💼 Management Samenvatting
Ransomware vormt een van de meest kritieke bedreigingen voor moderne organisaties, waarbij aanvallers systemen versleutelen en losgeld eisen voor de decryptiesleutel. Voor Nederlandse overheidsorganisaties die werken met gevoelige gegevens en kritieke dienstverlening, kan een succesvolle ransomware-aanval leiden tot volledige stilstand van operaties, verlies van vertrouwen bij burgers, en aanzienlijke financiële en reputatieschade. Een effectieve ransomware-beschermingsstrategie in Azure combineert preventieve maatregelen zoals endpoint protection en netwerksegmentatie, detectiemechanismen via geavanceerde threat detection, en robuuste backup- en herstelprocedures die organisaties in staat stellen om snel te herstellen zonder losgeld te betalen. Deze gelaagde aanpak is essentieel omdat ransomware-aanvallen steeds geavanceerder worden en gebruik maken van meerdere aanvalsvectoren, van phishing en exploitatie van kwetsbaarheden tot laterale beweging door netwerken.
Aanbeveling
IMPLEMENTEER RANSOMWARE-BESCHERMING
Risico zonder
Critical
Risk Score
10/10
Implementatie
280u (tech: 160u)
Van toepassing op:
✓ Azure Virtual Machines
✓ Azure Storage Accounts
✓ Azure SQL Database
✓ Azure Files
✓ Azure Backup
✓ Azure Defender voor Servers
✓ Azure Sentinel
✓ Alle Azure-services met data-opslag
✓ Azure Storage Accounts
✓ Azure SQL Database
✓ Azure Files
✓ Azure Backup
✓ Azure Defender voor Servers
✓ Azure Sentinel
✓ Alle Azure-services met data-opslag
Ransomware-aanvallen zijn de afgelopen jaren exponentieel toegenomen en vormen een existentiële bedreiging voor organisaties die niet adequaat zijn voorbereid. Zonder effectieve ransomware-bescherming lopen organisaties het risico dat aanvallers toegang krijgen tot systemen via phishing-aanvallen, exploitatie van ongepatched kwetsbaarheden, of misbruik van zwakke authenticatie, waarna zij lateraal door het netwerk bewegen om zoveel mogelijk systemen te compromitteren voordat zij ransomware activeren. Eenmaal geactiveerd versleutelt ransomware alle toegankelijke bestanden binnen enkele minuten, waardoor organisaties volledig worden lamgelegd en niet langer in staat zijn om hun diensten te leveren. Voor Nederlandse overheidsorganisaties die kritieke diensten leveren aan burgers, zoals uitkeringsverlening, belastinginning, of gezondheidszorg, kan dit leiden tot maandenlange verstoringen en aanzienlijke maatschappelijke impact. Bovendien kunnen aanvallers bij moderne ransomware-varianten zoals double extortion ransomware niet alleen bestanden versleutelen, maar ook gevoelige gegevens exfiltreren en dreigen deze publiek te maken als losgeld niet wordt betaald, wat leidt tot AVG-schendingen en aanvullende compliance-problemen. Zonder robuuste backup- en herstelprocedures hebben organisaties vaak geen andere keuze dan losgeld te betalen, wat niet alleen duur is maar ook criminele activiteiten financiert en geen garantie biedt dat gegevens daadwerkelijk worden hersteld. Voor organisaties die moeten voldoen aan NIS2-verplichtingen is het hebben van effectieve ransomware-bescherming en incident response procedures expliciet vereist, waarbij organisaties moeten kunnen aantonen dat zij passende technische en organisatorische maatregelen hebben getroffen om ransomware-aanvallen te voorkomen, te detecteren en te reageren.
PowerShell Modules Vereist
Primary API: Azure Resource Manager API, Azure Backup API, Azure Defender API
Connection:
Required Modules: Az.Accounts, Az.Compute, Az.Storage, Az.Backup, Az.Security, Az.Monitor, Az.Sentinel
Connection:
Connect-AzAccountRequired Modules: Az.Accounts, Az.Compute, Az.Storage, Az.Backup, Az.Security, Az.Monitor, Az.Sentinel
Implementatie
Dit artikel beschrijft een concrete implementatie van ransomware-bescherming voor Azure-omgevingen, specifiek toegespitst op de context van Nederlandse overheidsorganisaties. Het raamwerk is gebaseerd op vijf fundamentele pijlers: preventieve beveiligingscontroles, geavanceerde threat detection en monitoring, robuuste backup- en herstelprocedures, incident response en containment, en continue verbetering en testing. De eerste pijler betreft preventieve beveiligingscontroles waarbij organisaties endpoint protection implementeren op alle virtuele machines, netwerksegmentatie toepassen om laterale beweging te beperken, multi-factor authenticatie afdwingen, regelmatig patchen van systemen, en gebruikers trainen in security awareness. De tweede pijler richt zich op geavanceerde threat detection en monitoring waarbij Azure Defender voor Servers, Azure Sentinel en Azure Monitor worden gebruikt om verdachte activiteiten te detecteren, zoals ongebruikelijke bestandsversleuteling, massale bestandsverwijdering, of verdachte netwerkverbindingen. De derde pijler adresseert robuuste backup- en herstelprocedures waarbij organisaties regelmatige, geïsoleerde backups maken die beschermd zijn tegen ransomware, immutabele backup storage gebruiken, en geteste herstelprocedures hebben die snel kunnen worden uitgevoerd. De vierde pijler betreft incident response en containment waarbij organisaties procedures hebben voor het snel isoleren van gecompromitteerde systemen, het stoppen van de verspreiding van ransomware, en het herstellen van services vanuit backups. De vijfde pijler omvat continue verbetering en testing waarbij organisaties regelmatig ransomware response drills uitvoeren, backup- en herstelprocedures testen, en hun beveiligingspostuur continu verbeteren op basis van lessons learned en nieuwe bedreigingen. Het artikel beschrijft voor elke pijler concrete implementatiestappen, best practices, Azure-native services die kunnen worden ingezet, en hoe de pijlers onderling samenwerken om een robuuste ransomware-bescherming te creëren. Daarnaast wordt uitgelegd hoe dit raamwerk aansluit bij NIS2-verplichtingen, BIO-normen, ISO 27001-vereisten en andere relevante compliance-kaders die van toepassing zijn op Nederlandse overheidsorganisaties.
Vereisten en Voorkennis
Voordat organisaties effectieve ransomware-bescherming kunnen implementeren in Azure-omgevingen, dienen zij te beschikken over een grondig begrip van ransomware-bedreigingen, de verschillende aanvalsvectoren die aanvallers gebruiken, en de manier waarop Azure-native services kunnen worden ingezet voor preventie, detectie en herstel. De implementatie vereist specifieke Azure-resources, licenties voor geavanceerde security services, en technische kennis om de juiste configuratie te kunnen waarborgen. Ransomware-bescherming is een complex onderwerp dat kennis vereist van endpoint security, netwerkbeveiliging, backup- en herstelprocedures, en incident response, en de manier waarop deze componenten kunnen worden gecombineerd om een geïntegreerde verdediging te creëren. Het begrijpen van de fundamentele concepten achter ransomware-bescherming, zoals defense-in-depth, zero trust networking, en immutable backups, vormt de basis voor een succesvolle implementatie die voldoet aan beveiligings- en compliance-vereisten.
De primaire vereiste voor deze beveiligingsmaatregel is de aanwezigheid van Azure-abonnementen met toegang tot Azure Defender voor Servers Plan 2, Azure Sentinel, Azure Backup, en andere relevante security services. Organisaties moeten beschikken over Azure-abonnementen met de juiste service tiers en licenties voor het configureren en beheren van geavanceerde security functies. Azure Defender voor Servers Plan 2 is essentieel voor endpoint detection and response (EDR) capaciteiten die verder gaan dan basisantivirus en die geavanceerde ransomware-detectie bieden. Azure Sentinel is nodig voor Security Information and Event Management (SIEM) en Security Orchestration, Automation and Response (SOAR) capaciteiten die organisaties in staat stellen om ransomware-aanvallen te detecteren en te reageren. Azure Backup is vereist voor het maken van regelmatige, geïsoleerde backups die beschermd zijn tegen ransomware. Daarnaast moeten organisaties beschikken over Azure Storage Accounts met immutabele storage capabilities voor het beschermen van backups tegen wijziging of verwijdering door aanvallers. Het is belangrijk om te begrijpen dat niet alle Azure-services dezelfde ransomware-beschermingsmogelijkheden bieden: sommige services hebben ingebouwde bescherming, terwijl andere services aanvullende configuratie vereisen. Organisaties moeten daarom eerst inventariseren welke workloads zij hebben, welke data zij beschermen, en welke Azure-services zij gebruiken voordat zij een ransomware-beschermingsstrategie opstellen.
Voor het uitvoeren van configuratie- en beheertaken is toegang vereist tot de Azure Portal of Azure CLI, in combinatie met de juiste rolgebaseerde toegangscontrole machtigingen. Minimale vereiste rollen omvatten Security Admin of Security Reader voor het beheren van Azure Defender configuraties, Backup Contributor voor het configureren van Azure Backup, en Log Analytics Contributor voor het configureren van monitoring en logging. Daarnaast is het essentieel dat beheerders beschikken over kennis van Infrastructure as Code (IaC) tools zoals Azure Resource Manager templates, Bicep of Terraform voor geautomatiseerde configuratie van Azure-resources, waarbij de Az.Compute, Az.Storage, Az.Backup, Az.Security en andere relevante modules voor PowerShell of de bijbehorende Azure CLI extensies noodzakelijk zijn. De Azure Portal biedt gebruiksvriendelijke grafische interfaces voor het configureren van security instellingen, maar voor grootschalige omgevingen met meerdere subscriptions en resource groups, of voor organisaties die Infrastructure as Code gebruiken voor consistentie en herhaalbaarheid, is geautomatiseerde configuratie via templates en scripts essentieel voor efficiënt beheer.
Organisaties dienen te beschikken over een duidelijk overzicht van alle workloads binnen hun omgeving die bescherming nodig hebben tegen ransomware, inclusief welke virtuele machines kritiek zijn voor de dienstverlening, welke data wordt opgeslagen en wat de classificatie daarvan is, welke applicaties en services afhankelijk zijn van specifieke systemen, en wat de recovery time objectives (RTO) en recovery point objectives (RPO) zijn voor verschillende workloads. Deze inventarisatie is cruciaal omdat de implementatie van ransomware-bescherming impact kan hebben op bestaande workloads en mogelijk wijzigingen vereist in configuratiebestanden, netwerkconfiguraties, of de manier waarop backups worden gemaakt en beheerd. Bovendien moeten beheerders rekening houden met de compatibiliteit tussen verschillende Azure-services en de manier waarop deze services samenwerken wanneer zij worden gebruikt voor ransomware-bescherming. Organisaties moeten begrijpen welke Azure-services ondersteuning bieden voor immutabele storage, welke services geavanceerde threat detection bieden, en hoe deze services kunnen worden geconfigureerd en beheerd in een geïntegreerde omgeving. Het bijhouden van een accurate inventarisatie vereist regelmatige audits van alle workloads, waarbij organisaties gebruik kunnen maken van Azure Resource Graph queries, Azure Policy compliance evaluaties, en geautomatiseerde inventarisatiescripts om alle workloads te identificeren die bescherming nodig hebben en die kunnen profiteren van ransomware-beschermingsmaatregelen.
Naast technische vereisten moeten organisaties ook beschikken over duidelijke procedures en documentatie voor het beheren van ransomware-bescherming. Dit omvat het definiëren van verantwoordelijkheden voor verschillende rollen binnen de organisatie, het opstellen van procedures voor het reageren op ransomware-incidenten, het ontwikkelen van backup- en herstelprocedures, het opstellen van test- en validatieprocedures voor backup- en herstelprocessen, en het implementeren van communicatieprocedures voor het informeren van stakeholders tijdens incidenten. Organisaties moeten ook rekening houden met de integratie van ransomware-bescherming in hun bestaande security governance frameworks, waarbij security configuraties worden opgenomen als onderdeel van standaard security baselines en compliance verificatieprocessen. Het is aanbevolen om ransomware-bescherming zoveel mogelijk te automatiseren via Infrastructure as Code oplossingen en scripting, waardoor nieuwe workloads automatisch worden geconfigureerd met de juiste security instellingen. Daarnaast moeten organisaties procedures ontwikkelen voor het reageren op ransomware-incidenten, waarbij duidelijk moet zijn hoe incidenten worden geïdentificeerd, geëscaleerd en opgelost, en hoe organisaties kunnen herstellen vanuit backups zonder losgeld te betalen.
Voor organisaties die werken met gevoelige gegevens en strikte compliance-vereisten, zoals Nederlandse overheidsorganisaties die moeten voldoen aan BIO-normen en NIS2-verplichtingen, is het essentieel om te beschikken over gedetailleerde kennis van ransomware-bedreigingen, best practices voor ransomware-bescherming, en de specifieke compliance-vereisten die van toepassing zijn op incident response en data protection. Ransomware-bescherming vormt een kritieke component van deze procedures, maar moet worden geïntegreerd in een breder security framework dat ook aandacht besteedt aan endpoint security, netwerkbeveiliging, identity and access management, en data protection. Organisaties moeten begrijpen hoe ransomware-bescherming zich verhoudt tot andere Azure security functies, zoals Azure Defender voor verschillende workloads, Azure Policy voor governance en compliance, Azure Monitor voor logging en monitoring, en Azure Backup voor data protection. Daarnaast moeten organisaties rekening houden met de kosten van ransomware-bescherming, waarbij geavanceerde security services zoals Azure Defender Plan 2 en Azure Sentinel aanvullende licentiekosten met zich meebrengen, maar deze kosten moeten worden afgewogen tegen de potentiële kosten van een succesvolle ransomware-aanval die kan leiden tot maandenlange verstoringen, verlies van data, en aanzienlijke financiële en reputatieschade.
Implementatie
Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Implementation) – Valideert en implementeert ransomware-beschermingscontroles in Azure-omgevingen.
De implementatie van ransomware-bescherming in Azure begint met het opstellen van een gedetailleerd implementatieplan dat alle vijf beveiligingspijlers omvat en prioriteert op basis van risico en kritiekheid van workloads. Het plan moet per pijler beschrijven welke Azure-services worden ingezet, welke configuraties worden toegepast, welke workloads worden beschermd, en in welke volgorde de implementatie plaatsvindt. In de praktijk wordt vaak begonnen met de fundamenten – endpoint protection en basisbackups – omdat deze pijlers de basis vormen voor alle andere ransomware-bescherming. Vervolgens worden geavanceerde threat detection en monitoring geïmplementeerd, gevolgd door robuuste backup- en herstelprocedures, incident response procedures, en ten slotte continue verbetering en testing om alle pijlers te kunnen bewaken en verbeteren.
De eerste pijler – preventieve beveiligingscontroles – wordt geïmplementeerd door endpoint protection te activeren op alle virtuele machines via Azure Defender voor Servers Plan 2, wat EDR-capaciteiten biedt die verder gaan dan basisantivirus en die geavanceerde ransomware-detectie en -preventie bieden. Netwerksegmentatie wordt geïmplementeerd via Network Security Groups (NSGs) en Azure Firewall om laterale beweging te beperken en te voorkomen dat ransomware zich verspreidt door het netwerk. Multi-factor authenticatie wordt afgedwongen via Azure AD Conditional Access policies voor alle gebruikers, met name voor beheerdersaccounts en accounts met verhoogde privileges. Regelmatig patchen wordt geautomatiseerd via Azure Update Manager, waarbij kritieke security patches binnen 48 uur worden uitgerold naar alle systemen. Security awareness training wordt georganiseerd voor alle gebruikers om hen te leren hoe zij phishing-aanvallen kunnen herkennen en vermijden, wat de belangrijkste aanvalsvector is voor ransomware. Deze pijler vormt de eerste verdedigingslinie tegen ransomware en is essentieel omdat preventie altijd beter is dan herstel, en omdat het voorkomen van een ransomware-infectie veel minder kost dan het herstellen van een gecompromitteerde omgeving.
De tweede pijler – geavanceerde threat detection en monitoring – wordt geïmplementeerd door Azure Defender voor Servers Plan 2 te configureren voor EDR-capaciteiten die verdachte activiteiten detecteren, zoals ongebruikelijke bestandsversleuteling, massale bestandsverwijdering, of verdachte netwerkverbindingen. Azure Sentinel wordt geconfigureerd als SIEM-oplossing die security events verzamelt van alle Azure-services en on-premises systemen, en die gebruik maakt van machine learning en threat intelligence om ransomware-aanvallen te detecteren voordat zij volledig worden geactiveerd. Custom detection rules worden geconfigureerd in Azure Sentinel om specifieke ransomware-indicatoren te detecteren, zoals het gebruik van bekende ransomware-extensies, ongebruikelijke encryptie-activiteiten, of verdachte processen die worden uitgevoerd op meerdere systemen. Azure Monitor wordt geconfigureerd voor het verzamelen van performance metrics en logs van alle Azure-services, waarbij alerting wordt geconfigureerd voor verdachte activiteiten. Deze pijler zorgt ervoor dat organisaties snel kunnen detecteren wanneer een ransomware-aanval plaatsvindt, waardoor zij sneller kunnen reageren en de schade kunnen beperken.
De derde pijler – robuuste backup- en herstelprocedures – wordt geïmplementeerd door Azure Backup te configureren voor alle kritieke workloads, waarbij regelmatige backups worden gemaakt volgens de recovery point objectives (RPO) van elke workload. Immutabele backup storage wordt geconfigureerd via Azure Blob Storage met immutability policies, waardoor backups niet kunnen worden gewijzigd of verwijderd door aanvallers, zelfs als zij toegang krijgen tot backup-accounts. Backups worden geïsoleerd van productiesystemen door gebruik te maken van aparte Azure subscriptions of resource groups met strikte toegangscontroles, waarbij alleen geautoriseerde backup-beheerders toegang hebben tot backup-resources. Backup- en herstelprocedures worden gedocumenteerd en regelmatig getest om te verifiëren dat organisaties snel kunnen herstellen vanuit backups zonder losgeld te betalen. Azure Site Recovery wordt geconfigureerd voor kritieke workloads om automatische failover te bieden naar secundaire regio's in geval van een ransomware-aanval die primaire systemen volledig compromitteert. Deze pijler is essentieel omdat het de enige manier is om volledig te herstellen van een ransomware-aanval zonder losgeld te betalen, en omdat het organisaties in staat stelt om snel weer operationeel te worden na een incident.
De vierde pijler – incident response en containment – wordt geïmplementeerd door procedures te ontwikkelen voor het snel isoleren van gecompromitteerde systemen wanneer een ransomware-aanval wordt gedetecteerd. Azure Sentinel playbooks worden geconfigureerd voor geautomatiseerde incident response, waarbij systemen automatisch worden geïsoleerd wanneer ransomware wordt gedetecteerd, en waarbij beheerders worden gealarmeerd voor verdere actie. Network Security Groups worden gebruikt om gecompromitteerde systemen snel te isoleren van de rest van het netwerk, waardoor de verspreiding van ransomware wordt gestopt. Communicatieprocedures worden ontwikkeld voor het informeren van stakeholders tijdens incidenten, waarbij duidelijk moet zijn wie verantwoordelijk is voor communicatie, welke informatie wordt gedeeld, en hoe updates worden verstrekt. Herstelprocedures worden gedocumenteerd en getest om te verifiëren dat organisaties snel kunnen herstellen vanuit backups en dat services snel weer operationeel kunnen worden. Deze pijler zorgt ervoor dat organisaties snel en effectief kunnen reageren op ransomware-incidenten, waardoor de schade wordt beperkt en de downtime wordt geminimaliseerd.
De vijfde pijler – continue verbetering en testing – wordt geïmplementeerd door regelmatig ransomware response drills uit te voeren waarbij organisaties simuleren hoe zij zouden reageren op een echte ransomware-aanval. Backup- en herstelprocedures worden regelmatig getest om te verifiëren dat backups correct werken en dat organisaties snel kunnen herstellen, waarbij testresultaten worden gedocumenteerd en gebruikt om procedures te verbeteren. Security assessments worden regelmatig uitgevoerd om de beveiligingspostuur te evalueren en om verbeterpunten te identificeren, waarbij gebruik wordt gemaakt van Azure Security Center secure score en andere security metrics. Lessons learned van incidenten en drills worden gedocumenteerd en gebruikt om procedures en configuraties te verbeteren. Threat intelligence wordt regelmatig geëvalueerd om op de hoogte te blijven van nieuwe ransomware-bedreigingen en aanvalsvectoren, waarbij security configuraties worden bijgewerkt om nieuwe bedreigingen te adresseren. Deze pijler zorgt ervoor dat ransomware-bescherming effectief blijft in de tijd en dat organisaties proactief kunnen reageren op nieuwe bedreigingen en aanvalsvectoren.
Compliance en Auditing
Ransomware-bescherming is niet alleen een best practice voor moderne beveiliging, maar een expliciete eis vanuit verschillende nationale en internationale kaders die gelden voor Nederlandse overheidsorganisaties en andere vitale of belangrijke entiteiten. De NIS2-richtlijn verlangt dat organisaties passende technische en organisatorische maatregelen treffen voor risicobeheersing en beveiliging, waarbij wordt benadrukt dat organisaties moeten kunnen reageren op cyberincidenten zoals ransomware-aanvallen. Dit betekent concreet dat organisaties niet kunnen volstaan met basisbeveiliging, maar moeten kunnen aantonen dat zij een proces hebben voor ransomware-preventie, -detectie en -response dat hen in staat stelt om snel te reageren op ransomware-aanvallen en om te herstellen zonder losgeld te betalen. Het hier beschreven ransomware-beschermingsraamwerk levert precies dat aantoonbare spoor: van preventieve beveiligingscontroles via geavanceerde threat detection tot robuuste backup- en herstelprocedures.
Het BIO-raamwerk benadrukt in thema 12 (Incidentbeheer) dat overheidsorganisaties procedures moeten hebben voor het reageren op security incidenten, inclusief ransomware-aanvallen. BIO 12.01 legt de nadruk op het waarborgen van adequate incident response procedures, waarbij ransomware-bescherming een directe bijdrage levert aan deze doelstellingen door organisaties in staat te stellen om snel te detecteren wanneer een ransomware-aanval plaatsvindt, om gecompromitteerde systemen te isoleren, en om snel te herstellen vanuit backups. Nederlandse overheidsorganisaties moeten aantonen dat zij beschikken over procedures en technische maatregelen die het mogelijk maken om ransomware-aanvallen te voorkomen, te detecteren en te reageren, inclusief backup- en herstelprocedures die regelmatig worden getest. Ransomware-bescherming voldoet aan deze vereisten door organisaties volledige bescherming te geven tegen ransomware-aanvallen, terwijl tegelijkertijd wordt voldaan aan beveiligings- en compliance-vereisten door optimaal gebruik te maken van Azure-native security services.
ISO 27001:2022 controle A.5.26 behandelt informatiebeveiliging voor gebruik van clouddiensten en eist dat organisaties passende beveiligingscontroles implementeren voor cloud-omgevingen, inclusief bescherming tegen malware en ransomware. ISO 27001:2022 controle A.8.16 behandelt monitoring, metering en logging en eist dat organisaties security events monitoren en loggen, wat essentieel is voor ransomware-detectie. Ransomware-bescherming draagt bij aan deze vereisten door te waarborgen dat organisaties volledige bescherming hebben tegen ransomware-aanvallen in cloud-omgevingen en door te zorgen dat security events worden gemonitord en gelogd voor detectie en response. De controle vereist tevens dat organisaties beschikken over procedures voor incident response, waarbij een goed geconfigureerde ransomware-bescherming de technische basis vormt voor dergelijke procedures door organisaties in staat te stellen om snel te detecteren wanneer een ransomware-aanval plaatsvindt, om gecompromitteerde systemen te isoleren, en om snel te herstellen vanuit backups.
Voor audit doeleinden moeten organisaties documentatie bijhouden die aantoont dat alle ransomware-beschermingsconfiguraties correct zijn geconfigureerd, inclusief verificatieresultaten, backup- en herstelprocedures, incident response procedures, en eventuele afwijkingen die zijn geïdentificeerd en gecorrigeerd. Deze audit evidence dient minimaal zeven jaar te worden bewaard conform algemene archiveringsvereisten voor beveiligingsconfiguraties, waarbij organisaties kunnen gebruik maken van Azure Policy compliance rapporten, Azure Monitor logs, Azure Sentinel incident logs, of externe compliance tooling om deze documentatie te genereren en te onderhouden. Daarnaast moeten organisaties documentatie bijhouden over ransomware-beschermingsprocedures, inclusief backup- en herstelprocedures, incident response procedures, Infrastructure as Code templates, configuratiescripts en testresultaten, om aan te tonen dat ransomware-bescherming op een gecontroleerde en gedocumenteerde manier wordt beheerd. Het PowerShell-script uit dit artikel kan aanvullend worden gebruikt als bron van objectief bewijsmateriaal over de technische inrichting van ransomware-bescherming in de Azure-tenant, bijvoorbeeld om te onderbouwen dat er daadwerkelijk ransomware-beschermingscontroles zijn geïmplementeerd en dat deze correct functioneren.
Monitoring
Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Monitoring) – Monitort de status van ransomware-beschermingscontroles en rapporteert security metrics.
Effectieve monitoring van ransomware-bescherming in Azure is essentieel om te waarborgen dat alle pijlers correct blijven functioneren en dat organisaties snel kunnen detecteren wanneer een ransomware-aanval plaatsvindt. Monitoring richt zich niet alleen op individuele pijlers, maar vooral ook op de samenhang tussen pijlers en de algehele security postuur van de organisatie. In de praktijk betekent dit dat de organisatie een beperkt aantal kernindicatoren definieert – Key Ransomware Protection Indicators (KRPI's) – die periodiek worden gemeten en gerapporteerd aan CISO, CIO en bestuur. Voor elke pijler worden specifieke metrics gedefinieerd die aangeven of de pijler effectief functioneert en of ransomware-bescherming wordt bereikt.
Voor de preventieve beveiligingscontrolespijler worden metrics gemeten zoals het percentage virtuele machines met endpoint protection geïnstalleerd en actief, het percentage gebruikers met multi-factor authenticatie geconfigureerd, het percentage systemen dat binnen 48 uur is gepatcht na release van kritieke security patches, en het aantal security awareness training sessies dat is gevolgd door gebruikers. Voor de geavanceerde threat detection en monitoringpijler worden metrics gemeten zoals het aantal ransomware-detecties door Azure Defender, het aantal security alerts dat wordt gegenereerd door Azure Sentinel, de gemiddelde tijd voor detectie van ransomware-aanvallen, en het percentage security events dat wordt gemonitord en gelogd. Voor de robuuste backup- en herstelprocedurespijler worden metrics gemeten zoals het percentage workloads met geconfigureerde backups, het percentage backups met immutabele storage, het aantal succesvolle backup- en hersteltests, en de recovery time objectives (RTO) en recovery point objectives (RPO) die worden bereikt. Voor de incident response en containmentpijler worden metrics gemeten zoals de gemiddelde tijd voor isolatie van gecompromitteerde systemen, het aantal geautomatiseerde incident response playbooks dat is geconfigureerd, en het aantal incident response drills dat is uitgevoerd. Voor de continue verbetering en testingpijler worden metrics gemeten zoals het aantal security assessments dat is uitgevoerd, het aantal verbeterpunten dat is geïmplementeerd, en het aantal ransomware response drills dat is uitgevoerd.
Een belangrijk onderdeel van monitoring is het creëren van geïntegreerde dashboards die de status van alle ransomware-beschermingspijlers samenbrengen in één overzichtelijk beeld. In plaats van afzonderlijke dashboards per pijler, wordt informatie samengebracht in een centraal ransomware-beschermingsdashboard dat laat zien hoe de verschillende pijlers samenwerken en waar potentiële zwaktes bestaan. Dit dashboard moet niet alleen technische details tonen, maar vooral ook risico-indicatoren die begrijpelijk zijn voor bestuurders en niet-technische stakeholders. Binnen Nederlandse overheidsorganisaties sluit dit aan bij de behoefte aan overzichtelijke rapportages die voldoen aan NIS2- en BIO-verplichtingen voor security reporting. Het dashboard moet bijvoorbeeld duidelijk maken welke workloads bescherming nodig hebben, welke ransomware-detecties zijn gedetecteerd, en wat de status is van backup- en herstelprocedures.
De monitoringfunctie moet ook concrete drempelwaarden en escalatiepaden definiëren. Voor elke KRPI wordt vastgelegd bij welke waarde het risiconiveau verandert – bijvoorbeeld van 'aanvaardbaar' naar 'zorgelijk' of 'onacceptabel' – en welke acties dan vereist zijn. Dit kan variëren van het verplicht opstellen van een verbeterplan binnen een maand, via het tijdelijk blokkeren van nieuwe workloads die niet voldoen aan ransomware-beschermingsvereisten, tot het escaleren naar de CISO of het bestuurlijke crisisteam bij zeer ernstige security kwetsbaarheden. Deze drempelwaarden worden afgestemd op de bestaande risicobereidheid van de organisatie en op wettelijke vereisten vanuit NIS2 en BIO. Bijvoorbeeld, wanneer minder dan 95% van de virtuele machines endpoint protection heeft, moet er een verplicht verbeterplan worden opgesteld. Wanneer minder dan 90% van de virtuele machines endpoint protection heeft, moet dit worden geëscaleerd naar het bestuur.
Tot slot vereist monitoring een nauwe koppeling tussen de dagelijkse operationele securityprocessen – zoals security scanning, vulnerability assessments, en incident response – en de meerjarige ransomware-beschermingssturing. Operationele teams leveren signalen over concrete security kwetsbaarheden, nieuwe ransomware-bedreigingen, en ontdekte security incidenten. Deze signalen moeten systematisch worden geanalyseerd om te bepalen of zij duiden op structurele tekortkomingen in ransomware-bescherming of de configuratie daarvan. Wanneer bijvoorbeeld meerdere incidenten wijzen op onvoldoende ransomware-bescherming of verouderde security configuraties, moet dit leiden tot een herziening van de relevante pijlers en verbetermaatregelen. Het PowerShell-script dat bij dit artikel hoort, kan dienen als technisch hulpmiddel om op vaste momenten kernstatistieken uit Azure op te halen – zoals het percentage virtuele machines met endpoint protection, het aantal ransomware-detecties, de backup-status, en de incident response status – en die als bijlage toe te voegen aan periodieke security rapportages. Zo ontstaat een gesloten feedbacklus tussen monitoring, analyse en bijsturing.
Remediatie
Gebruik PowerShell-script ransomware-protection.ps1 (functie Invoke-Remediation) – Identificeert en herstelt ontbrekende of zwakke ransomware-beschermingscontroles.
Wanneer uit audits, incidenten of periodieke assessments blijkt dat ransomware-bescherming onvoldoende is geïmplementeerd of dat bepaalde pijlers zwak zijn, is een gestructureerd remediatieproces noodzakelijk om het ransomware-beschermingsniveau snel en gecontroleerd te verhogen. De eerste stap in dit proces is het uitvoeren van een gap-analyse ten opzichte van het gewenste ransomware-beschermingsraamwerk: welke pijlers zijn al aanwezig en correct geconfigureerd, welke pijlers zijn gedeeltelijk geïmplementeerd maar hebben tekortkomingen, en welke pijlers ontbreken volledig? Deze gap-analyse wordt idealiter uitgevoerd door een multidisciplinair team bestaande uit CISO, security engineers, cloud architects, backup-beheerders, en vertegenwoordigers uit de business. Het resultaat is een overzicht van concrete tekortkomingen per ransomware-beschermingspijler, geprioriteerd op basis van risico en compliance-impact.
Vervolgens wordt per tekortkoming een gerichte remediatiestrategie bepaald. Ontbreekt bijvoorbeeld de endpoint protectionpijler volledig, dan is de remediatie het inrichten van een project waarin Azure Defender voor Servers Plan 2 wordt geconfigureerd voor alle virtuele machines, endpoint protection wordt geïnstalleerd en geactiveerd, en monitoring wordt geconfigureerd voor detectie van ransomware. Is de backup- en herstelprocedurespijler gedeeltelijk aanwezig maar ontbreken immutabele backups, dan ligt de nadruk op het configureren van immutabele backup storage voor alle kritieke workloads en het testen van backup- en herstelprocedures. In situaties waarin meerdere pijlers zwak zijn – wat zeker bij organisaties zonder eerdere focus op ransomware-bescherming vaak voorkomt – moet een gefaseerde aanpak worden gevolgd waarbij eerst de fundamenten (endpoint protection en basisbackups) worden versterkt, gevolgd door geavanceerde threat detection en monitoring, en tot slot incident response procedures en continue verbetering.
Een belangrijk remediatiepad betreft het herstellen van ontbrekende of zwakke backup- en herstelprocedures. Wanneer de derde pijler onvoldoende is geïmplementeerd, kunnen organisaties niet volledig herstellen van een ransomware-aanval zonder losgeld te betalen. Remediatie betekent in dit geval het configureren van Azure Backup voor alle kritieke workloads, het configureren van immutabele backup storage, het documenteren van backup- en herstelprocedures, en het regelmatig testen van backup- en herstelprocessen. Zonder adequate backup- en herstelprocedures blijven organisaties kwetsbaar voor permanente data loss bij ransomware-aanvallen en kunnen zij niet voldoen aan compliance-vereisten voor data protection en incident response.
Technisch gezien kan remediatie ook bestaan uit het herstructureren van de security architectuur om ransomware-bescherming beter te kunnen afdwingen. Denk aan het implementeren van netwerksegmentatie om laterale beweging te beperken, het configureren van Azure Policy om security configuraties consistent af te dwingen, of het migreren van workloads naar Azure-services met ingebouwde ransomware-bescherming. Deze stappen moeten altijd worden uitgevoerd op basis van een gedetailleerd migratieplan, inclusief impactanalyse, fallbackscenario's en communicatie met betrokken teams. Ransomware-bescherming betekent in dit verband dat herstructurering niet alleen wordt bekeken vanuit technische optimalisatie, maar vooral vanuit de vraag: vergroot dit de ransomware-bescherming en stelt dit organisaties in staat om snel te reageren op ransomware-aanvallen en om te herstellen zonder losgeld te betalen?
Tot slot moet elke remediatie-inspanning worden afgesloten met een expliciete evaluatie en bijstelling van het ransomware-beschermingsraamwerk. De lessen uit incidenten en audits – bijvoorbeeld een ransomware-aanval die heeft geleid tot een security incident of onvoldoende ransomware-bescherming die heeft geleid tot compliance-problemen – moeten structureel worden verwerkt in de security architectuur, configuraties en procedures. Het is raadzaam om na afronding van een remediatieprogramma een integrale security assessment te laten uitvoeren door een interne auditdienst of een onafhankelijke derde, zodat kan worden vastgesteld of het nieuwe niveau van ransomware-bescherming daadwerkelijk in lijn is met NIS2, BIO en de verwachtingen van het bestuur. De uitkomsten hiervan worden vastgelegd in security documentatie en vormen het nieuwe vertrekpunt voor de reguliere cyclus van monitoring en verbetering.
Compliance & Frameworks
- BIO: 12.01.01, 12.02.01, 10.01.01 - Incidentbeheer en ransomware-bescherming met focus op preventie, detectie en herstel
- ISO 27001:2022: A.5.26, A.8.16, A.7.4 - Cloud security, monitoring en logging, en security awareness met focus op ransomware-bescherming
- NIS2: Artikel - Passende technische en organisatorische maatregelen voor risicobeheersing en beveiliging, inclusief ransomware-preventie, -detectie en -response
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
================================================================================
AZURE POWERSHELL SCRIPT - Nederlandse Baseline voor Veilige Cloud
================================================================================
.SYNOPSIS
Ransomware Bescherming: Preventie, Detectie en Herstel
.DESCRIPTION
Controleert en implementeert ransomware-beschermingscontroles in Azure-omgevingen
door te valideren dat endpoint protection, backups, threat detection en incident
response procedures correct zijn geconfigureerd.
.NOTES
Filename: ransomware-protection.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Version: 1.0
Related JSON: content/azure/security/ransomware-protection.json
CIS Control: 6.1, 6.2, 6.3
BIO Controls: 12.01.01, 12.02.01, 10.01.01
ISO 27001: A.5.26, A.8.16, A.7.4
NIS2 Article: 21
AVG Articles: 25, 32
#>
#Requires -Version 5.1
#Requires -Modules Az.Accounts, Az.Compute, Az.Storage, Az.Backup, Az.Security, Az.Monitor
[CmdletBinding()]
param(
[Parameter()][switch]$WhatIf,
[Parameter()][switch]$Monitoring,
[Parameter()][switch]$Remediation,
[Parameter()][switch]$Revert
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
$PolicyName = "Ransomware Bescherming"
function Connect-RequiredServices {
try {
if (-not (Get-AzContext)) {
Connect-AzAccount -ErrorAction Stop | Out-Null
}
Write-Verbose "Verbonden met Azure"
}
catch {
throw "Failed to connect to Azure: $_"
}
}
function Test-Compliance {
Write-Verbose "Testing compliance for: $PolicyName..."
$result = [PSCustomObject]@{
ScriptName = "ransomware-protection"
PolicyName = $PolicyName
IsCompliant = $false
TotalVMs = 0
VMsWithEndpointProtection = 0
VMsWithBackup = 0
VMsWithImmutableBackup = 0
TotalStorageAccounts = 0
StorageAccountsWithImmutableStorage = 0
DefenderEnabled = $false
SentinelEnabled = $false
Details = @()
Recommendations = @()
RansomwareProtectionMetrics = @{
EndpointProtectionCoverage = 0
BackupCoverage = 0
ImmutableBackupCoverage = 0
ThreatDetectionEnabled = $false
IncidentResponseConfigured = $false
}
SecurityGaps = @{
MissingEndpointProtection = 0
MissingBackups = 0
MissingImmutableStorage = 0
OutdatedSystems = 0
}
}
try {
# Check Azure Defender for Servers
$subscriptions = Get-AzSubscription | Where-Object { $_.State -eq 'Enabled' }
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
try {
# Check Defender for Servers status
$defenderSettings = Get-AzSecurityPricing -Name "VirtualMachines" -ErrorAction SilentlyContinue
if ($defenderSettings -and $defenderSettings.PricingTier -eq 'Standard') {
$result.DefenderEnabled = $true
$result.Details += "✓ Azure Defender voor Servers: Ingeschakeld (Standard tier)"
}
else {
$result.Details += "✗ Azure Defender voor Servers: Niet ingeschakeld of niet op Standard tier"
$result.Recommendations += "Schakel Azure Defender voor Servers Plan 2 in voor alle subscriptions"
}
# Check VMs for endpoint protection
$vms = Get-AzVM -Status -ErrorAction SilentlyContinue
$result.TotalVMs += $vms.Count
foreach ($vm in $vms) {
try {
# Check if VM has Defender extension installed
$extensions = Get-AzVMExtension -ResourceGroupName $vm.ResourceGroupName -VMName $vm.Name -ErrorAction SilentlyContinue
$hasDefender = $extensions | Where-Object { $_.Publisher -eq 'Microsoft.Azure.Security' -or $_.Publisher -eq 'Microsoft.Azure.AzureSecurityCenter' }
if ($hasDefender) {
$result.VMsWithEndpointProtection++
$result.Details += "✓ VM '$($vm.Name)': Endpoint protection geïnstalleerd"
}
else {
$result.SecurityGaps.MissingEndpointProtection++
$result.Details += "✗ VM '$($vm.Name)': Geen endpoint protection geïnstalleerd"
$result.Recommendations += "Installeer endpoint protection op VM '$($vm.Name)'"
}
# Check if VM has backup configured
$backupItems = Get-AzRecoveryServicesBackupItem -VaultId (Get-AzRecoveryServicesVault -ResourceGroupName $vm.ResourceGroupName -ErrorAction SilentlyContinue).Id -ErrorAction SilentlyContinue | Where-Object { $_.Name -eq $vm.Name }
if ($backupItems) {
$result.VMsWithBackup++
$result.Details += "✓ VM '$($vm.Name)': Backup geconfigureerd"
}
else {
$result.SecurityGaps.MissingBackups++
$result.Details += "⚠ VM '$($vm.Name)': Geen backup geconfigureerd"
$result.Recommendations += "Configureer Azure Backup voor VM '$($vm.Name)'"
}
}
catch {
Write-Verbose "Kon VM details niet ophalen voor '$($vm.Name)': $_"
}
}
# Check Storage Accounts for immutable storage
$storageAccounts = Get-AzStorageAccount -ErrorAction SilentlyContinue
$result.TotalStorageAccounts += $storageAccounts.Count
foreach ($sa in $storageAccounts) {
try {
$ctx = $sa.Context
$containers = Get-AzStorageContainer -Context $ctx -ErrorAction SilentlyContinue
$hasImmutable = $false
foreach ($container in $containers) {
$immutablePolicy = Get-AzStorageContainerImmutabilityPolicy -ContainerName $container.Name -Context $ctx -ErrorAction SilentlyContinue
if ($immutablePolicy -and $immutablePolicy.ImmutabilityPeriodSinceCreationInDays -gt 0) {
$hasImmutable = $true
$result.StorageAccountsWithImmutableStorage++
$result.Details += "✓ Storage Account '$($sa.StorageAccountName)': Immutabele storage geconfigureerd"
break
}
}
if (-not $hasImmutable) {
$result.SecurityGaps.MissingImmutableStorage++
$result.Details += "⚠ Storage Account '$($sa.StorageAccountName)': Geen immutabele storage geconfigureerd"
$result.Recommendations += "Configureer immutabele storage voor Storage Account '$($sa.StorageAccountName)'"
}
}
catch {
Write-Verbose "Kon storage account details niet ophalen voor '$($sa.StorageAccountName)': $_"
}
}
}
catch {
Write-Verbose "Kon subscription '$($sub.Name)' niet controleren: $_"
}
}
# Check Azure Sentinel
foreach ($sub in $subscriptions) {
Set-AzContext -SubscriptionId $sub.Id -ErrorAction SilentlyContinue | Out-Null
try {
$workspaces = Get-AzOperationalInsightsWorkspace -ErrorAction SilentlyContinue
foreach ($workspace in $workspaces) {
$sentinel = Get-AzSentinelOnboardingState -ResourceGroupName $workspace.ResourceGroupName -WorkspaceName $workspace.Name -ErrorAction SilentlyContinue
if ($sentinel) {
$result.SentinelEnabled = $true
$result.Details += "✓ Azure Sentinel: Ingeschakeld in workspace '$($workspace.Name)'"
break
}
}
}
catch {
Write-Verbose "Kon Azure Sentinel status niet controleren: $_"
}
}
if (-not $result.SentinelEnabled) {
$result.Details += "✗ Azure Sentinel: Niet ingeschakeld"
$result.Recommendations += "Schakel Azure Sentinel in voor Security Information and Event Management (SIEM)"
}
# Calculate metrics
if ($result.TotalVMs -gt 0) {
$result.RansomwareProtectionMetrics.EndpointProtectionCoverage = [Math]::Round(($result.VMsWithEndpointProtection / $result.TotalVMs) * 100, 2)
$result.RansomwareProtectionMetrics.BackupCoverage = [Math]::Round(($result.VMsWithBackup / $result.TotalVMs) * 100, 2)
}
if ($result.TotalStorageAccounts -gt 0) {
$result.RansomwareProtectionMetrics.ImmutableBackupCoverage = [Math]::Round(($result.StorageAccountsWithImmutableStorage / $result.TotalStorageAccounts) * 100, 2)
}
$result.RansomwareProtectionMetrics.ThreatDetectionEnabled = $result.DefenderEnabled -and $result.SentinelEnabled
# Determine compliance
$complianceScore = 0
$maxScore = 5
if ($result.DefenderEnabled) { $complianceScore++ }
if ($result.RansomwareProtectionMetrics.EndpointProtectionCoverage -ge 95) { $complianceScore++ }
if ($result.RansomwareProtectionMetrics.BackupCoverage -ge 90) { $complianceScore++ }
if ($result.RansomwareProtectionMetrics.ImmutableBackupCoverage -ge 80) { $complianceScore++ }
if ($result.SentinelEnabled) { $complianceScore++ }
if ($complianceScore -ge 4) {
$result.IsCompliant = $true
}
else {
$result.IsCompliant = $false
$result.Recommendations += "Ransomware-bescherming vereist verbetering - Zie details voor specifieke aanbevelingen"
}
# Add specific recommendations
if ($result.SecurityGaps.MissingEndpointProtection -gt 0) {
$result.Recommendations += "$($result.SecurityGaps.MissingEndpointProtection) VM(s) zonder endpoint protection - Installeer Azure Defender voor Servers"
}
if ($result.SecurityGaps.MissingBackups -gt 0) {
$result.Recommendations += "$($result.SecurityGaps.MissingBackups) VM(s) zonder backup - Configureer Azure Backup voor alle kritieke workloads"
}
if ($result.SecurityGaps.MissingImmutableStorage -gt 0) {
$result.Recommendations += "$($result.SecurityGaps.MissingImmutableStorage) Storage Account(s) zonder immutabele storage - Configureer immutabele storage voor backups"
}
}
catch {
$result.Details += "ERROR: $($_.Exception.Message)"
$result.IsCompliant = $false
}
return $result
}
function Invoke-Monitoring {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "`nRansomware Bescherming Metrics:" -ForegroundColor Yellow
Write-Host " Endpoint Protection Coverage: $($result.RansomwareProtectionMetrics.EndpointProtectionCoverage)%" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.EndpointProtectionCoverage -ge 95) { 'Green' } else { 'Red' })
Write-Host " Backup Coverage: $($result.RansomwareProtectionMetrics.BackupCoverage)%" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.BackupCoverage -ge 90) { 'Green' } else { 'Yellow' })
Write-Host " Immutabele Backup Coverage: $($result.RansomwareProtectionMetrics.ImmutableBackupCoverage)%" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.ImmutableBackupCoverage -ge 80) { 'Green' } else { 'Yellow' })
Write-Host " Threat Detection: $(if ($result.RansomwareProtectionMetrics.ThreatDetectionEnabled) { 'Ingeschakeld' } else { 'Niet ingeschakeld' })" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.ThreatDetectionEnabled) { 'Green' } else { 'Red' })
Write-Host "`nVM Status:" -ForegroundColor Yellow
Write-Host " Totaal VMs: $($result.TotalVMs)" -ForegroundColor White
Write-Host " Met endpoint protection: $($result.VMsWithEndpointProtection)/$($result.TotalVMs)" -ForegroundColor $(if ($result.VMsWithEndpointProtection -eq $result.TotalVMs -and $result.TotalVMs -gt 0) { 'Green' } else { 'Yellow' })
Write-Host " Met backup: $($result.VMsWithBackup)/$($result.TotalVMs)" -ForegroundColor $(if ($result.VMsWithBackup -eq $result.TotalVMs -and $result.TotalVMs -gt 0) { 'Green' } else { 'Yellow' })
Write-Host "`nSecurity Gaps:" -ForegroundColor Yellow
Write-Host " VMs zonder endpoint protection: $($result.SecurityGaps.MissingEndpointProtection)" -ForegroundColor $(if ($result.SecurityGaps.MissingEndpointProtection -eq 0) { 'Green' } else { 'Red' })
Write-Host " VMs zonder backup: $($result.SecurityGaps.MissingBackups)" -ForegroundColor $(if ($result.SecurityGaps.MissingBackups -eq 0) { 'Green' } else { 'Yellow' })
Write-Host " Storage Accounts zonder immutabele storage: $($result.SecurityGaps.MissingImmutableStorage)" -ForegroundColor $(if ($result.SecurityGaps.MissingImmutableStorage -eq 0) { 'Green' } else { 'Yellow' })
Write-Host "`nDetails:" -ForegroundColor Yellow
foreach ($detail in $result.Details) {
if ($detail -like "✓*") {
Write-Host " $detail" -ForegroundColor Green
}
elseif ($detail -like "✗*") {
Write-Host " $detail" -ForegroundColor Red
}
elseif ($detail -like "⚠*") {
Write-Host " $detail" -ForegroundColor Yellow
}
else {
Write-Host " $detail" -ForegroundColor Gray
}
}
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
foreach ($rec in $result.Recommendations) {
Write-Host " • $rec" -ForegroundColor Cyan
}
}
Write-Host "`nCompliance Status: " -NoNewline -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "[OK] COMPLIANT" -ForegroundColor Green
Write-Host "`nRansomware-bescherming is correct geïmplementeerd." -ForegroundColor Green
}
else {
Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red
Write-Host "`nRansomware-bescherming vereist verbetering." -ForegroundColor Red
}
Write-Host "`nBest Practices:" -ForegroundColor Cyan
Write-Host " • Schakel Azure Defender voor Servers Plan 2 in voor alle VMs" -ForegroundColor Gray
Write-Host " • Configureer Azure Backup voor alle kritieke workloads" -ForegroundColor Gray
Write-Host " • Gebruik immutabele storage voor backups" -ForegroundColor Gray
Write-Host " • Schakel Azure Sentinel in voor threat detection" -ForegroundColor Gray
Write-Host " • Implementeer netwerksegmentatie om laterale beweging te beperken" -ForegroundColor Gray
Write-Host " • Test regelmatig backup- en herstelprocedures" -ForegroundColor Gray
Write-Host " • Organiseer security awareness training voor gebruikers" -ForegroundColor Gray
return $result
}
function Invoke-Remediation {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Ransomware Bescherming - Remediatie" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
$result = Test-Compliance
Write-Host "`nHuidige Status:" -ForegroundColor Yellow
Write-Host " Endpoint Protection Coverage: $($result.RansomwareProtectionMetrics.EndpointProtectionCoverage)%" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.EndpointProtectionCoverage -ge 95) { 'Green' } else { 'Yellow' })
Write-Host " Backup Coverage: $($result.RansomwareProtectionMetrics.BackupCoverage)%" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.BackupCoverage -ge 90) { 'Green' } else { 'Yellow' })
Write-Host " Threat Detection: $(if ($result.RansomwareProtectionMetrics.ThreatDetectionEnabled) { 'Ingeschakeld' } else { 'Niet ingeschakeld' })" -ForegroundColor $(if ($result.RansomwareProtectionMetrics.ThreatDetectionEnabled) { 'Green' } else { 'Red' })
if ($result.RansomwareProtectionMetrics.EndpointProtectionCoverage -lt 95 -or $result.RansomwareProtectionMetrics.BackupCoverage -lt 90 -or -not $result.RansomwareProtectionMetrics.ThreatDetectionEnabled) {
Write-Host "`nAanbevelingen voor implementatie:" -ForegroundColor Cyan
Write-Host " 1. Schakel Azure Defender voor Servers Plan 2 in voor alle subscriptions" -ForegroundColor Gray
Write-Host " 2. Installeer endpoint protection op alle VMs" -ForegroundColor Gray
Write-Host " 3. Configureer Azure Backup voor alle kritieke workloads" -ForegroundColor Gray
Write-Host " 4. Configureer immutabele storage voor backup-containers" -ForegroundColor Gray
Write-Host " 5. Schakel Azure Sentinel in voor threat detection en SIEM" -ForegroundColor Gray
Write-Host " 6. Implementeer netwerksegmentatie via NSGs" -ForegroundColor Gray
Write-Host " 7. Test regelmatig backup- en herstelprocedures" -ForegroundColor Gray
Write-Host " 8. Organiseer security awareness training" -ForegroundColor Gray
Write-Host "`nPowerShell commando's voor implementatie:" -ForegroundColor Cyan
Write-Host " # Schakel Azure Defender in" -ForegroundColor Gray
Write-Host " Set-AzSecurityPricing -Name 'VirtualMachines' -PricingTier 'Standard'" -ForegroundColor White
Write-Host "`n # Configureer Azure Backup" -ForegroundColor Gray
Write-Host " New-AzRecoveryServicesVault -ResourceGroupName '<RG>' -Name '<VaultName>' -Location '<Location>'" -ForegroundColor White
Write-Host "`n # Configureer immutabele storage" -ForegroundColor Gray
Write-Host " Set-AzStorageContainerImmutabilityPolicy -ContainerName '<Container>' -Context <Context> -ImmutabilityPeriod 365" -ForegroundColor White
}
else {
Write-Host "`n[OK] Ransomware-bescherming is correct geïmplementeerd." -ForegroundColor Green
}
Write-Host "`nVoor continue monitoring:" -ForegroundColor Cyan
Write-Host " • Gebruik dit script in Azure Automation runbooks (wekelijks)" -ForegroundColor Gray
Write-Host " • Sla ransomware-beschermingsmetrics op in Azure Log Analytics" -ForegroundColor Gray
Write-Host " • Configureer Azure Monitor alerts bij security gaps" -ForegroundColor Gray
Write-Host " • Genereer maandelijkse rapportages voor bestuurders" -ForegroundColor Gray
Write-Host " • Review ransomware-beschermingsconfiguraties regelmatig" -ForegroundColor Gray
return $result
}
function Invoke-Revert {
Write-Host "`n⚠️ Ransomware-bescherming uitschakelen wordt NIET aanbevolen" -ForegroundColor Red
Write-Host "Dit creëert aanzienlijke beveiligingsrisico's en compliance-problemen." -ForegroundColor Red
Write-Host "`nAls u security configuraties moet wijzigen:" -ForegroundColor Yellow
Write-Host " • Raadpleeg eerst het security beleid" -ForegroundColor Gray
Write-Host " • Test wijzigingen in testomgevingen" -ForegroundColor Gray
Write-Host " • Documenteer alle wijzigingen" -ForegroundColor Gray
Write-Host " • Overweeg impact op compliance-vereisten" -ForegroundColor Gray
Write-Host "`nHet wordt sterk aanbevolen om ransomware-bescherming actief te houden.`n" -ForegroundColor Red
}
try {
Connect-RequiredServices
if ($Monitoring) {
Invoke-Monitoring
}
elseif ($Remediation) {
if ($WhatIf) {
Write-Host "`n=== WHATIF MODE ===" -ForegroundColor Yellow
$result = Test-Compliance
Write-Host "Zou ransomware-bescherming status rapporteren voor $($result.TotalVMs) VM(s)" -ForegroundColor Yellow
Write-Host "Huidige status: $($result.VMsWithEndpointProtection) VM(s) met endpoint protection" -ForegroundColor Yellow
if ($result.SecurityGaps.MissingEndpointProtection -gt 0) {
Write-Host "`nVMs zonder endpoint protection: $($result.SecurityGaps.MissingEndpointProtection)" -ForegroundColor Yellow
}
}
else {
Invoke-Remediation
}
}
elseif ($Revert) {
Invoke-Revert
}
else {
$result = Test-Compliance
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "$PolicyName" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================" -ForegroundColor Cyan
Write-Host "`nStatus: " -NoNewline -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "[OK] COMPLIANT" -ForegroundColor Green
}
else {
Write-Host "[FAIL] NON-COMPLIANT" -ForegroundColor Red
}
Write-Host "Endpoint Protection Coverage: $($result.RansomwareProtectionMetrics.EndpointProtectionCoverage)%" -ForegroundColor White
Write-Host "Backup Coverage: $($result.RansomwareProtectionMetrics.BackupCoverage)%" -ForegroundColor White
if ($result.Recommendations.Count -gt 0) {
Write-Host "`nAanbevelingen:" -ForegroundColor Yellow
$result.Recommendations | Select-Object -First 3 | ForEach-Object {
Write-Host " • $_" -ForegroundColor Cyan
}
}
Write-Host "`nGebruik -Monitoring voor uitgebreide rapportage" -ForegroundColor Gray
Write-Host "Gebruik -Remediation voor implementatie aanbevelingen`n" -ForegroundColor Gray
}
}
catch {
Write-Error $_
exit 1
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder effectieve ransomware-bescherming lopen organisaties het risico dat aanvallers toegang krijgen tot systemen en ransomware activeren, waardoor organisaties volledig worden lamgelegd en niet langer in staat zijn om hun diensten te leveren. Compliance: BIO 12.01, ISO 27001 A.5.26, NIS2 Artikel 21. Het risico is kritiek - operationele en strategische beveiligingsrisico's, maatschappelijke impact.
Management Samenvatting
Ransomware-bescherming: Implementeer een gelaagde aanpak met preventieve beveiligingscontroles, geavanceerde threat detection, robuuste backup- en herstelprocedures, incident response en continue verbetering. Essentieel voor NIS2 en BIO compliance en voorbereiding op ransomware-aanvallen. Implementatie: 280 uur (160 technisch, 120 organisatorisch). Doorlopend: 20 uur per maand (0,5 FTE) voor monitoring, evaluatie en verbetering.
- Implementatietijd: 280 uur
- FTE required: 1 FTE