Microsoft Secure Score & Exposure Score

Wat is Microsoft Secure Score?

Microsoft Secure Score is een ingebouwde tool in Microsoft 365 die jouw beveiligingsniveau meet. Je krijgt een score van 0–100%: hoe hoger, hoe beter je beveiligingsinstellingen volgens Microsoft’s aanbevelingen.

Je vindt deze score in het Secure Score-dashboard in de Microsoft 365 Defender-portal.

Hoe werkt het?

Microsoft Secure Score controleert configuraties en activiteiten in diverse diensten (bijvoorbeeld Entra ID, Exchange Online, OneDrive, Azure Defender, enz.) en vergelijkt die met beveiligingsbest practices.

Voor elke aanbevolen actie (bijvoorbeeld “Schakel multifactorauthenticatie in” of “Blokkeer legacy authenticatie”) kun je punten verdienen. Als je een aanbeveling volledig implementeert, krijg je de volle punten; doe je het gedeeltelijk (bijvoorbeeld MFA voor 50% van de gebruikers), dan krijg je gedeeltelijke punten.

Al deze punten tellen op tot jouw Secure Score, die vaak ook als percentage van een maximaal haalbare score wordt getoond.

Voorbeeld: Microsoft Learn

Om te vermijden dat we iemands Secure Score publiek maken, hebben we een voorbeeld genomen van de Microsoft Learn-pagina. (Ken je Microsoft Learn nog niet? Als je in IT werkt: daar vind je echt alles! 😉)

In het voorbeeld zie je dat de score 47,23% bedraagt (529,14 van 1121 punten).

Dit is een typische score die veel organisaties hebben en ligt net boven het gemiddelde van 30–45%. Vaak zien we dit bij omgevingen die nog “out of the box” zijn, dus zonder extra policies. Nieuwe klanten starten meestal met zo’n score, waarna wij werken om die zo hoog mogelijk te brengen.

Een goed streefdoel is 80%. Dat is in bijna elke omgeving haalbaar. Uiteraard mikken we liefst nog hoger, maar dat brengt ook risico’s met zich mee: hoe strikter de security, hoe moeilijker voor hackers, maar soms ook voor gebruikers. En productiviteit mag niet lijden onder security.

Security hoeft niet altijd complexiteit toe te voegen. Denk aan passwordless logins of Single Sign-On (SSO). Zijn die nieuw voor jou? Contacteer ons gerust, of lees er meer over in een van onze volgende artikelen.

Wat zie je in de screenshot?

De Top aanbevolen acties staan altijd mooi geordend op impact. Zo identificeer je snel de “quick wins” om je score omhoog te krijgen.
Voorbeelden van acties:

• Zet Firewall aan op macOS
• Vereis MFA voor administratieve rollen
• Schakel PUA-bescherming in Microsoft Defender in
• Blokkeer risicovolle procescreaties en API-calls

Wat valt op?

• Identity en Apps scoren redelijk goed.
• Devices hebben nog veel ruimte voor verbetering. Bij de topverbeteringen zijn 7 van de 8 acties gericht op Devices, wat de lage score verklaart.
• Je ziet ook geen Data in deze screenshot. Dat betekent waarschijnlijk dat deze al iets ouder is, van vóór DLP (Data Loss Prevention) werd opgenomen in Secure Score, een recente toevoeging door Microsoft.

Beperkingen

Een hoge Secure Score is geen garantie dat je volledig veilig bent, maar het wijst erop dat je de aanbevolen basismaatregelen op orde hebt. Het is een handige benchmark en motivator, al moet je opletten dat niet alle aanbevelingen voor elke organisatie zinvol zijn (hier komen we later op terug).

Toch is Secure Score een van de snelste manieren om verbeterpotentieel te identificeren en eenvoudigere gaten te dichten.

Wat is Microsoft Exposure Score?

Microsoft Exposure Score is een relatief nieuw(er) concept dat met name voorkomt in het kader van Microsoft Defender Vulnerability Management en het bredere Security Exposure Management. Waar Secure Score gaat over het implementeren van preventieve maatregelen, kijkt Exposure Score naar resterende blootstelling aan risico’s en kwetsbaarheden. Simpel gezegd geeft het antwoord op de vraag: “Hoe kwetsbaar is mijn organisatie op dit moment voor cyberaanvallen?”.

In de Microsoft 365 Defender portal is de Exposure Score zichtbaar als onderdeel van Vulnerability Management of het nieuwe Exposure Management dashboard.

Belangrijk: Bij Exposure Score betekent een lagere score juist minder kwetsbaarheid (“beter”), en een hogere score betekent meer blootstelling (“slechter”). Dit is dus omgekeerd aan wat we intuïtief bij een “score” denken. Microsoft classificeert:

• 0–29 = Low Exposure
• 30–69 = Medium
• 70–100 = High Exposure.

Een organisatie streeft dus naar een zo laag mogelijke Exposure Score.

Hoe wordt Exposure Score berekend?

In tegenstelling tot Secure Score (punten per instelling), wordt Exposure Score dynamisch berekend op basis van actuele risicofactoren in je omgeving. Microsoft Defender inventariseert o.a. alle bekende kwetsbaarheden (bijv. ontbrekende patches of software met bekende risicos) op apparaten, misconfiguraties die beveiligingsrisico’s vormen, en zelfs zaken als actieve dreigingen. Volgens Microsoft’s uitleg wordt de exposure score van een apparaat (en cumulatief voor de organisatie) beïnvloed door factoren zoals:

• Aantal en ernst van kwetsbaarheden op het apparaat (bijv. hoge CVE’s wegen zwaarder).
• Bekende exploits of actieve aanvallen: Als er publiek beschikbare exploitcode is voor een kwetsbaarheid, of als er security alerts zijn die wijzen op misbruik, vergroot dat de blootstelling.
• Waarschijnlijkheid van compromittering gelet op het huidige beveiligingsniveau van het systeem (bijvoorbeeld, een niet-gepatchte domain controller is waarschijnlijker doelwit dan een geïsoleerde kiosk-pc).
• Kriticiteit van het asset: De waarde van het apparaat of systeem voor de organisatie (b.v. een server met gevoelige gegevens weegt zwaarder dan een testlaptop).

Al deze factoren samen vormen de Exposure Score. Een plotse piek in de Exposure Score-grafiek betekent dat er in korte tijd nieuwe blootstellingen of risico’s zijn bijgekomen – een signaal voor het beveiligingsteam om in te duiken wat er aan de hand is. Bijvoorbeeld, stel er komt een nieuwe kritieke Windows-kwetsbaarheid uit én jouw devices zijn daarop vatbaar, dan zal je Exposure Score omhoogschieten richting “High” totdat je actie onderneemt (patchen). Zodra je de kwetsbaarheid wegneemt door updates of mitigaties, gaat de Exposure Score weer omlaag, wat reflecteert dat je minder kwetsbaar bent.

Waarom is het nuttig?

Exposure Score geeft beveiligingsteams inzicht in waar ze het meest kwetsbaar zijn zodat ze hun inspanningen kunnen prioriteren. In een tijd waarin er jaarlijks tienduizenden nieuwe kwetsbaarheden ontdekt worden, helpt een geprioriteerde aanpak enorm. Exposure Score en de bijbehorende insights zorgen ervoor dat je je kunt richten op de zwakke plekken die het grootste risico vormen voor jouw organisatie. Dit past in een moderne, continue aanpak van kwetsbaarheidsbeheer: niet zomaar blind al het “rode” proberen op te lossen, maar de grootste exposures eerst aanpakken voor maximaal risicoreductie.

Een CISO kan met de Exposure Score ook eenvoudig aan het management communiceren hoe het staat met het algemene risicoprofiel: bijvoorbeeld “We staan momenteel op 25 (Low), ons doel is onder de 20 te komen door kritieke patches uit te voeren deze maand.” De Exposure Score is daarmee een KPI voor risicoblootstelling die goed te begrijpen is buiten de IT om.

Hoe worden nieuwe regels bepaald en wanneer komen ze erbij?

Microsoft houdt beide scores continu up-to-date om in te spelen op de nieuwste dreigingen, technologieën en best practices.
Voor Secure Score betekent dit dat er regelmatig nieuwe aanbevelingen (ook wel improvement actions genoemd) worden toegevoegd of aangepast. Microsoft heeft dedicated teams (o.a. security product teams en onderzoekers) die kijken naar recente beveiligingsincidenten en -onderzoeken en analyseren welke extra maatregel een klant zou kunnen helpen om zo’n incident te voorkomen. Concreet: vrijwel elke maand publiceert Microsoft wijzigingen in Secure Score. Zo werd bijvoorbeeld in januari 2024 een reeks nieuwe aanbevelingen toegevoegd, waaronder “Require phishing-resistant MFA for administrators” (gebruik maken van FIDO2 of Certificate-based auth voor admins) en “Gebruik een custom banned passwords lijst” in Entra ID.

Deze kwamen voort uit de ontwikkeling van strengere MFA en wachtwoordbeleid opties. In februari 2024 volgde bijv. een specifieke aanbeveling om onveilige AD CS certificaat-registratiepagina’s aan te passen (ESC8) in Defender for Identity – direct geïnspireerd door bekend geworden aanvalstechnieken op Active Directory Certificate Services.

Dit illustreert dat Microsoft nieuwe regels toevoegt zodra er nieuwe risico’s bekend zijn of nieuwe features beschikbaar komen die beveiliging kunnen verbeteren. De toevoegingen worden vaak gebundeld en aangekondigd via de “What’s new in Secure Score” updates op Microsoft Learn. (Alhoewel deze blijkbaar al bijna 2 jaar niet meer is aangepast. Waarom Microsoft?)

Bij Exposure Score is de “regels”-aanpak iets anders. Exposure Score leunt op security intelligence en detecties: elke keer dat er een nieuwe kwetsbaarheid of bedreiging opduikt, wordt die informatie (CVE’s, exploits e.d.) door Microsoft Threat Intelligence in het systeem opgenomen. Als jouw systemen ervoor vatbaar zijn, zal je Exposure Score daarop reageren. Met andere woorden, de “regels” hier zijn de verzamelde kwetsbaarheden en risico’s, en die lijst groeit met elke Patch Tuesday en elk nieuw CVE-bericht. Waar bij Secure Score Microsoft handmatig bepaalt “we gaan nu deze best practice aanraden”, geldt bij Exposure Score dat het een meer geautomatiseerd gevolg is van dreigingsinformatie: nieuwe CVE met critical severity? -> die telt mee tot je patcht. 

Microsoft staat ook open voor feedback van klanten: in het Secure Score dashboard kun je bijvoorbeeld aangeven als je een bepaalde aanbeveling niet nuttig vindt of suggesties hebt. Ook in Exposure Management kun je “Suggest new metrics to the product team” kiezen. Dit alles beïnvloedt hoe de tools evolueren.

Waarom implementeert Microsoft de aanbevelingen niet automatisch?

Deze vraag leeft bij veel beheerders: als Secure Score weet wat er moet gebeuren, waarom zet Microsoft die instellingen niet gewoon zelf aan in mijn tenant? Er zijn een paar belangrijke redenen en overwegingen hiervoor:

• “One size fits not all”: Niet elke aanbeveling is geschikt of praktisch voor elke omgeving. Microsoft publiceert generieke best practices, maar organisaties verschillen enorm. Wat voor de ene organisatie een no-brainer is (bijv. alle gebruikers MFA verplichten), kan bij een andere ernstige bedrijfscontinuïteit problemen geven (legacy applicaties die geen MFA aankunnen, gebruikers in gebieden zonder reliable telefoonverbinding, etc.). Microsoft benadrukt daarom: “Security should be balanced with usability, and not every recommendation can work for your environment.”.
• Disruptie en afhankelijkheden: Veel beveiligingsinstellingen kunnen disruptief zijn als ze abrupt worden doorgevoerd. Stel dat Microsoft op eigen houtje besluit “vanaf morgen worden alle gedeelde mailboxen streng geblokkeerd tenzij…”, dat zou voor sommige bedrijven e-mailstop kunnen betekenen. In de praktijk moeten zulke wijzigingen gepland, gecommuniceerd en getest worden. De Secure Score aanbevelingen zijn bedoeld als startpunt voor een beheerder om die planning te doen: jij kent je omgeving het best en kunt inschatten welke impact een instelling heeft en of er eerst randvoorwaarden geregeld moeten worden.
• Eigen regie en risicoacceptatie: Microsoft geeft organisaties bewust de controle over welke risico’s ze willen mitigeren en welke ze eventueel bewust accepteren. In Secure Score kun je bijvoorbeeld aangeven “wij accepteren dit risico” of “opgelost met een alternatief” voor een bepaalde aanbeveling. Hiermee verdwijnt die aanbeveling uit de scoreberekening. Dit mechanisme bestaat omdat sommige aanbevelingen misschien niet relevant zijn in jouw situatie, of je lost het op een andere manier op. Als Microsoft alles automatisch zou afdwingen, is er geen ruimte voor zo’n maatwerkafweging.
• Verantwoordelijkheid en aansprakelijkheid: Als Microsoft een setting automatisch wijzigt en er gaat iets mis (bijv. verlies van data-toegang of applicaties die uitvallen), wie is dan verantwoordelijk? In het cloud shared-responsibility model ligt configuratie van de tenant bij de klant. Microsoft wil je guidance en tools geven, maar uiteindelijk moet de klant de beslissing nemen. Zo behoudt de klant controle en verantwoordelijkheid. Microsoft biedt daarom de informatie (score, impact, en zelfs vergelijkingen met peers) om die beslissing goed te onderbouwen, in plaats van de beslissing afdwingen.

In de praktijk erkent Microsoft dus dat niet alle aanbevelingen blind uitgevoerd móéten worden. Ze zijn er om je bewuste keuzes te laten maken en je te helpen niks over het hoofd te zien. Sterker nog, Microsoft zegt zelf: sommige aanbevelingen zijn misschien niet relevant voor jouw bedrijf; het doel is vooral verbeteren op de punten die er voor jou toe doen. Een hoge Secure Score van 100% is niet heilig als dat betekent dat je allerlei dingen aan hebt gezet die je bedrijfsvoering hinderen. Het gaat om de juiste maatregelen vinden die bij jouw risicoprofiel passen

Conclusie

Gebruik ze wijs: niet als absolute cijfers om op te sturen zonder context, maar als hulpmiddelen om de beveiligingsdialoog in jouw organisatie te voeren en acties te prioriteren. Wanneer je dat doet, kun je met behulp van Secure Score en Exposure Score je beveiliging stap voor stap naar een hoger niveau tillen en aantoonbaar risico verlagen

Neem gerust contact op met ons of je IT-partner als je wilt bespreken hoe jouw specifieke KMO hier stappen in kan zetten.

PS:Als je tot hier leest…
…dan ben je klaar voor een helder plan. Klik hier en start met je Secure Workspace Scan.