Verdedigingsmaatregelen Mapping
Van Overzicht Naar Actie
Een referentiehoofdstuk heeft pas waarde als teams er direct mee kunnen plannen, ontwerpen en opleveren.
In Verdedigingsmaatregelen Mapping is het doel keuzes vastleggen die teams consistent en herhaalbaar kunnen uitvoeren.
Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.
Directe maatregelen (15 minuten)
Waarom dit telt
De kern van Verdedigingsmaatregelen Mapping is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.
Webbeveiliging
| Maatregelcategorie | Concreet te implementeren | Zie |
|---|---|---|
| Invoerbeveiliging | Parameterized queries, strikte validatie, veilige templating | Web 01, Web 02, Web 03, Web 04, Web 05, Web 12 |
| Parser- en protocolhardening | Veilige XML-parserconfiguratie, SSRF-controles, deserialisatiebeperkingen | Web 06, Web 07, Web 08 |
| Browser-beveiliging | CSRF-bescherming, CORS-beleid, clickjacking-mitigatie, headers baseline | Web 09, Web 11 |
| Toegang & sessies | MFA, sessiebeveiliging, wachtwoord- en loginbeleid | Web 10, Web 11, Web 16 |
| API-governance | Object-level autorisatie, schema-validatie, rate limiting | Web 14 |
| Veilige bestandverwerking | Upload allowlist, content-validatie, isolatie opslag | Web 15 |
| Transportbeveiliging | TLS 1.2+, HSTS, veilige cipherconfiguratie | Web 13 |
| Structurele borging | Security in SDLC, quality gates, periodieke toetsing | Web 17 |
Netwerk & AD Hardening
| Maatregelcategorie | Concreet te implementeren | Zie |
|---|---|---|
| Toegangsbeveiliging | MFA, policy op initiële toegang, phishingweerbaarheid | Netwerk 01, Netwerk 13, Netwerk 21 |
| Endpoint- en OS-hardening | Baselines, script- en applicatiecontrole, least privilege | Netwerk 02, Netwerk 03, Netwerk 11, Netwerk 12 |
| Identity- en directorybeveiliging | AD-hardening, Kerberos hardening, credential protection | Netwerk 04, Netwerk 05, Netwerk 07, Netwerk 08 |
| Segmentatie en laterale-bewegingsreductie | Netwerksegmentatie, beheerzones, strikte firewalling | Netwerk 06, Netwerk 15, Netwerk 19 |
| Monitoring en detectie | Centrale logging, SIEM-use cases, persistentiecontrole | Netwerk 09, Netwerk 16, Netwerk 18 |
| Verkeersbeheersing | Tunnelingbeperking, DNS- en mailbeveiliging, wireless controls | Netwerk 10, Netwerk 13, Netwerk 20 |
| Beschikbaarheid en herstel | Backupstrategie, hersteltests, continuïteitsmaatregelen | Netwerk 17 |
| Dataplatform-hardening | SQL Server-configuratie, feature-beperking, auditing | Netwerk 14 |
Cloud Hardening
| Maatregelcategorie | Concreet te implementeren | Zie |
|---|---|---|
| Platform-baseline | Provider-hardening, account/project-structuur, policy guardrails | Cloud 01, Cloud 02, Cloud 03, Cloud 04 |
| Workload-beveiliging | Container en Kubernetes hardening, serverless controls | Cloud 05, Cloud 07, Cloud 11 |
| Leveringsketenbeveiliging | CI/CD hardening, artifact trust, IaC policy controls | Cloud 06, Cloud 12 |
| Identity en secrets | Least privilege IAM, secret manager, key rotatie | Cloud 03, Cloud 13 |
| Segmentatie en datastromen | Isolatie tussen accounts/netwerken, gecontroleerde egress | Cloud 08, Cloud 09 |
| Detectie en governance | Audit logging, detectieregels, driftcontrole | Cloud 09, Cloud 10, Cloud 12 |
Maatregelprioriteiten (30-60-90)
| Fase | Focus | Minimale uitkomst |
|---|---|---|
| 0-30 dagen | Toegang + zichtbaarheid | MFA, centrale logging, kritieke hardening-baselines |
| 31-60 dagen | Segmentatie + secrets | Least privilege IAM, secret manager, netwerksegmentatie |
| 61-90 dagen | Borging + toetsing | CI/CD gates, hersteltests, metrics op bestuurstafel |
Snelkeuze per organisatietype
| Organisatietype | Eerst implementeren | Daarna |
|---|---|---|
| Web-intensief | Web 01, Web 10, Web 11, Web 14 | Web 15, Web 17 |
| On-prem AD-zwaar | Netwerk 04, Netwerk 05, Netwerk 06, Netwerk 07 | Netwerk 16, Netwerk 17 |
| Cloud-native | Cloud 02, Cloud 06, Cloud 11, Cloud 13 | Cloud 10, Cloud 12 |
| Hybride | Netwerk 15, Cloud 08, Cloud 13 | Netwerk 19, Cloud 10 |
Hoe deze pagina te gebruiken
- Start met jouw domein (web, netwerk, cloud).
- Selecteer per domein de eerste twee maatregelcategorieën die nog niet op orde zijn.
- Open de gekoppelde hoofdstukken en maak er concrete implementatietickets van.
- Herhaal maandelijks met aantoonbaar bewijs (config, logs, tests, KPI/KRI).
Samenvatting
Deze mapping is een maatregelenkompas: je gebruikt hem om snel te kiezen wat je moet implementeren, in welke volgorde, en naar welke hoofdstukken je moet doorpakken voor technische uitvoering.
Verder lezen in de kennisbank
Deze artikelen in het portaal geven je meer achtergrond en praktische context:
- Incident Response — wanneer het misgaat
- Compliance — regels volgen zonder je verstand te verliezen
- Least Privilege — geef mensen alleen wat ze nodig hebben
- Patch management — het saaiste wat je leven kan redden
- Backups — het meest saaie onderwerp dat je leven kan redden
Je hebt een account nodig om de kennisbank te openen. Inloggen of registreren.
Gerelateerde securitymaatregelen
Deze artikelen bieden aanvullende context en verdieping: