maar ook het proces

Een veelgemaakte valkuil is dat kandidaten zich vooral richten op hulpmiddelen en technieken. Voor het ECIH examen is het echter net zo belangrijk dat je het incident handling-proces begrijpt.

In de ECIH Exam Blueprint komen onder andere de volgende onderwerpen terug:

• Standaardem en frameworks.
• Relevante wetgeving en regelgeving.
• Forensische analyse binnen het incident response-proces.

Als je alleen weet welk hulpmiddel je moet gebruiken, maar niet waarom een bepaalde stap in het proces nodig is, kun je belangrijke punten mislopen.

Een praktische aanpak voor het ECIH examen

In het Certified Incident Handler (ECIH) examen helpt een eenvoudige strategie vaak het meest. Bijvoorbeeld:

• Lees eerst de laatste zin van de vraag om te begrijpen wat er precies gevraagd wordt.
• Lees daarna pas het volledige scenario.
• Bekijk vervolgens de antwoordopties en schrap opties die stappen overslaan.

Blijven er twee plausibele antwoorden over, kies dan het antwoord dat het proces en de procedure het meest respecteert, met inbegrip van documentatie en communicatie. Dat sluit aan bij hoe incident handling in de praktijk hoort te verlopen.

Let op de ECIH examenregels

Tot slot is het belangrijk om te weten dat EC-Council examens onder een NDA (Non Disclosure Agreement) vallen. Volgens de Certification Exam Policy van EC-Council is de inhoud van een EC-Council examen vertrouwelijk en moeten examenkandidaten akkoord gaan met deze overeenkomst voordat zij het Certified Incident Handler (ECIH) examen af mogen leggen.

Dit betekent onder andere dat:

• Examenvragen niet gedeeld mogen worden;
• Exam dumps onbetrouwbaar en ongeoorloofd zijn;
• Het gebruik van ongeoorloofd materiaal gevolgen kan hebben voor de geldigheid van je certificering.

Het is niet alleen belangrijk om gebruik te maken van officiële studiematerialen van EC-Council en realistische oefenscenario’s, maar ook dat jij je aan de officiële examenregels van EC-Council houdt.

Zo helpt Startel jou richting ECIH certificering

Bij Startel bieden wij jou de mogelijkheid om in jouw eigen tempo te leren via het Certified Incident Handler zelfstudiepakket en ECIH examenvoucher. Na aanschaf van de ECIH E-Learning krijg jij een jaar lang toegang tot het officieel ECIH cursusmateriaal en een jaar de gelegenheid om het ECIH examen in te plannen op een moment dat jou uitkomt. De inhoud van de Certified Incident Handler (ECIH) E-Learning is volledig Engelstalig en bedoeld voor deelnemers op gemiddeld cybersecurityniveau. Bij Certified Incident Handler (ECIH) ligt de nadruk op het herkennen, analyseren en afhandelen van incidenten (zoals malware, insider threats en cloudgebaseerde aanvallen), forensische technieken en het werken met relevante normen, frameworks en wetgeving.

De voorwaarde die EC-Council aan Certified Incident Handler (ECIH) stelt is dat je voldoende basis hebt. Daarbij geeft EC-Council aan dat kandidaten minimaal één jaar ervaring als cybersecurityprofessional nodig hebben om te kwalificeren voor de Certified Incident Handler (ECIH) certificering. Zie deze voorwaarde echter niet als een drempel, maar als een hint: het ECIH examen wordt namelijk pas echt waardevol als je de stof direct kunt koppelen aan echte situaties uit systeembeheer, een SOC-omgeving of incident response-overleggen binnen jouw organisatie.

Als je eenmaal in een goed ritme zit, merk je dat de stap naar het Certified Incident Handler (ECIH) examen kleiner wordt. Plan een datum, maak een realistische en haalbare planning, oefen vooral op zwakke domeinen en ga niet jagen op één magisch percentage. De slaagscore kan per examenvorm variëren, dus mik liever op brede beheersing. Het Certified Incident Handler (ECIH) certificaat is een duidelijke manier om te laten zien dat jij incidenten niet alleen herkent, maar ook in staat bent om ze gecontroleerd af te handelen. En eerlijk is eerlijk: in informatiebeveiliging is dat vaak het verschil tussen we hebben een incident en we hebben het onder controle.