💼 Management Samenvatting
Ransomware-preventie draait om voorspelbaar bestuur, consistente configuratie en menselijk vakmanschap; zonder die drie pijlers worden detectie- en herstelprocessen nooit snel genoeg om maatschappelijke schade te voorkomen.
Aanbeveling
IMPLEMENT
Risico zonder
Critical
Risk Score
9/10
Implementatie
350u (tech: 220u)
Van toepassing op:
✓ Microsoft 365
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Azure
✓ Intune
✓ Microsoft Defender XDR
✓ Microsoft Sentinel
✓ Azure
✓ Intune
Nederlandse overheidsorganisaties beheren basisregistraties, uitkeringsketens, zorgdossiers en vergunningen die wettelijk beschikbaar moeten blijven, ook tijdens een cybercrisis. Tegenstanders richten zich op deze processen omdat ze weten dat de maatschappelijke druk om losgeld te betalen enorm is. Tegelijkertijd vragen toezichthouders om aantoonbare NIS2- en BIO-naleving, terwijl gemeenteraden en Kamerleden transparante rapportages eisen. Wie preventie niet structureel regelt, verliest regie over contracten, begrotingen en publieke verantwoording zodra een aanval plaatsvindt.
PowerShell Modules Vereist
Primary API: Microsoft Graph Security API, Microsoft Defender for Endpoint API, Microsoft Intune Graph API, Azure Resource Graph
Connection:
Required Modules: Microsoft.Graph, Microsoft.Graph.Security, Az.Accounts, Az.ResourceGraph, Defender
Connection:
Connect-MgGraph; Connect-AzAccount; Invoke-MgGraphRequest; Invoke-AzResourceGraphQueryRequired Modules: Microsoft.Graph, Microsoft.Graph.Security, Az.Accounts, Az.ResourceGraph, Defender
Implementatie
Dit artikel geeft een uitvoerbaar raamwerk voor ransomware-preventie dat direct aansluit op de Nederlandse Baseline voor Veilige Cloud. We behandelen bestuurlijke verankering, identity hardening, data- en netwerkarchitectuur, monitoring en ketenafspraken. Elk onderdeel beschrijft hoe Microsoft 365, Azure en hybride omgevingen worden ingericht, hoe governance en juridische eisen worden vertaald naar concrete configuraties en hoe het meegeleverde PowerShell-script lokale debugtests ondersteunt voordat wijzigingen productie raken.
Bestuurlijke verankering en risicogestuurde preventie
Een effectief preventieprogramma begint bij een bestuurlijk besluit dat ransomware als afzonderlijke dreiging in het organisatiebrede risicoregister benoemt. Colleges, directies en raden van bestuur koppelen specifieke impactcategorieën aan dit risico: uitval van dienstverlening, juridische claims, vertrouwensverlies bij burgers en escalaties richting toezichthouders. Zij beschrijven drempelwaarden voor maximale uitvaltijd, accepteren slechts tijdelijke uitzonderingen en geven het CISO-office het mandaat om configuraties te blokkeren wanneer preventiemaatregelen onvoldoende zijn. Dit bestuurlijke kader zorgt ervoor dat technische keuzes niet afhankelijk zijn van goodwill, maar van expliciet beleid dat in begrotingen en kwartaalrapportages terugkomt.
Preventie vergt ook een integraal risicobeeld dat verder gaat dan IT-statistieken. Scenario’s beschrijven hoe aanvallers via leveranciers, phishing, gecompromitteerde accounts of kwetsbare OT-systemen binnenkomen en welke bestuurlijke beslissingen daarna nodig zijn. Door samen met de Functionaris Gegevensbescherming, chief procurement officer en controllers te beoordelen wat de juridische en financiële implicaties zijn, ontstaat een realistisch beeld van de werkelijke kosten wanneer preventie tekortschiet. Deze analyse vormt de basis voor meerjarige investeringsprogramma’s, zodat maatregelen zoals privileged access workstations, isolatie van back-ups en security awareness structureel worden gefinancierd.
Governance krijgt pas gewicht wanneer het wordt gekoppeld aan concrete KPI’s. Organisaties definiëren indicatoren zoals percentage workloads met immutabele back-ups, aandeel beheerders dat via PIM werkt, aantal uitzonderingen op Conditional Access of duur tussen patchrelease en uitrol. Deze KPI’s werden opgenomen in de reguliere planning-en-controlcyclus en verschijnen in managementinformatie naast financiële en operationele kengetallen. Wanneer een drempel wordt overschreden, volgt een vooraf gedefinieerde escalatie richting het bestuur en – indien nodig – naar externe toezichthouders of ketenpartners. Zo ontstaat een meetbaar systeem dat continu aangeeft of preventie onder druk staat.
Publieke organisaties moeten bovendien juridische kaders vertalen naar operationele eisen. De BIO vereist aantoonbare maatregelen voor toegangsbeveiliging, logging en continuïteit; de AVG vraagt om passende technische en organisatorische maatregelen; NIS2 verplicht tot tijdige detectie en mitigatie. Door per wet te benoemen welke controles en bewijsstukken daarbij horen, bijvoorbeeld CAB-dossiers, opleidingsregisters of leveranciersclausules, kan een audit direct aantonen dat preventie daadwerkelijk is ingebed. Dit voorkomt discussies met rekenkamers, inspecties of de Autoriteit Persoonsgegevens nadat een incident heeft plaatsgevonden.
Tot slot moet governance de keten sturen. Contracten met IT-dienstverleners, SaaS-leveranciers en shared service centra bevatten verplichtingen rond detectie, patching, logging en deelname aan oefeningen. Nieuwe aanbestedingen eisen crypto-agility, isolatie van beheerkanalen en integratie met Microsoft Sentinel of andere SIEM-oplossingen. Door deze afspraken vast te leggen in een standaardclausule en de naleving jaarlijks te toetsen, voorkomt de organisatie dat ketenpartners het zwakke punt worden in de preventiestrategie.
Identiteit, toegang en endpoint-hardening als eerste verdedigingslinie
Identiteitsbeveiliging is het fundament van ransomware-preventie. Alle beheeraccounts worden ondergebracht in Entra Privileged Identity Management met Just-In-Time goedkeuring, meervoudige authenticatie en session recording. Conditional Access-regels blokkeren toegang voor onbekende locaties, niet-gesanctioneerde apparaten en legacy-protocollen. Serviceaccounts worden vervangen door workload identities met beperkte scopes, zodat aanvallers geen statische sleutels kunnen hergebruiken. Door deze maatregelen zijn gestolen inloggegevens alleen onvoldoende om een aanval te laten escaleren.
Endpoint-hardening voorkomt dat ransomware voet aan de grond krijgt. Bestuurlijke apparaten draaien Microsoft Defender for Endpoint met attack surface reduction, exploit protection en live response logging. Intune compliance policies controleren op BitLocker, Secure Boot en actuele OS-versies, terwijl niet-conforme apparaten automatisch uit alle beheergroepen worden verwijderd. Voor ontwikkelaars en beheerders zijn dedicated privileged access workstations ingericht, fysiek gescheiden van dagelijkse kantoortaken en met strikte applocker-profielen. Hierdoor blijven beheerhandelingen gecontroleerd, zelfs wanneer een kantoorwerkstation wordt gecompromitteerd.
Gebruik PowerShell-script ransomware-prevention.ps1 (functie Invoke-RansomwarePreventionAssessment) – Het script controleert lokaal – desgewenst volledig offline met DebugMode – of identity-, endpoint- en netwerkindicatoren voldoen aan de afgesproken normen, berekent een volwassenheidsscore en genereert een JSON-rapport voor bestuur en SOC..
Netwerktoegang wordt ingericht volgens Zero Trust Network Access. Administratieve segmenten zijn uitsluitend beschikbaar via modern management met certificate-based authenticatie en worden gecontroleerd door Azure Firewall of derde generatie microsegmentatie. VPN-tunnels worden uitgefaseerd ten gunste van per-app connectiviteit en voor kritieke OT-netwerken gelden aanvullende jump servers met monitoring door Microsoft Defender for IoT. Deze aanpak voorkomt laterale beweging zodra een actor toch een gebruiker weet te misleiden.
Ook ontwikkel- en uitrolprocessen krijgen aandacht. CI/CD-pijplijnen draaien op dedicated agents met minimale privileges, secrets worden via Azure Key Vault of GitHub OIDC uitgegeven en iedere pipeline voert een security gate uit waarin misbruikbare PowerShell-calls of riskante registratiewijzigingen worden gedetecteerd. Hierdoor kunnen aanvallers niet eenvoudig via buildsystemen kwaadaardige payloads verspreiden die later door Defenders over het hoofd worden gezien.
Tot slot worden gebruikersprocessen aangescherpt. Accounts van bestuurders en medewerkers met toegang tot gevoelige gegevens krijgen aanvullende beschermingslagen zoals phishing-resistente authenticatie, hardware tokens en step-up verificatie tijdens risicovolle taken. Helpdesks werken met identity proofing voordat wachtwoorden worden gereset en gebruik van legacy authenticator-apps wordt actief uitgefaseerd. Deze maatregelen verminderen het aantal succesvolle phishingaanvallen en beperken de schade van credential harvesting.
Databescherming, netwerkarchitectuur en weerbaarheid
Een preventieprogramma zonder robuuste databescherming blijft kwetsbaar. Daarom krijgen alle bedrijfskritische workloads minimaal twee onafhankelijke back-uplocaties, waarvan één immutabel met object lock en een bewaartermijn die aansluit op Archiefwet-vereisten. Azure Backup-kluizen draaien met multifactor-authenticatie op bewaaracties, soft delete en cross-region replicatie. Voor on-premises systemen wordt gebruikgemaakt van Azure Backup Server of een appliance met air-gapped export. Back-upcatalogi worden dagelijks gecontroleerd en gekoppeld aan het verwerkingsregister zodat duidelijk is welke datasets onder welke encryptiesleutels vallen.
Segmentatie en microperimeters beperken de bewegingsruimte van aanvallers. Netwerkarchitectuur maakt gebruik van Azure Virtual WAN, Network Security Groups en Defender for Cloud policy-initiatieven om laterale beweging te detecteren. Voor SaaS en PaaS worden service endpoints vervangen door private endpoints met Azure Firewall of derde partij inspectie. Hierdoor kunnen aanvallers geen privileges escaleren door rechtstreeks naar opslagaccounts of Key Vaults te gaan.
Data governance en classificatie vormen de basis voor prioriteiten. Microsoft Purview Data Lifecycle Management labelt datasets met bewaartermijnen, gevoeligheid en ketenpartners. Deze labels sturen automatisch encryptiebeleid, toegangsniveaus en alerting in Sentinel. Wanneer een dataset als zeer vertrouwelijk is gemarkeerd, wordt automatische insluiting geactiveerd: verdachte bulkacties op de bijbehorende SharePoint-sites of storageaccounts leiden direct tot isolatie en handmatige vrijgave. Zo blijven preventiemaatregelen gericht op de meest kritieke informatie.
Patch- en configuratiebeheer sluit aan op preventiedoelen. Windows Update for Business, Azure Update Manager en Linux-patchservices draaien volgens een vastgesteld ritme met automatische rapportages. Configuraties worden afgedwongen via Intune, Desired State Configuration en Azure Policy, inclusief controles op macrobeperkingen, PowerShell Constrained Language Mode en uitschakelde protocollen zoals SMBv1. Elke afwijking leidt tot een ticket dat niet kan worden gesloten zonder akkoord van het securityteam.
Tot slot wordt herstelbaarheid getest alsof het een reguliere release is. Iedere sprint bevat een taak om een willekeurige workload te herstellen naar een geïsoleerde omgeving en te toetsen op integriteit, doorlooptijd en wettelijke logging. Resultaten worden toegevoegd aan een lessons-learned register en vergeleken met KPI’s uit het preventieprogramma. Hierdoor blijft herstel geen theorie maar een aantoonbaar bewezen proces.
Monitoring, oefening en ketenafspraken
Preventie blijft alleen effectief wanneer monitoring continu aantoont dat controles werken. Microsoft Sentinel, Defender XDR en Azure Monitor leveren telemetrie over privilegegebruik, verdachte PowerShell-activiteiten, wijzigingen in back-upretentie en afwijkende identiteitsaanvragen. Deze signalen worden verrijkt met CMDB-data zodat iedere melding direct gekoppeld is aan eigenaar, classificatie en herstelprocedure. Dashboards tonen bestuurders de actuele volwassenheid, terwijl SOC-teams drill-downs gebruiken voor dagelijkse opvolging.
Gebruik PowerShell-script ransomware-prevention.ps1 (functie Invoke-RansomwarePreventionRemediation) – De remediatiemodus van het script vertaalt bevindingen naar concrete acties, prioriteert maatregelen op basis van risico en ondersteunt WhatIf-analyses zodat changeboards de impact kunnen beoordelen zonder productie aan te raken..
Training en cultuurverandering zijn onmisbaar. Medewerkers volgen jaarlijkse scenario-oefeningen waarin zij leren verdachte signalen te herkennen, terwijl bestuurders en communicatieteams mediatraining krijgen voor crisissituaties. Tabletop-oefeningen combineren technische incidentrespons met juridische besluitvorming en communicatie naar inwoners of Kamerleden. Na elke oefening wordt het verbeterregister geactualiseerd en worden procedures in SharePoint of Confluence bijgewerkt, zodat inzichten niet verloren gaan.
Ketenpartners worden actief betrokken. Leveranciers leveren kwartaalrapporten aan met patchstatus, back-uptesten en identity-incidenten. Shared service centra draaien hetzelfde PowerShell-script en delen de rapporten digitaal ondertekend terug, zodat resultaten vergelijkbaar zijn. Bij afwijkingen treedt een escalatieproces in werking waarin contractmanagement, security en bestuurders binnen vijf werkdagen besluiten over compensatiemaatregelen of sancties.
Transparantie richting audits en toezicht sluit het geheel af. Alle meetgegevens, rapportages en oefenresultaten worden opgeslagen in een recordsmanagementsysteem met retentie van minimaal zeven jaar. Elke wijziging in preventiebeleid krijgt een uniek besluitnummer en wordt gehandhaafd via policy-as-code. Hierdoor kan de organisatie binnen enkele uren aantonen dat preventiemaatregelen actueel zijn, dat afwijkingen tijdelijk en gemotiveerd zijn en dat verbeteracties daadwerkelijk zijn afgerond.
Compliance & Frameworks
- BIO: 9.01, 12.01, 13.01 - Ondersteunt de BIO door toegangsbeheer, continuïteit en incidentrespons preventief te borgen via governance, tooling en aantoonbaar bewijs.
- ISO 27001:2022: A.5.23, A.5.30, A.8.16 - Koppelt beleid, technische controles en continue verbetering aan de ISO 27001:2022-eisen voor dreigingspreventie en bedrijfscontinuïteit.
- NIS2: Artikel - Laat zien hoe risicobeheer, preventieve maatregelen, supply-chain controls en documentatie voldoen aan de verplichtingen voor essentiële en belangrijke entiteiten.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Voert een preventieve ransomware-assessment uit en genereert maturiteits- en verbeteradviezen.
.DESCRIPTION
Dit script ondersteunt content/security/ransomware-prevention.json binnen het project
"Nederlandse Baseline voor Veilige Cloud". Het controleert identity-hardening, endpointbeveiliging,
immutabele back-ups, ketenafspraken en awareness-indicatoren. In DebugMode draait het script volledig
offline met voorbeelddata zodat organisaties veilig lokaal kunnen testen. Output wordt opgeslagen als
JSON-rapport voor bestuurders, SOC-teams en auditors.
.NOTES
Filename: ransomware-prevention.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-27
Last Modified: 2025-11-27
Version: 1.0
Related JSON: content/security/ransomware-prevention.json
.LINK
https://github.com/microsoft/m365-tenant-best-practise
.EXAMPLE
.\ransomware-prevention.ps1 -Assessment -DebugMode
Draait een lokale analyse met voorbeelddata en toont de preventiescore.
.EXAMPLE
.\ransomware-prevention.ps1 -RemediationPlan -WhatIf
Genereert een remediatieplan en toont acties zonder wijzigingen door te voeren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(Mandatory = $false)]
[switch]$Assessment,
[Parameter(Mandatory = $false)]
[switch]$RemediationPlan,
[Parameter(Mandatory = $false)]
[switch]$WhatIf,
[Parameter(Mandatory = $false)]
[switch]$DebugMode,
[Parameter(Mandatory = $false)]
[string]$OutputPath = ".\artifacts\ransomware-prevention-report.json"
)
$ErrorActionPreference = 'Stop'
$VerbosePreference = 'Continue'
function Write-ScriptBanner {
Write-Host "`n========================================" -ForegroundColor Cyan
Write-Host "Ransomware Preventie Assessment" -ForegroundColor Cyan
Write-Host "Nederlandse Baseline voor Veilige Cloud" -ForegroundColor Cyan
Write-Host "========================================`n" -ForegroundColor Cyan
}
function Test-RansomwarePreventionModules {
[CmdletBinding()]
param()
$requiredModules = @('Microsoft.Graph', 'Microsoft.Graph.Security', 'Az.Accounts', 'Az.ResourceGraph')
foreach ($module in $requiredModules) {
if (-not (Get-Module -ListAvailable -Name $module)) {
Write-Warning "Module $module is niet gevonden. Installeer of importeer de module voordat u productie-telemetrie uitleest."
}
}
if (-not $DebugMode) {
Write-Verbose "Verbind zelf met Connect-MgGraph en Connect-AzAccount binnen uw beheerproces."
}
}
function Get-RansomwarePreventionSampleData {
[CmdletBinding()]
param()
return [PSCustomObject]@{
PrivilegedAccountsWithoutPIM = 7
DevicesWithoutASRRules = 28
ImmutableBackupCoverage = 0.76
HighRiskVulnerabilities = 14
ConditionalAccessGaps = 3
UnmanagedVendors = 5
TrainingCompletionRate = 0.69
DaysSincePlaybookReview = 92
ShadowITConnectors = 6
BackupRestoreTimeMinutes = 185
MonitoringGapFindings = 3
}
}
function Get-RansomwarePreventionTelemetry {
[CmdletBinding()]
param()
if ($DebugMode) {
Write-Verbose "DebugMode ingeschakeld: er wordt uitsluitend met voorbeelddata gewerkt."
return Get-RansomwarePreventionSampleData
}
Write-Verbose "Lees tenant-specifieke telemetrie uit en map de resultaten op Get-RansomwarePreventionSampleData."
throw "Productie-uitlezingen zijn niet geïmplementeerd. Gebruik DebugMode of breid dit script uit met eigen queries."
}
function Test-RansomwarePreventionState {
[CmdletBinding()]
param()
$data = Get-RansomwarePreventionTelemetry
$issues = @()
if ($data.PrivilegedAccountsWithoutPIM -gt 0) {
$issues += "$($data.PrivilegedAccountsWithoutPIM) beheerdersaccounts draaien zonder PIM."
}
if ($data.DevicesWithoutASRRules -gt 10) {
$issues += "$($data.DevicesWithoutASRRules) apparaten missen attack surface reduction-regels."
}
if ($data.ImmutableBackupCoverage -lt 0.9) {
$issues += "Immutabele back-ups dekken slechts {0:P0} van de kritieke workloads." -f $data.ImmutableBackupCoverage
}
if ($data.HighRiskVulnerabilities -gt 5) {
$issues += "$($data.HighRiskVulnerabilities) hoog-risico kwetsbaarheden wachten op patching."
}
if ($data.ConditionalAccessGaps -gt 0) {
$issues += "$($data.ConditionalAccessGaps) Conditional Access-regels ontbreken voor kritieke scenario’s."
}
if ($data.UnmanagedVendors -gt 0) {
$issues += "$($data.UnmanagedVendors) leveranciers leveren geen preventierapportages aan."
}
if ($data.TrainingCompletionRate -lt 0.85) {
$issues += "Slechts {0:P0} van de medewerkers heeft de actuele awareness-training voltooid." -f $data.TrainingCompletionRate
}
if ($data.DaysSincePlaybookReview -gt 60) {
$issues += "Tabletop- en playbookreviews zijn ouder dan 60 dagen."
}
if ($data.ShadowITConnectors -gt 0) {
$issues += "$($data.ShadowITConnectors) niet-goedgekeurde connectors zijn actief in Microsoft 365."
}
if ($data.BackupRestoreTimeMinutes -gt 120) {
$issues += "Hersteltijd bedraagt $($data.BackupRestoreTimeMinutes) minuten en overschrijdt de grens van 120 minuten."
}
if ($data.MonitoringGapFindings -gt 0) {
$issues += "$($data.MonitoringGapFindings) monitoringgaten zijn niet opgelost."
}
$score = [Math]::Max(0, 100 - ($issues.Count * 6))
[PSCustomObject]@{
ScriptName = 'ransomware-prevention.ps1'
Timestamp = Get-Date
PrivilegedGaps = $data.PrivilegedAccountsWithoutPIM
DevicesWithoutASR = $data.DevicesWithoutASRRules
ImmutableCoverage = "{0:P0}" -f $data.ImmutableBackupCoverage
Vulnerabilities = $data.HighRiskVulnerabilities
CAExceptions = $data.ConditionalAccessGaps
VendorFindings = $data.UnmanagedVendors
TrainingRate = "{0:P0}" -f $data.TrainingCompletionRate
PlaybookAgeDays = $data.DaysSincePlaybookReview
ShadowIT = $data.ShadowITConnectors
RestoreTimeMinutes = $data.BackupRestoreTimeMinutes
MonitoringFindings = $data.MonitoringGapFindings
Issues = $issues
IsCompliant = ($issues.Count -eq 0)
OverallScore = $score
Recommendations = if ($issues.Count -eq 0) { @("Preventiecontroles voldoen aan de ingestelde norm. Documenteer het resultaat in het risicoregister.") } else { $issues }
}
}
function Invoke-RansomwarePreventionAssessment {
[CmdletBinding()]
param()
$result = Test-RansomwarePreventionState
Write-Host "PIM-loze accounts : $($result.PrivilegedGaps)" -ForegroundColor White
Write-Host "Apparaten zonder ASR : $($result.DevicesWithoutASR)" -ForegroundColor White
Write-Host "Immutability dekking : $($result.ImmutableCoverage)" -ForegroundColor White
Write-Host "Kwetsbaarheden hoog risico : $($result.Vulnerabilities)" -ForegroundColor White
Write-Host "Leveranciers zonder rapport : $($result.VendorFindings)" -ForegroundColor White
Write-Host "Training voltooid : $($result.TrainingRate)" -ForegroundColor White
Write-Host "Hersteltijd (minuten) : $($result.RestoreTimeMinutes)" -ForegroundColor White
if ($result.IsCompliant) {
Write-Host "`n✅ Ransomware-preventie voldoet aan de gestelde drempelwaarden." -ForegroundColor Green
}
else {
Write-Host "`n❌ Verbeteringen vereist:" -ForegroundColor Yellow
$result.Recommendations | ForEach-Object { Write-Host " - $_" -ForegroundColor Yellow }
}
return $result
}
function Invoke-RansomwarePreventionRemediation {
[CmdletBinding()]
param()
$result = Test-RansomwarePreventionState
$actions = @()
if ($result.Issues -match "PIM") {
$actions += "Schakel alle beheerdersaccounts over op PIM met Just-In-Time en goedkeuringsworkflow."
}
if ($result.Issues -match "attack surface") {
$actions += "Implementeer Intune security baselines en ASR-regels voor alle beheerde apparaten."
}
if ($result.Issues -match "Immutabele back-ups") {
$actions += "Activeer immutable retention, multi-person approval en cross-region replicatie voor back-ups."
}
if ($result.Issues -match "kwetsbaarheden") {
$actions += "Voer een versnelde patchronde uit en documenteer CAB-goedkeuringen."
}
if ($result.Issues -match "Conditional Access") {
$actions += "Maak beleidstemplates per rol en blokkeer legacy-protocollen en onveilige locaties."
}
if ($result.Issues -match "leveranciers") {
$actions += "Heronderhandel contracten zodat leveranciers kwartaalrapportages en oefenresultaten aanleveren."
}
if ($result.Issues -match "training") {
$actions += "Start verplichte awareness-campagne inclusief scenario-oefeningen voor risicofuncties."
}
if ($result.Issues -match "Tabletop") {
$actions += "Plan binnen 30 dagen een playbookreview met bestuur, FG en SOC-lead."
}
if ($result.Issues -match "connectors") {
$actions += "Verwijder shadow IT-connectors en verplicht registraties via Azure AD app governance."
}
if ($result.Issues -match "Hersteltijd") {
$actions += "Optimaliseer herstelprocedures, automatiseer runbooks en test opnieuw tot de 120-minuten norm is gehaald."
}
if ($result.Issues -match "monitoring") {
$actions += "Breid Sentinel-workbooks uit en koppel afwijkingen automatisch aan ITSM-tickets."
}
if ($actions.Count -eq 0) {
Write-Host "Geen remediatie-acties nodig." -ForegroundColor Green
return $result
}
Write-Host "`nRemediatie-advies:" -ForegroundColor Cyan
foreach ($action in $actions) {
if ($WhatIf) {
Write-Host "WhatIf: $action" -ForegroundColor Yellow
}
else {
Write-Host $action -ForegroundColor Gray
}
}
return $result
}
function Save-RansomwarePreventionReport {
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[pscustomobject]$Data
)
$directory = Split-Path -Parent $OutputPath
if (-not (Test-Path $directory)) {
New-Item -ItemType Directory -Path $directory -Force | Out-Null
}
$Data | ConvertTo-Json -Depth 4 | Out-File -FilePath $OutputPath -Encoding UTF8
Write-Host "`nRapport opgeslagen naar $OutputPath" -ForegroundColor Green
}
Write-ScriptBanner
Test-RansomwarePreventionModules
try {
$result = if ($RemediationPlan) {
Invoke-RansomwarePreventionRemediation
}
else {
Invoke-RansomwarePreventionAssessment
}
Save-RansomwarePreventionReport -Data $result
return $result
}
catch {
Write-Error "Fout tijdens ransomware-preventie-evaluatie: $_"
exit 1
}
finally {
Write-Host "`n========================================`n" -ForegroundColor Cyan
}
Risico zonder implementatie
Risico zonder implementatie
Critical: Zonder preventieprogramma blijven geprivilegieerde accounts, back-ups en ketenpartners kwetsbaar en kan de organisatie geen overtuigend bewijs leveren richting toezichthouders wanneer een aanval plaatsvindt.
Management Samenvatting
Veranker ransomware-preventie bestuurlijk, harden identiteiten en endpoints, borg immutabele data en microsegmentatie, monitor continu en gebruik het script om lokale bewijsvoering en remediatieplannen te genereren voordat productieprocessen worden aangepast.
- Implementatietijd: 350 uur
- FTE required: 0.7 FTE