Een praktische gids voor het verbeteren van je beveiligingshouding met behulp van Microsoft Secure Score.
Als ict-bedrijf met 1500 medewerkers, weten wij zelf hoe belangrijk het is om onze digitale omgeving te beschermen tegen cyberaanvallen. Het zal voor jouw bedrijf niet anders zijn. Maar hoe weet je of je voldoende maatregelen hebt genomen om jouw data, apparaten en gebruikers te beveiligen? Hoe kan je de beveiliging continu verbeteren en aanpassen aan het veranderende dreigingslandschap?
Wij gebruiken hiervoor het hulpmiddel Microsoft Secure Score. Dit is een meetinstrument dat laat zien hoe goed de beveiliging in je ict-omgeving is geregeld, inclusief de zwakke plekken. Dit noemen we ook wel de ‘security posture’. In deze blog lees je wat Microsoft Secure Score is, hoe je het kunt gebruiken om veiliger te worden én wat het juist niet is.
Wat is Microsoft Secure Score?
Microsoft Secure Score geeft met een cijfer aan hoe goed jouw Microsoft-omgeving is beveiligd. Dit cijfer is gebaseerd op alle mogelijke beveiligingsinstellingen die je kunt treffen.
De score maakt het mogelijk om naar een acceptabele uitkomst toe te sturen en om jouw omgeving te vergelijken met andere organisaties. Je organisatie verzamelt punten voor elke beveiligingsinstelling die je activeert. De score wordt vergeleken met de maximaal haalbare score en is uitgedrukt in een percentage.
Microsoft Secure Score bestaat voor zowel Office365 als voor Azure en er is maar beperkte overlap tussen de scores en maatregelen. Als je van beide platformen gebruikmaakt, moet je de scores dus ook apart behandelen.
Microsoft Secure Score vind je in de Microsoft Defender Portal. Als je daar inzoomt zie je honderden mogelijke instellingen die een gewogen aantal punten vertegenwoordigen. Microsoft heeft vooraf een weging gemaakt van de maatregelen en geeft meer punten aan maatregelen die veel bijdragen aan de beveiliging. Dit betekent dat maatregelen zoals multifactorauthenticatie (MFA), die relatief eenvoudig in te stellen zijn maar een grote veiligheidswinst opleveren, een hoog aantal punten krijgen.
Periodiek komen er nieuwe instellingen bij door een veranderd dreigingslandschap, denk aan nieuwe manieren van phishing om af te weren, of veiligere instellingen voor Sharepoint Online. De maximale score loopt ook op doordat er nieuwe instellingen (met punten) bijkomen. Als je dus niet meebeweegt en geen extra punten haalt, dan daalt de relatieve score vanzelf.
.png?width=695&height=302&name=afbeelding%20(3).png)
Figuur 1: Ontwikkeling secure score over tijd. In september is het aantal behaalde punten (lichtblauw) toegenomen (van 1106 naar 1122) maar het maximum te halen punten (donkerblauw) is nog verder toegenomen, waardoor de relatieve score gedaald is!
Dit principe is krachtig: door periodiek de Secure Score na te lopen, krijg je aangereikt wat op dit moment de meest relevante toevoegingen zijn om de risico's van jouw organisatie het hoofd te bieden. Hierdoor beweegt de security posture vanzelf mee met het dreigingslandschap!
Leestip: whitepaper ‘cybersecurity als onderdeel van de basis’
De zin en onzin van Secure Score
Een hogere score betekent sowieso dat je meer maatregelen hebt getroffen. Betekent dit dan ook dat je veiliger bent met een hogere score dan met een lagere score? En ben je met een hoge score dan helemaal veilig?
De score is subjectief en relatief: organisaties met scores boven de 90% worden soms gehackt, terwijl anderen met scores van 58% of lager niet worden gehackt.
Voor jouw organisatie zijn sommige parameters relevanter of minder relevant dan voor andere organisaties. Dus staar je vooral niet blind op de Secure Score en ga er niet vanuit dat je helemaal veilig bent met een hoge score.
De Secure Score is een instrument dat je voor jouw organisatie kan laten werken om keuzes te maken en om bij te sturen. Uiteindelijk heeft jouw organisatie het beste in beeld wat de risico's zijn die je moet beheersen, waar de prioriteit moet liggen en uiteindelijk ook hoeveel tijd en geld je kan of mag investeren.
Hoe laat je Secure Score werken voor jouw organisatie?
De Secure Score is een hulpmiddel dat je kunt gebruiken als onderdeel van een continu proces: wanneer je jezelf dwingt om periodiek de waarden te evalueren, kun je het begrip van de security posture vergroten, en jouw beveiliging continu verbeteren.
Hier zijn enkele praktische tips om de Secure Score te gebruiken:
- Maak de trends zichtbaar en houd de Secure Score bij over de tijd. Als je score ineens daalt, zoek dan uit waardoor het komt. Heeft je organisatie nieuwe apparaten uitgerold waarop basismaatregelen ontbreken? Is er een nieuwe belangrijke kwetsbaarheid of aanbeveling? Duik in de portal naar de nieuwe, meest relevante maatregelen en zet acties uit naar het beheerteam of de outsourcing-provider.
- Begrijp jouw score en stel doelen. Analyseer de huidige beveiligingsscore en vergelijk deze met je eigen vooraf gemaakte risicoanalyse om eenvoudig te implementeren en meest waardevolle maatregelen te identificeren.
- Versterk de authenticatie. Bescherm alle accounts, vooral die met verhoogde rechten. Dit doe je door sterke wachtwoorden en MFA te gebruiken. Vermijd SMS als tweede factor en gebruik in plaats daarvan veiligere opties zoals Authenticator Apps of Passkeys.
- Beveilig Office365. Controleer regelmatig de beveiligingsinstellingen van Office365 en de toegang tot belangrijke data op Sharepoint Online om te voorkomen dat gecompromitteerde accounts toegang krijgen tot gevoelige informatie.
- E-mailbeveiliging. Prioriteer het verbeteren van e-mailbeveiliging om te beschermen tegen phishing, malware en andere bedreigingen, aangezien e-mail de meest voorkomende aanvalsvector is.
- Minimaliseer admin-rechten. Beperk het aantal accounts met de hoogste rechten (bijvoorbeeld Global Admin) en gebruik Privileged Identity Management (PIM) om tijdelijke rechten toe te kennen voor taken die verhoogde rechten vereisen.
- Implementeer een security baseline. Rol werkplekken en servers uit met een security baseline die veelvoorkomende kwetsbaarheden uitschakelt of monitort, wat bijdraagt aan een sterkere beveiligingshouding van de organisatie.
Soms zijn de aanbevolen maatregelen niet relevant of passen niet in het beleid van de organisatie. Onthoud: Secure Score is een middel, geen doel!
Welke score is ideaal?
Microsoft geeft als streefwaarde voor Secure Score aan dat organisaties minimaal boven de 60% moeten zitten om de basisbeveiliging op orde te hebben.
Met de kennis die wij hebben over onze klanten en van de maatregelen die Microsoft standaard aanbiedt, adviseren we vanuit ons bedrijf om te streven naar een score van minimaal 70%.
Waarom raden wij een score van minimaal 70% aan? Wij zien dat een organisatie al snel op 60% komt, terwijl er te veel belangrijke maatregelen uitgeschakeld blijven. Hierdoor blijven maatregelen liggen die een belangrijke toevoeging zijn aan de security posture voor iedere organisatie. En daarom leggen wij de lat hoger.
Secure Score: geef het tijd en aandacht
Werken met de Secure Score is een proces dat tijd en aandacht nodig heeft. Het gaat werken voor jouw organisatie als je aan het bestuur of directie de stijgende lijn kunt laten zien, eventuele dipjes bespreekbaar kunt maken en door middel van de benchmark scores kunt laten zien dat je in control bent en de risico's worden beheerst. Iedere bestuurder of directielid vindt dat een fijn gevoel.
Maak je dan ook geen zorgen als het niet snel gaat of niet zo gemakkelijk lukt, als je begrijpt waar het door komt, kun je een plan maken en de planning volgen en kom je er vanzelf.
Secure Score is een nuttig hulpmiddel voor het verbeteren van je cyberhygiëne, maar het is belangrijk om het niet blindelings te volgen. Begrijp hoe het werkt, en het kan je helpen om veel problemen te voorkomen.
Meer securitycontent?
Lees dan ook:
- Investeren in je security-fundament: "Eerst de basis op orde, dan pas de rest"
- 9 KPI's voor het beveiligen van de werkplek
- NIST als raamwerk voor security
Delen
Veilig werken met Microsoft 365 | 3 belangrijkste vragen beantwoord door een securityspecialist
Kies de juiste public cloud: AWS, Azure en Google cloud platform
