Start slim: Audit mode

Tijdens een recente implementatie zijn we bewust gestart in audit mode. Zonder direct iets te blokkeren, maar eerst inzicht te verkrijgen in het gedrag binnen de omgeving. Dit voorkomt verstoring van bedrijfsprocessen en geeft tegelijkertijd waardevolle inzichten. Wat direct opviel: er draaiden processen en scripts die eigelijk niet nodig waren. Denk aan office-macro’s, scripts vanuit gebruikerscontext en andere tools die alleen specifieke scenario’s horen te draaien.  Dit zijn exact de technieken die aanvallers vaak misbruiken. Veel van deze activiteiten worden niet direct als ‘malicious’ gezien. Het zijn immers bestaande Windows tools. Juist daardoor vormen ze een ideaal aanvalsmiddel: aanvallers maken gebruik  van wat al aanwezig is in de omgeving (“living off the land”). Zonder extra malware kunnen ze zich verplaatsen en schade aanrichten. ASR rules maken dit gedrag zichtbaar én beheersbaar.

Van inzicht naar controle

Door ASR rules eerst in audit mode te draaien, ontstaat er een helder beeld van:

• Welke processen actief zijn;
• Welke scripts worden uitgevoerd;
• Waar potentiële zwakke plekken zitten.

Op basis daarvan kun je gefundeerde keuzes maken: wat hoort thuis in je omgeving en wat niet? Na de analysefase zijn we gecontrolerd overgegaan naar block mode. Niet alles in één keer blokkeren, maar gefaseerd en per scenario. Dit is essentieel om verstoringen te voorkomen. In de praktijk betekent dit:

• uitzonderingen defiëneren waar nodig;
• Stap voor stap aanscherpen;
• Continue monitoren van impact.

De resultaten waren direct zichtbaar:

• minder verdachte en onverklaarbare activiteiten;
• duidelijke afname in gebruik van risicovolle technieken zoals macro’s en scripts;
• Sterke reductie van potentiële attack vectors.

Van Reactief naar proactief

ASR rules doen in de basis iets eenvoudigs, maar krachtigs: ze nemen aanvalsmethoden weg. In plaats van alleen reageren op incidenten, voorkom je dat bepaalde technieken überhaupt nog kunnen worden ingezet. Dit verschuift je security strategie van reactief naar proactief. ASR rules zijn relatief eenvoudig te implementeren binnen Intune en Microsoft Defender. Ze sluiten naadloos aan op bestaande Microsoft security tools en vereisen geen complexe extra infrastructuur. Toch zien we dat ze nog onvoldoende standaard worden ingezet. En dat is zonde, juist deze laag maakt vaak het verschil tussen “goed genoeg” en écht weerbaar.

Praktisch advies

Wil je starten met ASR rules?

• Begin in audit mode;
• Analyseer gedrag en identificeer uitzonderingen;
• Werk met pilotgroepen;
• Schakel gefaseerd over naar block mode
• Monitor continue en stel bij.

Zo bouw je gecontroleerd aan een sterke, maar werkbare securitylaag.